Palo Alto Networks soporta el formato der para la lista de revocación de certificados (CRL)
16697
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution
Detalles
Cuando un cliente crea un perfil de certificado de cliente y habilita "usar CRL", los archivos de CRL deben estar en formato de reglas de codificación distinguidas (der):
Utilice el siguiente comando CLI para comprobar que el uso de CRL está habilitado:
> Mostrar configuración del sistema SSL-descifrar configuración
vsys: vsys1
reenviar proxy listo: sí
proxy entrante listo: sí
desactivar SSL: no
desactivar SSL-descifrar: no
notificar usuario : no hay
proxy para URL: no hay
que esperar para URL: no hay
bloque revocado CERT: Yes
bloque timeout CERT: no
bloque desconocido CERT: no
Estado de CERT Query timeout: 5
categoría URL tiempo de espera de consulta : 5
Utilice la caché de CERT: sí
Verifique CRL : sí
Verifique OCSP: no hay
Estado de CRL recibir tiempo de espera: 5
OCSP estado de espera de recepción: 5 </C3 4 >
Si la verificación CRL se muestra como "no", se puede habilitar con los siguientes comandos de CLI:
> configure
# set deviceconfig Setting SSL-Decrypt CRL Yes
# commit
Información adicional sobre los comandos de depuración
- Activar Debug:
> debug sslmgr en DebugNota: ejecute el modo de depuración durante 3 a 4 horas para cubrir al menos un par de periodos de tiempo de "próxima actualización" para la CRL en cuestión, y recoja el archivo de soporte técnico.
- Recoja el archivo cada mitad del período de tiempo de "próxima actualización":
> Show Clock
> Debug sslmgr Statistics
> Debug sslmgr tar-All-CRL
> Debug sslmgr View <value></value> CRL
- Deshabilitar Debug:
> debug sslmgr en info
- Desactive la caché de CRL en el CP y el DP:
> debug sslmgr Delete CRL todo > depuración de la
planificación de la memoria SSL- Decrypt Certificate-cache
Para más información, revise el manual en línea de OpenSSL: http://www.openssl.org/docs/apps/CRL.html
Propietario: kkondo