GP client a toujours autorisé l’accès à firewall l’après la révocation de leur certificat client Firewall lorsqu’il est configuré OCSP comme répondeur.

GP client a toujours autorisé l’accès à firewall l’après la révocation de leur certificat client Firewall lorsqu’il est configuré OCSP comme répondeur.

11547
Created On 12/18/19 04:50 AM - Last Modified 03/03/23 02:05 AM


Symptom


Après avoir révoqué le certificat client sur le firewall configuré en tant OCSP qu’intervenant, GlobalProtect ( ) les clients sont toujours autorisés à accéder dans GP l’heure suivant la révocation des certificats

Environment


  • N’importe quel PAN-OSfichier .
  • GP version client 4.1 et au-dessus..
  • Palo Alto Firewall configuré OCSP comme répondeur.

Cause


Lorsque le firewall répondeur est configuré, OCSP il tient à jour une liste de certificats que l’Autorité des certificats () a CA validés et/ou révoqués. Ces listes sont mises en cache à la fois sur Le Plan de MP Gestion ( ) et Data Plane ( ) sur le DP firewall . Par conception, ces listes de certificats mis en cache ne sont pas mises à jour en temps réel et par défaut, ces listes ou mises en cache ne sont mises à jour que toutes les heures. Par conséquent, le firewall peut encore permettre au client avec certificat GP d’utilisateur révoqué pour permettre l’accès firewall à l’dans l’heure qui suit la révocation de leurs certificats.Ce comportement est comme prévu.

Pour que le certificat révoqué entre en vigueur immédiatement, le cache ocsp sur la firewall nécessité d’être rincé ou effacé à l’aide CLI des commandes.
 

Resolution


Effacer les certificats mis en cache sur firewall le répondeur ocsp pour révoquer   immédiatement le certificat client afin que les clients de nouvelles connexions sont refusées
> debug sslmgr delete ocsp all

Additional Information


Voici quelques commandes supplémentaires qui peuvent être utiles.
  1. Pour afficher la minuterie de mise à jour ocsp par défaut (par défaut =60 minutes).
> debug sslmgr show ocsp-next-update-time
  1. Pour modifier la mise à jour ocsp, utilisez la commande ci-dessous. Notez que la modification de la mise à jour ocsp timer n’est possible CLI qu’à partir et les modifications ne sont pas conservées après le redémarrage de la firewall .
> debug sslmgr set ocsp-next-update-time <1-10080> => (configured value is in minutes)
  1. Pour afficher le répondeur ocsp configuré
> debug sslmgr view ocsp all
  1. Pour vérifier les statistiques oscp:
> debug sslmgr statistics
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNt7CAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language