OCSP respondedor configurado en un PA FW responde con "301 movido permanentemente"

OCSP respondedor configurado en un PA FW responde con "301 movido permanentemente"

5877
Created On 01/12/23 16:28 PM - Last Modified 12/31/24 00:37 AM


Symptom


  • Después de configurar un respondedor en la misma interfaz que un GP portal, OCSP compruebe que devuelve el estado "no disponible" y el motivo es "Error al OCSP consultar el OCSP respondedor":
  • Si se realiza la captura de paquetes, se puede ver cómo responderá el Portal con "301 Movido permanentemente":

Environment


  • Palo Alto Firewall
  • Apoyado PAN-OS
  • GlobalProtect (GP) Portal
  • Perfil del certificado
  • CSP Respondedor

Cause


  • Firewall El portal de alojamiento GlobalProtect en una interfaz redirigirá http a https de forma predeterminada
  • OCSP responder en el escuchará en el puerto 80 con el firewall formato "http://FQDN_or_IP//CAocsp" y está configurado en la misma interfaz que GlobalProtect Portal
  • Entonces, cuando la OCSP solicitud llega a esta interfaz, se espera que vea una solicitud https, pero ve una solicitud http en su lugar y firewall presenta el código de error 301
  • Por lo tanto, no se admite la configuración de un respondedor y un GlobalProtect portal en la OCSP misma interfaz.

Resolution


Coloque el respondedor en una interfaz diferente a la OCSP de un GP portal.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGEMCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language