GP 客户端仍然允许访问firewall在撤销他们的客户证书之后Firewall被配置为OCSP响应者。

GP 客户端仍然允许访问firewall在撤销他们的客户证书之后Firewall被配置为OCSP响应者。

11618
Created On 12/18/19 04:50 AM - Last Modified 03/03/23 02:04 AM


Symptom


撤销客户端证书后firewall配置为OCSP响应者,GlobalProtect (GP ) 客户在撤销证书后一小时内仍然可以访问

Environment


  • 任何PAN-OS.
  • GP 客户端版本 4.1 及以上..
  • 帕洛阿尔托Firewall配置为OCSP响应者。

Cause


当。。。的时候firewall被配置为OCSP响应者,它维护证书颁发机构(CA ) 已验证和/或已撤销。 这些列表缓存在两个管理平面上(MP ) 和数据平面 (DP ) 上firewall. 根据设计,这些缓存证书列表不会实时更新,默认情况下,此列表或缓存仅每小时更新一次。 因此,firewall可能仍然允许GP具有已吊销用户证书的客户端允许访问firewall吊销证书后一小时内。此行为符合预期。

为了让吊销的证书立即生效,ocsp缓存在firewall需要使用冲洗或清除CLI命令。

Resolution


清除缓存上的证书firewallocsp 响应者立即撤销客户端证书,以便客户端新连接被拒绝
> debug sslmgr delete ocsp all

Additional Information


以下是一些可能有用的附加命令。
  1. 查看默认的 ocsp 更新计时器(默认 = 60 分钟)。
> debug sslmgr show ocsp-next-update-time
  1. 要编辑 ocsp 更新计时器,请使用以下命令。 请注意,更改 ocsp 更新计时器只能从CLI重新启动后不会保留更改firewall.
> debug sslmgr set ocsp-next-update-time <1-10080> => (configured value is in minutes)
  1. 查看配置的 ocsp 响应器
> debug sslmgr view ocsp all
  1. 检查 oscp 统计信息:
> debug sslmgr statistics
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNt7CAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language