パロアルトネットワークは、証明書失効リスト (CRL) の DER フォーマットをサポートしています
16699
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM
Resolution
詳細
顧客がクライアント証明書プロファイルを作成し、"crl の使用" を有効にする場合、crl ファイルは識別エンコード規則 (DER) 形式である必要があります。
次の CLI コマンドを使用して、CRL の使用が有効になっていることを確認します。
> システム設定を表示する ssl 復号化設定
vsys: vsys1
フォワードプロキシレディ: はい
受信プロキシレディ: はい
無効に ssl を:
無効に ssl を復号化: いいえ
通知ユーザー : url のため
のプロキシ: なし
の url を待つ:
ブロックを失効証明書: はい
ブロックタイムアウト cert: いいえ
ブロック不明証明書: いいえ
cert ステータスクエリタイムアウト: 5
url カテゴリクエリタイムアウト : 5
証明書キャッシュの使用: はい crl の検証:
はい確認
ocsp:
crl ステータス受信タイムアウトなし: 5
ocsp ステータス受信タイムアウト: 5 </c34 >
CRL の検証が "no" と表示されている場合は、次の CLI コマンドを使用して有効にできます。
> 設定
deviceconfig ssl 復号化 crl yes
# コミット を設定する
デバッグコマンドに関する追加情報
- デバッグを有効にする:
デバッグ sslmgr のデバッグ
注: 3 ~ 4 時間のデバッグモードを実行して、問題の CRL の少なくともいくつかの "次の更新" の期間をカバーし、テクニカルサポートファイルを収集します。
- デバッグを無効にする:
> 情報のデバッグ sslmgr
詳細については、OpenSSL オンラインマニュアルを参照してください: http://www.openssl.org/docs/apps/crl.html
所有者: kkondo