OCSP Der auf A PA FW konfigurierte Responder antwortet mit "301 Moved Permanently"

OCSP Der auf A PA FW konfigurierte Responder antwortet mit "301 Moved Permanently"

5875
Created On 01/12/23 16:28 PM - Last Modified 12/31/24 00:37 AM


Symptom


  • Nachdem Sie einen OCSP Responder auf derselben Schnittstelle wie ein GP Portal konfiguriert haben, OCSP gibt die Überprüfung den Status "nicht verfügbar" zurück und der Grund lautet "Fehler beim Abfragen des OCSP Responders":
  • Wenn eine Paketerfassung durchgeführt wird, ist zu sehen, wie das Portal mit "301 Moved Permanently" reagiert:

Environment


  • Palo Alto Firewall
  • Unterstützt PAN-OS
  • GlobalProtect (GP) Portal
  • Zertifikatsprofil
  • CSP Responder

Cause


  • Firewall Das Hosting-Portal GlobalProtect auf einer Schnittstelle leitet HTTP standardmäßig auf HTTPS um
  • OCSP Der Responder auf dem lauscht auf Port 80 mit dem firewall Format "http://FQDN_or_IP//CAocsp" und ist auf derselben Schnittstelle wie GlobalProtect das Portal konfiguriert
  • Wenn die Anforderung auf dieser Schnittstelle eingeht, wird erwartet, dass eine https-Anforderung angezeigt wird, stattdessen jedoch eine OCSP HTTP-Anforderung angezeigt wird und firewall der Fehlercode 301 angezeigt wird
  • Daher wird die Konfiguration eines OCSP Responders und eines GlobalProtect Portals auf derselben Schnittstelle nicht unterstützt

Resolution


Platzieren Sie den OCSP Responder auf einer anderen Schnittstelle als einem GP Portal.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGEMCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language