パロアルトネットワークは、証明書失効リスト (CRL) の DER フォーマットをサポートしています

詳細

顧客がクライアント証明書プロファイルを作成し、"crl の使用" を有効にする場合、crl ファイルは識別エンコード規則 (DER) 形式である必要があります。

次の CLI コマンドを使用して、CRL の使用が有効になっていることを確認します。

> システム設定を表示する ssl 復号化設定

vsys: vsys1
フォワードプロキシレディ: はい
受信プロキシレディ: はい
無効に ssl を:
無効に ssl を復号化: いいえ
通知ユーザー                  : url のため
のプロキシ: なし
の url を待つ:
ブロックを失効証明書: はい
ブロックタイムアウト cert: いいえ
ブロック不明証明書: いいえ
cert ステータスクエリタイムアウト: 5
url カテゴリクエリタイムアウト    : 5
証明書キャッシュの使用: はい crl の検証:
はい確認
ocsp:
crl ステータス受信タイムアウトなし: 5
ocsp ステータス受信タイムアウト: 5  </c34 >          

CRL の検証が "no" と表示されている場合は、次の CLI コマンドを使用して有効にできます。

> 設定
deviceconfig ssl 復号化 crl yes
# コミット  を設定する

デバッグコマンドに関する追加情報

• デバッグを有効にする:
  

  デバッグ sslmgr のデバッグ
  

  注: 3 ~ 4 時間のデバッグモードを実行して、問題の CRL の少なくともいくつかの "次の更新" の期間をカバーし、テクニカルサポートファイルを収集します。

• "次の更新" 期間の半分ごとにファイルを収集します。
  

  > 時計を表示する
  > sslmgr の統計情報をデバッグする
  > sslmgr の tar-all-crl
  > デバッグ sslmgr 表示 crl <value></value>   

• デバッグを無効にする:
  

  > 情報のデバッグ sslmgr

• CP および DP の CRL キャッシュをクリアします。
  

  > デバッグ sslmgr 削除 crl すべて
  > デバッグ dataplane リセット ssl-復号化証明書 -キャッシュ

詳細については、OpenSSL オンラインマニュアルを参照してください: http://www.openssl.org/docs/apps/crl.html

所有者: kkondo