Атрибут SendCertMode определяет логику отсылки локального сертифика в процессе первой фазы IKE на запрос партнера. В своем запросе партнер может указать, какому СА сертификату он доверяет.
Если такой сертификат не найден, то он не отсылается.
Синтаксис |
SendCertMode = AUTO | NEVER | ALWAYS| CHAIN |
Значение |
• AUTO – автоматически определяется, когда необходима отсылка локального сертификата партнеру: • если партнер не прислал запроса, то сертификат не отсылается; • если партнер прислал запрос и соответствующий сертификат был найден, то партнеру высылается либо сертификат, либо найденная цепочка сертификатов; • если партнер прислал запрос и этот запрос не был удовлетворен, то сертификат не высылается. • NEVER – сертификат не высылается. • ALWAYS –сертификат высылается всегда. • CHAIN – сертификат высылается всегда, причем в составе с цепочкой доверительных CA: Имеется ввиду цепочка сертификатов, построенная от локального сертификата до CA, который удовлетворяет описанию, присланному партнером в запросе. В общем случае это CA, удовлетворяющий запросу партнера, произвольное количество промежуточных CA и локальный сертификат. |
Значение по умолчанию |
AUTO |
Пример:
AuthMethodGOSTSign auth_ca
(
LocalID = IdentityEntry( DistinguishedName* = USER_SPECIFIC_DATA )
RemoteID = Identity_id2
AcceptCredentialFrom*= ca
SendRequestMode = ALWAYS
SendCertMode = ALWAYS
)