Palo Alto Networks soporta el formato der para la lista de revocación de certificados (CRL)
Palo Alto Networks soporta el formato der para la lista de revocación de certificados (CRL)
16697
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution
Detalles
Cuando un cliente crea un perfil de certificado de cliente y habilita "usar CRL", los archivos de CRL deben estar en formato de reglas de codificación distinguidas (der):
Utilice el siguiente comando CLI para comprobar que el uso de CRL está habilitado:
> Mostrar configuración del sistema SSL-descifrar configuración vsys: vsys1 reenviar proxy listo: sí proxy entrante listo: sí desactivar SSL: no desactivar SSL-descifrar: no notificar usuario : no hay proxy para URL: no hay que esperar para URL: no hay bloque revocado CERT: Yes bloque timeout CERT: no bloque desconocido CERT: no Estado de CERT Query timeout: 5 categoría URL tiempo de espera de consulta : 5 Utilice la caché de CERT: sí Verifique CRL : sí Verifique OCSP: no hay Estado de CRL recibir tiempo de espera: 5 OCSP estado de espera de recepción: 5 </C3 4 >
Si la verificación CRL se muestra como "no", se puede habilitar con los siguientes comandos de CLI:
Información adicional sobre los comandos de depuración
Activar Debug:
> debug sslmgr en Debug
Nota: ejecute el modo de depuración durante 3 a 4 horas para cubrir al menos un par de periodos de tiempo de "próxima actualización" para la CRL en cuestión, y recoja el archivo de soporte técnico.
Recoja el archivo cada mitad del período de tiempo de "próxima actualización":