如何配置 OCSP 响应程序
45804
Created On 09/26/18 13:51 PM - Last Modified 06/07/23 17:02 PM
Resolution
概述
本文档介绍配置 OCSP 响应程序的步骤。
步骤
- 转到设备 > 证书管理 > OCSP 响应程序, 并创建新的响应程序。给出用于 OCSP 查询的接口的 IP 地址。
- 在 "设备 > 证书管理 > 证书" 下, 创建一个新证书并选择在步骤1中创建的 OCSP 响应程序。它将需要由已在防火墙上的 CA 签名 (或者是自签名证书本身)。
- 在网络 > 网络配置文件 >> 接口管理, 创建一个新的配置文件或修改现有的一个包括 HTTP OCSP 选项。
- 在 "网络 > 接口" 下, 单击与步骤1中使用的 IP 匹配的接口。在 "高级" 选项卡下, 从步骤3中选择管理配置文件。
- (可选, 具体取决于配置)如果防火墙具有 "拒绝所有" 规则, 则需要添加策略以允许在步骤4中的接口所在区域中的相同区域通信。您可以将其限制为 "ocsp" 应用程序。
可以使用 OpenSSL 测试此配置。您需要2-3 证书才能这样做。
- 根 CA 证书
- 签名证书 (可能与根相同, 也可能是中间的)
- 要检查的服务器证书
可以使用以下 OpenSSL 命令。本示例假定根签名的是服务器证书, 而不是中间 CA:
openssl ocsp 颁发者根. cer-CAfile 根证书服务器. cer-url http://192.0.2.1/CA/ocsp
根. cer表示服务器证书的根 CA 和签名者.
服务器. cer表示服务器证书.
http://192.0.2.1/CA/ocsp是访问帕洛阿尔托网络防火墙上的 ocsp 响应程序所需的完整 URI. 如果排除路径 (/CA/ocsp), 测试将失败。
所有者: gwesson