帕洛阿尔托网络支持证书吊销列表的 DER 格式 (CRL)

帕洛阿尔托网络支持证书吊销列表的 DER 格式 (CRL)

16703
Created On 09/26/18 13:49 PM - Last Modified 06/08/23 00:50 AM


Resolution


详细

当客户创建客户端证书配置文件并启用 "使用 CRL" 时, CRL 文件应采用可分辨的编码规则 (DER) 格式:

KB_210860. png

 

使用以下 CLI 命令验证是否启用了 CRL:

>> 显示系统设置 ssl 解密设置

vsys: vsys1
转发代理就绪: 是
入站代理准备就绪: 是
禁用 ssl: 否
禁用 ssl 解密: 无
通知用户                  : 没有
url 的代理: 不
等待 url: 没有
块被吊销的证书: 是块超时证书: 没有

块未知证书: 没有
证书状态查询超时: 5
URL 类别查询超时    : 5
使用证书缓存: 是
验证 CRL :
验证 OCSP: 没有
crl 状态接收超时: 5
OCSP 状态接收超时: 5  /c34 >

 

如果验证 CRL 显示为 "否", 则可以使用以下 CLI 命令启用它:

>> 配置
# 设置 deviceconfig 设置 ssl 解密 crl 是
# 提交

 

有关调试命令的其他信息

  • 启用调试:
    > 调试时调试 sslmgr
    注意: 运行调试模式3到4小时, 至少包括有关 CRL 的 "下一个更新" 时间段, 并收集技术支持文件.

 

  • 每半年收集一次 "下次更新" 时间段的文件:
    >> 显示时钟
    >> 调试 sslmgr 统计
    信息 > 调试 sslmgr tar 所有 crl
    >> 调试 sslmgr 视图 crl <value></value>

 

  • 禁用调试:
    >> 调试 sslmgr 的信息

 

  • 清除 CP 和 DP 上的 CRL 缓存:
    >> 调试 sslmgr 删除 crl 全部
    > 调试 dataplane 重置 ssl-解密证书- 缓存

 

有关详细信息, OpenSSL 在线手册: http://www.openssl.org/docs/apps/crl.html

 

所有者: kkondo
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqRCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language