OCSP レスポンダーを構成する方法

概要

このドキュメントでは、OCSP レスポンダーを構成する手順について説明します。

手順

1. [デバイス] > [証明書の管理] > [OCSP レスポンダー] に移動し、新しいレスポンダを作成します。OCSP クエリに使用するインターフェイスの IP アドレスを指定します。
   
2. [デバイス] > [証明書の管理] > [証明書] で、新しい証明書を作成し、手順1で作成した OCSP レスポンダーを選択します。ファイアウォールに存在する CA が既に署名している (または自己署名証明書自体である) 必要があります。
   
3. [ネットワーク] > [ネットワークプロファイル] > [インターフェイス管理] の下で、新しいプロファイルを作成するか、HTTP OCSP オプションを含めるように既存のプロフィールを変更します。
   
4. [ネットワーク] > [インターフェイス] で、手順1で使用した IP アドレスと一致するインターフェイスをクリックします。[詳細設定] タブで、手順3から管理プロファイルを選択します。
   
5. (設定に応じてオプション)ファイアウォールに「すべて拒否」ルールがある場合は、ステップ4のインターフェイスが該当するゾーンで、同じゾーンのトラフィックを許可するポリシーを追加する必要があります。あなたは、' ocsp ' アプリケーションにそれを制限することができます。

この構成は OpenSSL でテストすることができます。これを行うには、2-3 の証明書が必要です。

• ルート CA 証明書
• 署名証明書 (ルートと同じか、中間である可能性があります)
• 確認したいサーバー証明書

次の OpenSSL コマンドを使用できます。この例では、ルートがサーバー証明書に署名され、中間 CA ではないことを前提としています。

openssl ocsp-発行者のルート. cer-CAfile-証明書サーバー. cer-url http://192.0.2.1/CA/ocsp

ルートCA とサーバー証明書の署名者を表します。

サーバーの証明書を表します。

http://192.0.2.1/CA/ocspは、パロ・アルト・ネットワーク・ファイアウォールの ocsp レスポンダにアクセスするために必要なフル URI です。パス (/CA/ocsp) が除外されている場合、テストは失敗します。

所有者: gwesson