Проверка сертификата по CRL

Для проверки сертификата партнера по списку отозванных сертификатов (CRL) нужно:

В LSP-конфигурации

В структуре GlobalParameters задать атрибут CRLHandlingMode, при значениях этого атрибута:

• optional – используется действующий CRL из базы Продукта;
• enable и best_effort – действующий CRL может быть получен по LDAP.

Для получения CRL с LDAP-сервера сначала проверяется поле CDP в проверяемом сертификате, если поле CDP отсутствует, то в конфигурации должна быть задана структура LDAPSettings c адресом LDAP-сервера. В базу Продукта с LDAP-сервера загружается действующий CRL и по нему проверяется сертификат партнера.

Для прохождения LDAP-пакетов до LDAP-сервера необходимо в политике задать соответствующий фильтр.

В cisco-like конфигурации

В режиме команды crypto pki trustpoint командой revocation-check задается режим использования CRL.