GP クライアントはまだへのアクセスを許可されていましたfirewallクライアント証明書を取り消した後Firewallとして構成されていますOCSP対応者。

GP クライアントはまだへのアクセスを許可されていましたfirewallクライアント証明書を取り消した後Firewallとして構成されていますOCSP対応者。

11553
Created On 12/18/19 04:50 AM - Last Modified 03/03/23 02:05 AM


Symptom


でクライアント証明書を失効させた後、firewallとして構成OCSP対応者、GlobalProtect (GP ) クライアントは、証明書を失効してから 1 時間以内に引き続きアクセスを許可されます

Environment


  • どれでもPAN-OS.
  • GP クライアント バージョン 4.1 以降..
  • パロアルトFirewallとして構成OCSP対応者。

Cause


ときfirewallとして構成されていますOCSPレスポンダは、認証局 (CA ) が検証および/または取り消されました。 これらのリストは両方の管理プレーンにキャッシュされます (MP ) およびデータ プレーン (DP ) 上のfirewall. 設計上、これらのキャッシュされた証明書のリストはリアルタイムで更新されず、既定では、このリストまたはキャッシュのみが 1 時間ごとに更新されます。 したがって、firewallまだ許可するかもしれませんGPへのアクセスを許可するユーザー証明書が取り消されたクライアントfirewall証明書を取り消してから 1 時間以内。この動作は予想どおりです。

失効した証明書がすぐに有効になるように、サーバー上の ocsp キャッシュはfirewallを使用してフラッシュまたはクリアする必要があります。CLIコマンド。

Resolution


でキャッシュされた証明書をクリアするfirewallすぐに ocsp レスポンダークライアントの新しい接続が拒否されるように、クライアント証明書を失効させる
> debug sslmgr delete ocsp all

Additional Information


便利な追加コマンドを次に示します。
  1. デフォルトの ocsp 更新タイマー (デフォルト = 60 分) を表示します。
> debug sslmgr show ocsp-next-update-time
  1. ocsp 更新タイマーを編集するには、次のコマンドを使用します。 ocsp 更新タイマーの変更は、CLIを再起動すると、変更は保持されません。firewall .
> debug sslmgr set ocsp-next-update-time <1-10080> => (configured value is in minutes)
  1. 構成された ocsp レスポンダーを表示するには
> debug sslmgr view ocsp all
  1. oscp 統計を確認するには、次のようにします。
> debug sslmgr statistics
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNt7CAG&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language