Cómo configurar un respondedor OCSP
Resolution
Resumen
Este documento describe los pasos para configurar un respondedor OCSP.
Pasos
- Ir al dispositivo > administración de certificados > OCSP responder, y crear un nuevo respondedor. Dé la dirección IP de la interfaz que se usará para las consultas de OCSP.
- En dispositivo > administración de certificados > certificados, cree un nuevo certificado y elija el respondedor OCSP creado en el paso 1. Tendrá que ser firmado por una CA presente en el Firewall ya (o ser un certificado autofirmado en sí).
- En red > perfiles de red > interfaz MGMT, cree un nuevo perfil o modifique uno existente para incluir la opción http OCSP.
- En las interfaces de red >, haga clic en la interfaz que coincida con la IP utilizada en el paso 1. En la ficha avanzadas, seleccione el perfil de administración del paso 3.
- (opcional, dependiendo de la configuración) Si el cortafuegos tiene una regla ' denegar todo ' de la manta, necesitará agregar una directiva para permitir el tráfico de la misma zona en la zona donde se encuentra la interfaz en el paso 4. Puede restringirlo a la aplicación ' OCSP '.
Esta configuración se puede probar con OpenSSL. Necesitará 2-3 certificados para hacerlo.
- El certificado de CA raíz
- El certificado de firma (puede ser el mismo que la raíz, o puede ser un intermediario)
- El certificado de servidor que desea comprobar
Se puede utilizar el siguiente comando openssl. En este ejemplo se supone que la raíz está firmada en el certificado de servidor y no una CA intermedia:
OpenSSL OCSP-emisor root. cer-CAfile root. cer-CERT Server. cer-URL http://192.0.2.1/CA/OCSP
root. cer representa la entidad emisora de certificados raíz y el firmante del certificado de servidor.
Server. cer representa el certificado del servidor.
http://192.0.2.1/CA/OCSP es el URI completo necesario para acceder al respondedor OCSP en el cortafuegos de Palo Alto Networks. Si se excluye la ruta de acceso (/CA/OCSP), la prueba se producirá un error.
Propietario: gwesson