يوضح هذا المستند كيفية إستخدام التحقق من صحة بروتوكول حالة الشهادة عبر الإنترنت (OCSP) على جهاز الأمان القابل للتكيف (ASA) من Cisco للشهادات المقدمة من قبل مستخدمي شبكة VPN. يتم تقديم مثال لتكوينات خادمي OCSP (المرجع المصدق ل Microsoft Windows [CA] و OpenSSL). يصف قسم التحقق التدفقات التفصيلية على مستوى الحزمة، ويركز قسم أستكشاف الأخطاء وإصلاحها على الأخطاء والمشاكل النموذجية.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يستخدم العميل شبكة VPN للوصول عن بعد. يمكن أن يكون هذا الوصول هو Cisco VPN Client (IPSec) أو Cisco AnyConnect Secure Mobility (SSL/Internet Key Exchange الإصدار 2 [IKEv2]) أو WebVPN (portal). لتسجيل الدخول، يوفر العميل الشهادة الصحيحة، بالإضافة إلى اسم المستخدم/كلمة المرور التي تم تكوينها محليا على ASA. يتم التحقق من شهادة العميل عبر خادم OCSP.
تم تكوين ASA للوصول إلى SSL. يستخدم العميل AnyConnect لتسجيل الدخول. يستخدم ASA بروتوكول تسجيل الشهادة البسيط (SCEP) لطلب الشهادة:
crypto ca trustpoint WIN2012
revocation-check ocsp
enrollment url http://10.147.25.80:80/certsrv/mscep/mscep.dll
crypto ca certificate map MAP 10
subject-name co administrator
يتم إنشاء خريطة شهادات لتحديد كافة المستخدمين الذين يحتوي اسم الموضوع الخاص بهم على كلمة مسؤول (غير حساس لحالة الأحرف). هؤلاء المستخدمون موحدون بمجموعة أنفاق تحمل اسم RA:
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.02040-k9.pkg 1
anyconnect enable
tunnel-group-list enable
certificate-group-map MAP 10 RA
يتطلب تكوين الشبكة الخاصة الظاهرية (VPN) تفويضا ناجحا (أي شهادة تم التحقق من صحتها). كما يتطلب بيانات الاعتماد الصحيحة لاسم المستخدم المحدد محليا (المصادقة والتفويض والمحاسبة (AAA)):
username cisco password xxxxxxx
ip local pool POOL 192.168.11.100-192.168.11.105 mask 255.255.255.0
aaa authentication LOCAL
aaa authorization LOCAL
group-policy MY internal
group-policy MY attributes
vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client ssl-clientless
tunnel-group RA type remote-access
tunnel-group RA general-attributes
address-pool POOL
default-group-policy MY
authorization-required
tunnel-group RA webvpn-attributes
authentication aaa certificate
group-alias RA enable
يوضح هذا الإجراء كيفية تكوين خدمات الأدوار لخادم Microsoft:
يمكن إضافة خدمة ويب ذات النهج إذا لزم الأمر.
تستخدم خدمة OCSP شهادة لتوقيع إستجابة OCSP. يجب إنشاء شهادة خاصة على خادم Microsoft ويجب أن تتضمن:
هذه الشهادة مطلوبة لمنع حلقات التحقق من صحة OCSP. لا يستخدم ASA خدمة OCSP لمحاولة التحقق من الشهادة المقدمة من خدمة OCSP.
يصف هذا الإجراء كيفية إستخدام إدارة التكوين عبر الإنترنت من أجل تكوين OCSP:
يتوافق تنفيذ Microsoft ل OCSP مع RFC 5019 ملف تعريف بروتوكول حالة الشهادة عبر الإنترنت (OCSP) خفيف الوزن للبيئات كبيرة الحجم، وهو إصدار مبسط من بروتوكول حالة الشهادة عبر الإنترنت الخاص ب RFC 2560 X.509 Internet Key Public Infrastructure Certificate Protocol - OCSP .
