Команда revocation-check задает последовательность допустимых вариантов проверки сертификата партнера. В команде указываются разные режимы использования CRL.
Для возврата в режим по умолчанию используйте ту же команду с префиксом no.
Синтаксис revocation-check method1 [method2]
no revocation-check
method1 параметр, принимающий одно из двух значений:
crl при проверке сертификата обязателен действующий CRL. Если действующий CRL не найден в базе продукта и его не удалось получить по протоколу LDAP, то сертификат не принимается
none при проверке сертификата действующий CRL используется, если он предустановлен в базе продукта или получен в процессе IKE обмена. Если это не так, то попытка получить CRL по протоколу LDAP не предпринимается и сертификат принимается.
method2 параметр необязательный, имеет одно значение:
none если действующий CRL не найден в базе продукта и его не удалось получить по протоколу LDAP, то сертификат принимается. Используется только тогда, когда method1= crl.
Последовательность допустимых вариантов проверки сертификата описана в Рекомендациях по использованию.
Значение по умолчанию По умолчанию используется revocation-check crl. По команде show running-config будет показана данная команда, даже если она не вводилась в явном виде.
Режимы команды ca trustpoint configuration.
Рекомендации по использованию
Для команды revocation-check crl обязателен действующий CRL в базе продукта, но если это не так, то CRL может быть получен по протоколу LDAP. Если CRL получить по LDAP не удалось, то сертификат партнера не принимается. Этот режим используется по умолчанию.
По команде revocation-check none при проверке сертификата партнера будет производиться попытка воспользоваться CRL из базы продукта или CRL, полученным в процессе IKE обмена, но не будет производиться попытка получить его по LDAP. Если действующий CRL не найден, то сертификат партнера принимается.
Команда revocation-check none замещает в старом формате команду crl optional, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х.
При проверке сертификата по команде revocation-check crl none используется действующий CRL из базы продукта, но если это не так, то CRL может быть получен по протоколу LDAP. Если CRL получить по LDAP не удалось, то сертификат партнера принимается.
Команда revocation-check crl none замещает в старом формате команду crl best-effort, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х.
Для получения CRL по протоколу LDAP запросы отправляются на адрес LDAP сервера, указанный в команде crl query, в противном случае на адрес, указанный в поле сертификата CDP.
По командам revocation-check none и revocation-check crl none единственными условиями принятия сертификата партнера будут неистекший срок его действия, и что его издал CA, который объявлен как trusted CA.
Если задано несколько trustpoints, в которых задана команда revocation-check, то используется только команда из первого по счету trustpoint в конфигурации. Остальные команды revocation-check игнорируются.
Отличие данной команды от подобной команды Cisco IOS:
Не используется режим ocsp.
Пример
Ниже приведен пример использования команды. Объявляется СА с именем "bar" и указывается адрес LDAP сервера, по которому следует получить CRL для проверки сертификата партнера:
Router(config)#crypto pki trustpoint bar
Router(ca-trustpoint)#crl query ldap://10.10.10.10
Router(ca-trustpoint)#revocation-check crl none
Router(ca-trustpoint)#exit