Palo Alto Networks prend en charge le format der pour la liste de révocation de certificats (CRL)
16693
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution Détails
Lorsqu'un client crée un profil de certificat client et active «use CRL», les fichiers CRL doivent être au format der (Distinguished Encoding Rules):
Utilisez la commande CLI suivante pour vérifier que l'utilisation de CRL est activée:
> afficher le réglage du système SSL-décrypter paramètre VSys: vsys1Forward proxy prêt: oui proxy entrant prêt: oui désactiver SSL: pas de désactiver SSL-décrypter: aucun utilisateur notifier : pas de proxy pour l'URL: pas d'attente pour l'URL: aucun bloc révoqué CERT: oui bloc Timeout CERT: no Block Unknown CERT: no CERT statut query timeout: 5 URL Category Query Timeout : 5 utiliser le cache CERT: oui vérifier CRL: Oui vérifier OCSP: aucun statut de LCR Receive timeout: 5 État OCSP Receive Timeout : 5 </C3 4 >
Si Verify CRL est indiqué comme «non», il peut être activé avec les commandes CLI suivantes:
> configurer # Set deviceconfig paramètre SSL-décrypter CRL oui # Commit
Informations supplémentaires sur les commandes Debug
Activer debug:> Debug sslmgr sur Debug Remarque: Exécutez le mode debug pendant 3 à 4 heures pour couvrir au moins quelques périodes de «prochaine mise à jour» pour la CRL en question et collecter le fichier de support technique.
Désactiver Debug:> Debug sslmgr sur info
Pour plus d'informations, consultez le manuel en ligne OpenSSL: http://www.openssl.org/docs/Apps/CRL.html
propriétaire : kkondo