يستخدم ASA RFC 2560 ل OCSP. أحد الفروق في شبكتي RFC هو أن RFC 5019 لا يقبل الطلبات الموقعة التي تم إرسالها من قبل ASA.
من الممكن إجبار خدمة OCSP ل Microsoft على قبول هذه الطلبات الموقعة والرد باستخدام الاستجابة الصحيحة الموقعة. انتقل إلى تكوين الإبطال>RevocationConfiguration1>تحرير الخصائص، وحدد الخيار لتمكين دعم ملحق NONCE.
خدمة OCSP جاهزة الآن للاستخدام.
على الرغم من أن Cisco لا توصي بهذا، يمكن تعطيل الاتصالات على ASA:
BSNS-ASA5510-3(config-ca-trustpoint)# ocsp disable-nonce
أنت ينبغي الآن reconfigure ال CA أن يتضمن ال OCSP نادل ملحق في كل شهادة صدرت. يتم إستخدام عنوان URL من هذا الملحق من قبل ASA للاتصال بخادم OCSP عند التحقق من صحة شهادة.
يفترض هذا المثال أن خادم OpenSSL تم تكوينه بالفعل. يصف هذا القسم تكوين OCSP والتغييرات اللازمة لتكوين CA فقط.
يوضح هذا الإجراء كيفية إنشاء شهادة OCSP:
[ OCSPresponder ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = OCSPSigning
[ UserCerts ]
authorityInfoAccess = OCSP;URI:http://10.61.208.243
openssl ocsp -index ourCAwebPage/index.txt -port 80 -rsigner
ocspresponder.crt -rkey ocspresponder.key -CA cacert.crt -text -out
log.txt
openssl ocsp -CAfile cacert.crt -issuer cacert.crt -cert example-cert.crt
-url http://10.61.208.243 -resp_text
يتوفر المزيد من الأمثلة على موقع OpenSSL على الويب .
يدعم OpenSSL، مثل ASA، طرق OCSP، ويمكن التحكم في المنافذ باستخدام محولات -nonce و-no_nonce.
يمكن أن يتجاوز ASA عنوان OCSP URL. حتى إذا كانت شهادة العميل تحتوي على عنوان OCSP URL، فإنه تتم الكتابة فوقها بواسطة التكوين الموجود على ASA:
crypto ca trustpoint WIN2012
revocation-check ocsp
enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
ocsp url http://10.10.10.10/ocsp
يمكن تعريف عنوان خادم OCSP بشكل صريح. يتطابق مثال الأمر هذا مع كل الشهادات مع المسؤول في اسم الموضوع، ويستخدم OpenSSL TrustPoint للتحقق من توقيع OCSP، ويستخدم عنوان URL الخاص ب http://11.11.11.11/ocsp لإرسال الطلب:
crypto ca trustpoint WIN2012
revocation-check ocsp
enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
match certificate MAP override ocsp trustpoint OPENSSL 10 url
http://11.11.11.11/ocsp
crypto ca certificate map MAP 10
subject-name co administrator
الترتيب المستخدم للبحث عن OCSP URL هو:
يمكن توقيع إستجابة OCSP من قبل مرجع مصدق مختلف. في مثل هذه الحالة، من الضروري إستخدام الأمر match certificate لاستخدام نقطة ثقة مختلفة على ASA للتحقق من شهادة OCSP.
crypto ca trustpoint WIN2012
revocation-check ocsp
enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
match certificate MAP override ocsp trustpoint OPENSSL 10 url
http://11.11.11.11/ocsp
crypto ca certificate map MAP 10
subject-name co administrator
crypto ca trustpoint OPENSSL
enrollment terminal
revocation-check none
في هذا المثال، يستخدم ASA إعادة كتابة عنوان OCSP URL لجميع الشهادات ذات اسم الموضوع الذي يحتوي على المسؤول. يتم فرض ASA على التحقق من صحة شهادة المستجيب OCSP مقابل نقطة ثقة أخرى، OpenSSL. لا تزال شهادات المستخدم معتمدة في Win2012 TrustPoint.
