OCSP レスポンダーを構成する方法
45822
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM
Resolution
概要
このドキュメントでは、OCSP レスポンダーを構成する手順について説明します。
手順
- [デバイス] > [証明書の管理] > [OCSP レスポンダー] に移動し、新しいレスポンダを作成します。OCSP クエリに使用するインターフェイスの IP アドレスを指定します。
- [デバイス] > [証明書の管理] > [証明書] で、新しい証明書を作成し、手順1で作成した OCSP レスポンダーを選択します。ファイアウォールに存在する CA が既に署名している (または自己署名証明書自体である) 必要があります。
- [ネットワーク] > [ネットワークプロファイル] > [インターフェイス管理] の下で、新しいプロファイルを作成するか、HTTP OCSP オプションを含めるように既存のプロフィールを変更します。
- [ネットワーク] > [インターフェイス] で、手順1で使用した IP アドレスと一致するインターフェイスをクリックします。[詳細設定] タブで、手順3から管理プロファイルを選択します。
- (設定に応じてオプション)ファイアウォールに「すべて拒否」ルールがある場合は、ステップ4のインターフェイスが該当するゾーンで、同じゾーンのトラフィックを許可するポリシーを追加する必要があります。あなたは、' ocsp ' アプリケーションにそれを制限することができます。
この構成は OpenSSL でテストすることができます。これを行うには、2-3 の証明書が必要です。
- ルート CA 証明書
- 署名証明書 (ルートと同じか、中間である可能性があります)
- 確認したいサーバー証明書
次の OpenSSL コマンドを使用できます。この例では、ルートがサーバー証明書に署名され、中間 CA ではないことを前提としています。
openssl ocsp-発行者のルート. cer-CAfile-証明書サーバー. cer-url http://192.0.2.1/CA/ocsp
ルートCA とサーバー証明書の署名者を表します。
サーバーの証明書を表します。
http://192.0.2.1/CA/ocspは、パロ・アルト・ネットワーク・ファイアウォールの ocsp レスポンダにアクセスするために必要なフル URI です。パス (/CA/ocsp) が除外されている場合、テストは失敗します。
所有者: gwesson