OCSP 响应者配置在PA FW响应“301 永久移动”
5863
Created On 01/12/23 16:28 PM - Last Modified 12/31/24 00:37 AM
Symptom
- 后配置一个OCSP回应者在与 a 相同的界面上GP门户网站,OCSP检查返回状态“不可用”,原因是“查询错误OCSP回应者”:
- 如果执行数据包捕获,可以看到 Portal 将如何响应“301 Moved Permanently”:
Environment
- 帕洛阿尔托 Firewall
- 支持的 PAN-OS
- GlobalProtect (GP ) 门户网站
- 证书简介
- CSP 回应者
Cause
- Firewall 主持GlobalProtect界面上的门户将重定向网址到https默认情况下
- OCSP 上的响应者firewall将以“格式”在端口 80 上侦听http://FQDN_or_IP/CA /ocsp ” 并配置在与GlobalProtect门户网站
- 所以,当OCSP请求出现在这个界面上,预计会看到一个https请求但看到网址而是请求和firewall显示错误代码 301
- 因此,配置一个OCSP响应者和GlobalProtect不支持同一界面上的门户
Resolution
放置OCSP不同接口上的响应者GP门户网站。