بما أن شهادة المستجيب OCSP تحتوي على الملحق 'OCSP no revocation check'، فلا يتم التحقق من الشهادة، حتى عندما يتم فرض التحقق من صحة OCSP مقابل OpenSSL TrustPoint.
بشكل افتراضي، يتم البحث في جميع نقاط الثقة عندما يحاول ASA التحقق من شهادة المستخدم. التحقق من صحة شهادة المستجيب OCSP مختلف. يبحث ASA فقط في TrustPoint التي تم العثور عليها بالفعل لشهادة المستخدم (WIN2012 في هذا المثال).
وبالتالي، من الضروري إستخدام الأمر match certificate لإجبار ASA على إستخدام نقطة ثقة مختلفة للتحقق من شهادة OCSP (OpenSSL في هذا المثال).
يتم التحقق من صحة شهادات المستخدم مقابل أول TrustPoint (WIN2012 في هذا المثال)، والذي يحدد بعد ذلك النقطة الموثوق بها الافتراضية للتحقق من إستجابة OCSP.
إذا لم يتم توفير أي نقطة ثقة محددة في الأمر match certificate، يتم التحقق من صحة شهادة OCSP مقابل نفس نقطة الثقة مثل شهادات المستخدم (WIN2012 في هذا المثال).:
crypto ca trustpoint WIN2012
revocation-check ocsp
enrollment url http://10.61.209.83:80/certsrv/mscep/mscep.dll
match certificate MAP override ocsp 10 url http://11.11.11.11/ocsp
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يوضح هذا الإجراء كيفية الحصول على الشهادة من خلال إستخدام SCEP:
debug crypto ca
debug crypto ca messages
debug crypto ca transaction
BSNS-ASA5510-3(config-ca-crl)# crypto ca authenticate WIN2012
Crypto CA thread wakes up!
CRYPTO_PKI: Sending CA Certificate Request:
GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=
WIN2012 HTTP/1.0
Host: 10.61.209.83
CRYPTO_PKI: http connection opened
INFO: Certificate has the following attributes:
Fingerprint: 27dda0e5 e1ed3f4c e3a2c3da 6d1689c2
Do you accept this certificate? [yes/no]:
% Please answer 'yes' or 'no'.
Do you accept this certificate? [yes/no]:
yes
Trustpoint CA certificate accepted.
BSNS-ASA5510-3(config)# crypto ca enroll WIN2012تم حذف بعض المخرجات من أجل الوضوح.
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the
configuration.
Please make a note of it.
Password: ****************
Re-enter password: ****************
% The fully-qualified domain name in the certificate will be:
BSNS-ASA5510-3.test-cisco.com
% Include the device serial number in the subject name? [yes/no]: yes
% The serial number in the certificate will be: JMX1014K16Y
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
BSNS-ASA5510-3(config)#
CRYPTO_PKI: Sending CA Certificate Request:
GET /certsrv/mscep/mscep.dll/pkiclient.exe?operation=GetCACert&message=
WIN2012 HTTP/1.0
Host: 10.61.209.83
CRYPTO_PKI: http connection opened
CRYPTO_PKI: Found a subject match - inserting the following cert record
into certList
BSNS-ASA5510-3(config)# show crypto ca certificatesلا يعرض ASA معظم ملحقات الشهادة. على الرغم من أن شهادة ASA تحتوي على URL 'OCSP في امتداد AIA'، إلا أن ASA CLI لا يقدمها. يتطلب معرف تصحيح الأخطاء من Cisco CSCui44335، "ASA ENH Certificate x509 Extensions المعروض" هذا التحسين.
