Основным методом конфигурирования различных параметров автоматической загрузки списка отозванных сертификатов (CRL) является команда cisco-like консоли - crypto pki trustpoint. Данная команда позволяет перейти в режим конфигурирования trustpoint (ca-trustpoint), в котором появляется возможность задания URL и временного интервала для загрузки CRL по протоколу HTTP (см. команды crl download group и crl download time).
В случае отсутствия возможности использования cisсo-like консоли для формирования политики безопасности, выполнить данные настройки можно отредактировав конфигурационный файл /opt/VPNagent/etc/getcrls.ini следующим образом:
time=1440
[ca]
url_1=http://crl1.example.com/certsrv/certcrl.crl
url_2=http://crl2.example.com/certsrv/certcrl.crl
[local]
url_3=http://crl3.example.com/certsrv/certcrl.crl
[remote]
url_4=http://crl4.example.com/certsrv/certcrl.crl
где:
• time - устанавливает период в минутах между загрузками CRL по HTTP;
• [са] - произвольное имя, по которому группируется список адресов. Имя группы должно заключаться в квадратные скобки;
• url_1 - где 1 - номер добавляемого URL. Нумерация сквозная, т.е. каждому URL присваивается уникальный номер вне зависимости от принадлежности к какой-либо группе;
• http://crl1.example.com/certsrv/certcrl.crl - URL, по которому происходит скачивание CRL. URL должен начинаться с префикса http:// или https://.
Затем перезапустите сервис getcrls, выполнив команду:
service getcrls restart
Для разрешения проверки сертификатов по загруженному CRL, в LSP структуре GlobalParameters атрибут CRLHandlingMode должен иметь значение ENABLE, BEST_EFFORT или OPTIONAL.
Для прохождения пакетов до HTTP-сервера распространения CRL необходимо наличие в политике безопасности соответствующий правил.