OCSP répondeur configuré sur un PA FW répond avec « 301 déplacé définitivement »

OCSP répondeur configuré sur un PA FW répond avec « 301 déplacé définitivement »

5867
Created On 01/12/23 16:28 PM - Last Modified 12/31/24 00:37 AM


Symptom


  • Après avoir configuré un OCSP répondeur sur la même interface qu’un GP portail, OCSP vérifiez l’état des retours « indisponible » et la raison est « Erreur de requête du OCSP répondeur »:
  • Si la capture de paquets est effectuée, on peut voir comment le portail répondra avec « 301 déplacé définitivement »:

Environment


  • Palo Alto (Palo Alto) Firewall
  • Soutenu PAN-OS
  • GlobalProtect (GP) Portail
  • Profil de certificat
  • CSP Répondeur

Cause


  • Firewall L’hébergement GlobalProtect du portail sur une interface redirigera http vers https par défaut
  • OCSP répondeur sur le écoutera sur le port 80 avec le firewall format « http://FQDN_or_IP//CAocsp » et est configuré sur la même interface que GlobalProtect Portal
  • Ainsi, lorsque la requête arrive sur cette interface, on s’attend à ce qu’elle voie une requête https mais voit une requête http à la OCSP place et firewall présente le code d’erreur 301
  • Par conséquent, la configuration d’un répondeur et d’un OCSP GlobalProtect portail sur la même interface n’est pas prise en charge.

Resolution


Placez le répondeur sur une interface différente de celle d’un OCSP GP portail.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGEMCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language