Для проверки сертификата партнера по списку отозванных сертификатов (CRL) нужно:
В LSP-конфигурации
В структуре GlobalParameters задать атрибут CRLHandlingMode, при значениях этого атрибута:
· optional – используется действующий CRL из базы Продукта;
· enable и best_effort – действующий CRL может быть получен по LDAP.
Для получения CRL с LDAP-сервера сначала проверяется поле CDP в проверяемом сертификате, если поле CDP отсутствует, то в конфигурации должна быть задана структура LDAPSettings c адресом LDAP-сервера. В базу Продукта с LDAP-сервера загружается действующий CRL и по нему проверяется сертификат партнера.
Для прохождения LDAP-пакетов до LDAP-сервера необходимо в политике задать соответствующий фильтр.
В cisco-like конфигурации
В режиме команды crypto pki trustpoint командой revocation-check задается режим использования CRL.