Certificate
Status: Available
Certificate Serial Number: 240000001cbf2fc89f44fe819700000000001c
Certificate Usage: General Purpose
Public Key Type: RSA (1024 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=test-cisco-DC-CA
dc=test-cisco
dc=com
Subject Name:
hostname=BSNS-ASA5510-3.test-cisco.com
serialNumber=JMX1014K16Y
CRL Distribution Points:
[1] ldap:///CN=test-cisco-DC-CA,CN=DC,CN=CDP,
CN=Public%20Key%20Services,CN=Services,CN=Configuration,
DC=test-cisco,DC=com?certificateRevocationList?base?objectClass=
cRLDistributionPoint
Validity Date:
start date: 11:02:36 CEST Oct 13 2013
end date: 11:02:36 CEST Oct 13 2015
Associated Trustpoints: WIN2012
CA Certificate
Status: Available
Certificate Serial Number: 3d4c0881b04c799f483f4bbe91dc98ae
Certificate Usage: Signature
Public Key Type: RSA (2048 bits)
Signature Algorithm: SHA1 with RSA Encryption
Issuer Name:
cn=test-cisco-DC-CA
dc=test-cisco
dc=com
Subject Name:
cn=test-cisco-DC-CA
dc=test-cisco
dc=com
Validity Date:
start date: 07:23:03 CEST Oct 10 2013
end date: 07:33:03 CEST Oct 10 2018
Associated Trustpoints: WIN2012
يوضح هذا الإجراء كيفية الحصول على الشهادة من خلال إستخدام مستعرض الويب على العميل:
يصف هذا الإجراء كيفية التحقق من صحة OCSP:
debug crypto caتم حذف بعض المخرجات من أجل الوضوح.
debug crypto ca messages
debug crypto ca transaction
%ASA-6-725001: Starting SSL handshake with client outside:
10.61.209.83/51262 for TLSv1 session.
%ASA-7-717025: Validating certificate chain containing 1 certificate(s).
%ASA-7-717029: Identified client certificate within certificate chain.
serial number: 240000001B2AD208B12811687400000000001B, subject name:
cn=Administrator,cn=Users,dc=test-cisco,dc=com.
Found a suitable trustpoint WIN2012 to validate certificate.
%ASA-7-717035: OCSP status is being checked for certificate. serial
number: 240000001B2AD208B12811687400000000001B, subject name:
cn=Administrator,cn=Users,dc=test-cisco,dc=com.
%ASA-6-302013: Built outbound TCP connection 1283 for outside:
10.61.209.83/80 (10.61.209.83/80) to identity:10.48.67.229/35751
(10.48.67.229/35751)
%ASA-6-717033: CSP response received.
%ASA-7-717034: No-check extension found in certificate. OCSP check
bypassed.
%ASA-6-717028: Certificate chain was successfully validated with
revocation status check.
%ASA-7-717036: Looking for a tunnel group match based on certificate maps
for peer certificate with serial number:
240000001B2AD208B12811687400000000001B, subject name: cn=Administrator,
cn=Users,dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,
dc=test-cisco,dc=com.
%ASA-7-717038: Tunnel group match found. Tunnel Group: RA, Peer
certificate: serial number: 240000001B2AD208B12811687400000000001B,
subject name: cn=Administrator,cn=Users,dc=test-cisco,dc=com,
issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,dc=com.
%ASA-6-113012: AAA user authentication Successful : local database :
user = cisco
%ASA-6-113009: AAA retrieved default group policy (MY) for user = cisco
%ASA-6-113039: Group <MY> User <cisco> IP <10.61.209.83> AnyConnect parent
session started.
