Palo Alto Networks prend en charge le format der pour la liste de révocation de certificats (CRL)
16693
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution
Détails
Lorsqu'un client crée un profil de certificat client et active «use CRL», les fichiers CRL doivent être au format der (Distinguished Encoding Rules):
Utilisez la commande CLI suivante pour vérifier que l'utilisation de CRL est activée:
> afficher le réglage du système SSL-décrypter paramètre
VSys: vsys1
Forward proxy prêt: oui
proxy entrant prêt: oui
désactiver SSL: pas
de désactiver SSL-décrypter: aucun
utilisateur notifier : pas
de proxy pour l'URL: pas
d'attente pour l'URL: aucun
bloc révoqué CERT: oui
bloc Timeout CERT: no
Block Unknown CERT: no
CERT statut query timeout: 5
URL Category Query Timeout : 5
utiliser le cache CERT: oui
vérifier CRL: Oui
vérifier OCSP: aucun statut de
LCR Receive timeout: 5
État OCSP Receive Timeout: 5 </C3 4 >
Si Verify CRL est indiqué comme «non», il peut être activé avec les commandes CLI suivantes:
> configurer
# Set deviceconfig paramètre SSL-décrypter CRL oui
# Commit
Informations supplémentaires sur les commandes Debug
- Activer debug:
> Debug sslmgr sur DebugRemarque: Exécutez le mode debug pendant 3 à 4 heures pour couvrir au moins quelques périodes de «prochaine mise à jour» pour la CRL en question et collecter le fichier de support technique.
- Collectez le fichier chaque moitié de la période «prochaine mise à jour»:
> Show Clock
> Debug sslmgr Statistics
> Debug sslmgr tar-All-CRL
> Debug sslmgr View <value></value> CRL
- Désactiver Debug:
> Debug sslmgr sur info
- Effacez le cache de LCR sur le CP et le DP:
> Debug sslmgr Delete CRL All
> Debug dataplane Reset SSL-décrypter le certificat-cache
Pour plus d'informations, consultez le manuel en ligne OpenSSL: http://www.openssl.org/docs/Apps/CRL.html
propriétaire : kkondo