Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM
Resolution
Vue d’ensemble
Ce document décrit les étapes de configuration d'un répondeur OCSP.
Étapes
Accédez à Device > gestion des certificats > répondeur OCSP, et créez un nouveau répondeur. Donnez l'adresse IP de l'interface à utiliser pour les requêtes OCSP.
Sous Device > Certificate Management > certificats, créez un nouveau certificat et choisissez le répondeur OCSP créé à l'étape 1. Il devra être signé par une autorité de certification présente sur le pare-feu déjà (ou être un certificat auto-signé lui-même).
Sous réseau > profils réseau > interface Mgmt, créer un nouveau profil ou modifier un existant pour inclure l'option OCSP http.
Sous Network > Interfaces, cliquez sur l'interface qui correspond à l'adresse IP utilisée à l'étape 1. Sous l'onglet Avancé, sélectionnez le profil de gestion de l'étape 3.
(en option, selon la configuration) Si votre pare-feu est doté d'une règle «Deny All», vous devez ajouter une stratégie pour autoriser le trafic de même zone dans la zone où votre interface à l'étape 4 tombe. Vous pouvez le restreindre à l'application «OCSP».
Cette configuration peut être testée avec OpenSSL. Vous aurez besoin de 2-3 certificats pour le faire.
Le certificat de l'autorité de certification racine
Le certificat de signature (peut être le même que la racine, ou il peut être un intermédiaire)
Le certificat de serveur que vous voulez vérifier
La commande openssl suivante peut être utilisée. Cet exemple suppose que la racine est signée le certificat de serveur et non une autorité de certification intermédiaire:
root. cer représente l'autorité de certification racine et le signataire du certificat de serveur.
Server. cer représente le certificat de serveur.
http://192.0.2.1/ca/OCSP est l'URI complet nécessaire pour accéder au répondeur OCSP sur le pare-feu de Palo Alto Networks. Si le chemin d'accès (/ca/OCSP) est exclu, le test échoue.