如何配置 OCSP 响应程序

概述

本文档介绍配置 OCSP 响应程序的步骤。

步骤

1. 转到设备 > 证书管理 > OCSP 响应程序, 并创建新的响应程序。给出用于 OCSP 查询的接口的 IP 地址。
   
2. 在 "设备 > 证书管理 > 证书" 下, 创建一个新证书并选择在步骤1中创建的 OCSP 响应程序。它将需要由已在防火墙上的 CA 签名 (或者是自签名证书本身)。
   
3. 在网络 > 网络配置文件 >> 接口管理, 创建一个新的配置文件或修改现有的一个包括 HTTP OCSP 选项。
   
4. 在 "网络 > 接口" 下, 单击与步骤1中使用的 IP 匹配的接口。在 "高级" 选项卡下, 从步骤3中选择管理配置文件。
   
5. (可选, 具体取决于配置)如果防火墙具有 "拒绝所有" 规则, 则需要添加策略以允许在步骤4中的接口所在区域中的相同区域通信。您可以将其限制为 "ocsp" 应用程序。

可以使用 OpenSSL 测试此配置。您需要2-3 证书才能这样做。

• 根 CA 证书
• 签名证书 (可能与根相同, 也可能是中间的)
• 要检查的服务器证书

可以使用以下 OpenSSL 命令。本示例假定根签名的是服务器证书, 而不是中间 CA:

openssl ocsp 颁发者根. cer-CAfile 根证书服务器. cer-url http://192.0.2.1/CA/ocsp

根. cer表示服务器证书的根 CA 和签名者.

服务器. cer表示服务器证书.

http://192.0.2.1/CA/ocsp是访问帕洛阿尔托网络防火墙上的 ocsp 响应程序所需的完整 URI. 如果排除路径 (/CA/ocsp), 测试将失败。

所有者： gwesson