BSNS-ASA5510-3(config)# show vpn-sessiondb detail anyconnect
Session Type: AnyConnect Detailed
Username : cisco Index : 4
Assigned IP : 192.168.11.100 Public IP : 10.61.209.83
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium
Encryption : AnyConnect-Parent: (1)none SSL-Tunnel: (1)RC4
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)none SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1
Bytes Tx : 10540 Bytes Rx : 32236
Pkts Tx : 8 Pkts Rx : 209
Pkts Tx Drop : 0 Pkts Rx Drop : 0
Group Policy : MY Tunnel Group : RA
Login Time : 11:30:31 CEST Sun Oct 13 2013
Duration : 0h:01m:05s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none
AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1
AnyConnect-Parent:
Tunnel ID : 4.1
Public IP : 10.61.209.83
Encryption : none Hashing : none
TCP Src Port : 51401 TCP Dst Port : 443
Auth Mode : Certificate and userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : AnyConnect
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5270 Bytes Rx : 788
Pkts Tx : 4 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0
SSL-Tunnel:
Tunnel ID : 4.2
Assigned IP : 192.168.11.100 Public IP : 10.61.209.83
Encryption : RC4 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 51406
TCP Dst Port : 443 Auth Mode : Certificate and
userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : SSL VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 5270 Bytes Rx : 1995
Pkts Tx : 4 Pkts Rx : 10
Pkts Tx Drop : 0 Pkts Rx Drop : 0
DTLS-Tunnel:
Tunnel ID : 4.3
Assigned IP : 192.168.11.100 Public IP : 10.61.209.83
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 58053
UDP Dst Port : 443 Auth Mode : Certificate and
userPassword
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client OS : Windows
Client Type : DTLS VPN Client
Client Ver : Cisco AnyConnect VPN Agent for Windows 3.1.02040
Bytes Tx : 0 Bytes Rx : 29664
Pkts Tx : 0 Pkts Rx : 201
Pkts Tx Drop : 0 Pkts Rx Drop : 0
CRYPTO_PKI: Starting OCSP revocation
CRYPTO_PKI: Attempting to find OCSP override for peer cert: serial number:
2400000019F341BA75BD25E91A000000000019, subject name: cn=Administrator,
cn=Users,dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,
dc=test-cisco,dc=com.
CRYPTO_PKI: No OCSP overrides found. <-- no OCSP url in the ASA config
CRYPTO_PKI: http connection opened
CRYPTO_PKI: OCSP response received successfully.
CRYPTO_PKI: OCSP found in-band certificate: serial number:
240000001221CFA239477CE1C0000000000012, subject name:
cn=DC.test-cisco.com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
dc=com
CRYPTO_PKI: OCSP responderID byKeyHash
CRYPTO_PKI: OCSP response contains 1 cert singleResponses responseData
sequence.
Found response for request certificate!
CRYPTO_PKI: Verifying OCSP response with 1 certs in the responder chain
CRYPTO_PKI: Validating OCSP response using trusted CA cert: serial number:
3D4C0881B04C799F483F4BBE91DC98AE, subject name: cn=test-cisco-DC-CA,
dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
dc=com
CERT-C: W ocsputil.c(538) : Error #708h
CERT-C: W ocsputil.c(538) : Error #708h
CRYPTO_PKI: Validating OCSP responder certificate: serial number:
240000001221CFA239477CE1C0000000000012, subject name:
cn=DC.test-cisco.com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
dc=com, signature alg: SHA1/RSA
CRYPTO_PKI: verifyResponseSig:3191
CRYPTO_PKI: OCSP responder cert has a NoCheck extension
CRYPTO_PKI: Responder cert status is not revoked <-- do not verify
responder cert
CRYPTO_PKI: response signed by the CA
CRYPTO_PKI: Storage context released by thread Crypto CA
CRYPTO_PKI: transaction GetOCSP completed
CRYPTO_PKI: Process next cert, valid cert. <-- client certificate
validated correctly
إذا تم تكوين شهادة مطابقة كما هو موضح في ASA مع مصادر OCSP متعددة، فإنها تأخذ الأسبقية:
CRYPTO_PKI: Processing map MAP sequence 10...
CRYPTO_PKI: Match of subject-name field to map PASSED. Peer cert field: =
cn=Administrator,cn=Users,dc=test-cisco,dc=com, map rule: subject-name
co administrator.
CRYPTO_PKI: Peer cert has been authorized by map: MAP sequence: 10.
