Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM
Resolution
Übersicht
Dieses Dokument beschreibt die Schritte zur Konfiguration eines OCSP-Responders.
Schritte
Gehen Sie zum Gerät > Zertifikats Management > OCSP Responder, und erstellen Sie einen neuen Responder. Geben Sie die IP-Adresse der Schnittstelle, die für die OCSP-Abfragen verwendet werden soll.
Erstellen Sie unter Device > Zertifikats Management > Zertifikate ein neues Zertifikat und wählen Sie den OCSP-Responder, der in Schritt 1 erstellt wurde. Es muss bereits von einer ca-Geschenk auf der Firewall unterzeichnet werden (oder ein selbst signiertes Zertifikat selbst sein).
Unter Netzwerk > Netzwerk Profile > Interface Mgmt, erstellen Sie ein neues Profil oder ändern Sie ein bestehendes, um die http OCSP-Option einzufügen.
Unter Netzwerk > Interfaces klicken Sie auf die Schnittstelle, die mit der in Schritt 1 verwendeten IP übereinstimmt. Wählen Sie unter der Registerkarte Advanced das Management-Profil aus Schritt 3.
(optional, je nach Konfiguration) Wenn Ihre Firewall eine Pauschale "Denial all"-Regel hat, müssen Sie eine Richtlinie hinzufügen, die den gleichen Zonen Verkehr in der Zone erlaubt, in der Ihre Schnittstelle in Schritt 4 fällt. Sie können es auf die "OCSP"-Anwendung beschränken.
Diese Konfiguration kann mit OpenSSL getestet werden. Dazu benötigen Sie 2-3 Zertifikate.
Das Root CA Zertifikat
Die Unterschriften Bescheinigung (kann die gleiche sein wie die Wurzel, oder es kann ein Zwischenprodukt sein)
Das Server-Zertifikat, das Sie überprüfen möchten
Der folgende OpenSSL-Befehl kann verwendet werden. Dieses Beispiel geht davon aus, dass die Wurzel das Server-Zertifikat signiert ist, und nicht eine zwischen-ca:
root. CER stellt die Root-CA und den Signer des Server-Zertifikats dar.
Server. CER stellt das Server-Zertifikat dar.
http://192.0.2.1/ca/OCSP ist die vollständige URI, die benötigt wird, um auf die OCSP-Responder auf der Palo Alto Networks Firewall zuzugreifen. Wird der Pfad (/ca/OCSP) ausgeschlossen, scheitert der Test.