Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM
Resolution
Resumen
Este documento describe los pasos para configurar un respondedor OCSP.
Pasos
Ir al dispositivo > administración de certificados > OCSP responder, y crear un nuevo respondedor. Dé la dirección IP de la interfaz que se usará para las consultas de OCSP.
En dispositivo > administración de certificados > certificados, cree un nuevo certificado y elija el respondedor OCSP creado en el paso 1. Tendrá que ser firmado por una CA presente en el Firewall ya (o ser un certificado autofirmado en sí).
En red > perfiles de red > interfaz MGMT, cree un nuevo perfil o modifique uno existente para incluir la opción http OCSP.
En las interfaces de red >, haga clic en la interfaz que coincida con la IP utilizada en el paso 1. En la ficha avanzadas, seleccione el perfil de administración del paso 3.
(opcional, dependiendo de la configuración) Si el cortafuegos tiene una regla ' denegar todo ' de la manta, necesitará agregar una directiva para permitir el tráfico de la misma zona en la zona donde se encuentra la interfaz en el paso 4. Puede restringirlo a la aplicación ' OCSP '.
Esta configuración se puede probar con OpenSSL. Necesitará 2-3 certificados para hacerlo.
El certificado de CA raíz
El certificado de firma (puede ser el mismo que la raíz, o puede ser un intermediario)
El certificado de servidor que desea comprobar
Se puede utilizar el siguiente comando openssl. En este ejemplo se supone que la raíz está firmada en el certificado de servidor y no una CA intermedia:
root. cer representa la entidad emisora de certificados raíz y el firmante del certificado de servidor.
Server. cer representa el certificado del servidor.
http://192.0.2.1/CA/OCSP es el URI completo necesario para acceder al respondedor OCSP en el cortafuegos de Palo Alto Networks. Si se excluye la ruta de acceso (/CA/OCSP), la prueba se producirá un error.