CRYPTO_PKI: Found OCSP override match. Override URL: http://11.11.11.11/ocsp,
Override trustpoint: OPENSSL
عند إستخدام تجاوز عنوان OCSP URL، تكون تصحيح الأخطاء:
CRYPTO_PKI: No OCSP override via cert maps found. Override was found in
trustpoint: WIN2012, URL found: http://10.10.10.10/ocsp.
يوضح هذا الإجراء كيفية إبطال الشهادة وتأكيد الحالة الملغاة:
c:\certutil -crl
CertUtil: -CRL command completed succesfully.
[2013-10-13 12:49:53] Contacting 10.48.67.229.
[2013-10-13 12:49:54] No valid certificates available for authentication.
[2013-10-13 12:49:55] Certificate Validation Failure
CRYPTO_PKI: Starting OCSP revocation
CRYPTO_PKI: OCSP response received successfully.
CRYPTO_PKI: OCSP found in-band certificate: serial number:
240000001221CFA239477CE1C0000000000012, subject name:
cn=DC.test-cisco.com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
dc=com
CRYPTO_PKI: OCSP responderID byKeyHash
CRYPTO_PKI: OCSP response contains 1 cert singleResponses responseData
sequence.
Found response for request certificate!
CRYPTO_PKI: Verifying OCSP response with 1 certs in the responder chain
CRYPTO_PKI: Validating OCSP response using trusted CA cert: serial number:
3D4C0881B04C799F483F4BBE91DC98AE, subject name: cn=test-cisco-DC-CA,
dc=test-cisco,dc=com, issuer_name: cn=test-cisco-DC-CA,dc=test-cisco,
dc=com
CRYPTO_PKI: verifyResponseSig:3191
CRYPTO_PKI: OCSP responder cert has a NoCheck extension
CRYPTO_PKI: Responder cert status is not revoked
CRYPTO_PKI: response signed by the CA
CRYPTO_PKI: Storage context released by thread Crypto CA
CRYPTO_PKI: transaction GetOCSP completed
CRYPTO_PKI: Received OCSP response:Oct 13 2013 12:48:03: %ASA-3-717027:
Certificate chain failed validation. Generic error occurred, serial
number: 240000001B2AD208B12811687400000000001B, subject name:
cn=Administrator,cn=Users,dc=test-cisco,dc=com.
CRYPTO_PKI: Blocking chain callback called for OCSP response (trustpoint:
WIN2012, status: 1)
CRYPTO_PKI: Destroying OCSP data handle 0xae255ac0
CRYPTO_PKI: OCSP polling for trustpoint WIN2012 succeeded. Certificate
status is REVOKED.
CRYPTO_PKI: Process next cert in chain entered with status: 13.
CRYPTO_PKI: Process next cert, Cert revoked: 13
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.
تقرير ASA عند تعطل خادم OCSP:
CRYPTO_PKI: unable to find a valid OCSP server.
CRYPTO PKI: OCSP revocation check has failed. Status: 1800.
يمكن أن تساعد عمليات التقاط الحزم أيضا في أستكشاف الأخطاء وإصلاحها.
إذا كان الوقت الحالي على خادم OCSP أقدم من الوقت على ASA (الفوارق الصغيرة مقبولة)، يرسل خادم OCSP إستجابة غير مصرح بها، ويبلغ ASA عنها:
CRYPTO_PKI: OCSP response status - unauthorized
عندما يتلقى ASA إستجابة OCSP من أوقات المستقبل، فإنه يفشل أيضا.
إذا لم يتم دعم عمليات عدم الاتصال على الخادم (وهو الإعداد الافتراضي على نظام التشغيل Microsoft Windows 2012 R2)، يتم إرجاع إستجابة غير معتمدة:
غالبا ما تكون المشاكل المتعلقة بطلب SCEP/OCSP ناتجة عن مصادقة غير صحيحة على Internet Information Services 7 (IIS7). تأكد من تكوين الوصول المجهول:
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
25-Oct-2013 |
الإصدار الأولي |