Comment faire pour configurer un répondeur OCSP

Comment faire pour configurer un répondeur OCSP

45796
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM


Resolution


Vue d’ensemble

Ce document décrit les étapes de configuration d'un répondeur OCSP.

 

Étapes

  1. Accédez à Device > gestion des certificats > répondeur OCSP, et créez un nouveau répondeur. Donnez l'adresse IP de l'interface à utiliser pour les requêtes OCSP.
    1-OCSP. png
  2. Sous Device > Certificate Management > certificats, créez un nouveau certificat et choisissez le répondeur OCSP créé à l'étape 1. Il devra être signé par une autorité de certification présente sur le pare-feu déjà (ou être un certificat auto-signé lui-même).
    2-CERT. png
  3. Sous réseau > profils réseau > interface Mgmt, créer un nouveau profil ou modifier un existant pour inclure l'option OCSP http.
    3-netprofile. png
  4. Sous Network > Interfaces, cliquez sur l'interface qui correspond à l'adresse IP utilisée à l'étape 1. Sous l'onglet Avancé, sélectionnez le profil de gestion de l'étape 3.
    4-interface. png
  5. (en option, selon la configuration) Si votre pare-feu est doté d'une règle «Deny All», vous devez ajouter une stratégie pour autoriser le trafic de même zone dans la zone où votre interface à l'étape 4 tombe. Vous pouvez le restreindre à l'application «OCSP».

 

Cette configuration peut être testée avec OpenSSL. Vous aurez besoin de 2-3 certificats pour le faire.

  • Le certificat de l'autorité de certification racine
  • Le certificat de signature (peut être le même que la racine, ou il peut être un intermédiaire)
  • Le certificat de serveur que vous voulez vérifier

 

La commande openssl suivante peut être utilisée. Cet exemple suppose que la racine est signée le certificat de serveur et non une autorité de certification intermédiaire:

OpenSSL OCSP-source de l'émetteur racine. cer-cafile root. cer-CERT Server. cer-URL http://192.0.2.1/ca/OCSP

 

root. cer représente l'autorité de certification racine et le signataire du certificat de serveur.

Server. cer représente le certificat de serveur.

http://192.0.2.1/ca/OCSP est l'URI complet nécessaire pour accéder au répondeur OCSP sur le pare-feu de Palo Alto Networks. Si le chemin d'accès (/ca/OCSP) est exclu, le test échoue.

 

propriétaire : gwesson
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClteCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language