Команда crl query используется для явного указания адреса LDAP-сервера, с которого можно запросить CRL (Certificate Revocation List), промежуточные СА сертификаты, сертификат партнера. CRL содержит список отозванных сертификатов, действие которых прекращено по той или иной причине. Использование CRL защищает от принятия от партнеров отозванных сертификатов.
Перед обращением к LDAP-серверу шлюз сначала смотрит поле CDP сертификата, если в этом поле прописанный путь к LDAP-серверу является неполным, то добавляются данные (IP-адрес и порт) из команды crl query. Если CDP содержит полный путь, crl query не используется. Если в сертификате нет поля CDP, то используется эта команда.
Для возврата в режим по умолчанию (когда запрос CRL осуществляется по адресу, указанному в поле сертификата CDP (CRL Distribution Point)) используйте команду crl query с префиксом no.
Синтаксис crl query ldap://ip-addr[:port]
no crl query ldap://ip-addr[:port]
ip-addr IP-адрес LDAP-сервера, на котором СА публикует CRLs и куда следует отправлять запросы на CRL.
port порт, необязательный параметр, по умолчанию 389.
Значение по умолчанию Если адрес LDAP сервера явно не задан, то запросы на CRL будут отправляться на адрес, указанный в поле CDP сертификата. Если порт не задан, то подразумевается 389.
Режимы команды сa trustpoint configuration.
Рекомендации по использованию
Используйте команду crl query, если сертификаты не содержат точного указания места, откуда может быть получен CRL. При задании LDAP сервера используйте только IP-адрес и возможно порт.
Сначала делается попытка установить соединение по LDAP версии 2. Если эта попытка завершается с ошибкой LDAP_PROTOCOL_ERROR (наиболее вероятная причина – не поддерживается версия 2), то повторяется попытка установить соединение по LDAP версии 3.
Отличие данной команды от подобной команды Cisco IOS:
· На url для LDAP сервера наложено ограничение – допускается задание только IP-адреса и, возможно, порта. Если задано DNS-name, то данный url игнорируется.
· Добавление одного trustpoint и перечисление нескольких trustpoints фактически не отличается друг от друга и всегда приводит к перечислению CA-сертификатов:
· единственное отличие – адрес LDAP-сервера и настройки режима получения CRL всегда берутся из первого по счету trustpoint в конфигурации, остальные – игнорируются.
Пример
Ниже приведен пример использования команды crl query. Объявляется СА с именем "bar" и указывается адрес, по которому следует искать CRL:
Router(config)#crypto pki trustpoint bar
Router(ca-trustpoint)#crl query ldap://10.10.10.10