Wie man einen OCSP-Responder konfiguriert

Wie man einen OCSP-Responder konfiguriert

45810
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM


Resolution


Übersicht

Dieses Dokument beschreibt die Schritte zur Konfiguration eines OCSP-Responders.

 

Schritte

  1. Gehen Sie zum Gerät > Zertifikats Management > OCSP Responder, und erstellen Sie einen neuen Responder. Geben Sie die IP-Adresse der Schnittstelle, die für die OCSP-Abfragen verwendet werden soll.
    1-OCSP. png
  2. Erstellen Sie unter Device > Zertifikats Management > Zertifikate ein neues Zertifikat und wählen Sie den OCSP-Responder, der in Schritt 1 erstellt wurde. Es muss bereits von einer ca-Geschenk auf der Firewall unterzeichnet werden (oder ein selbst signiertes Zertifikat selbst sein).
    2-cert. png
  3. Unter Netzwerk > Netzwerk Profile > Interface Mgmt, erstellen Sie ein neues Profil oder ändern Sie ein bestehendes, um die http OCSP-Option einzufügen.
    3-netprofile. png
  4. Unter Netzwerk > Interfaces klicken Sie auf die Schnittstelle, die mit der in Schritt 1 verwendeten IP übereinstimmt. Wählen Sie unter der Registerkarte Advanced das Management-Profil aus Schritt 3.
    4-Interface. png
  5. (optional, je nach Konfiguration) Wenn Ihre Firewall eine Pauschale "Denial all"-Regel hat, müssen Sie eine Richtlinie hinzufügen, die den gleichen Zonen Verkehr in der Zone erlaubt, in der Ihre Schnittstelle in Schritt 4 fällt. Sie können es auf die "OCSP"-Anwendung beschränken.

 

Diese Konfiguration kann mit OpenSSL getestet werden. Dazu benötigen Sie 2-3 Zertifikate.

  • Das Root CA Zertifikat
  • Die Unterschriften Bescheinigung (kann die gleiche sein wie die Wurzel, oder es kann ein Zwischenprodukt sein)
  • Das Server-Zertifikat, das Sie überprüfen möchten

 

Der folgende OpenSSL-Befehl kann verwendet werden. Dieses Beispiel geht davon aus, dass die Wurzel das Server-Zertifikat signiert ist, und nicht eine zwischen-ca:

OpenSSL OCSP-Emittent root. CER-cafile root. CER-CERT Server. CER-URL http://192.0.2.1/ca/OCSP

 

root. CER stellt die Root-CA und den Signer des Server-Zertifikats dar.

Server. CER stellt das Server-Zertifikat dar.

http://192.0.2.1/ca/OCSP ist die vollständige URI, die benötigt wird, um auf die OCSP-Responder auf der Palo Alto Networks Firewall zuzugreifen. Wird der Pfad (/ca/OCSP) ausgeschlossen, scheitert der Test.

 

Besitzer: Gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClteCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language