Для проверки сертификата партнера по списку отозванных сертификатов (CRL) нужно:
В LSP-конфигурации
В структуре GlobalParameters задать атрибут CRLHandlingMode, при значениях этого атрибута:
• DISABLE - при проверке сертификата CRL не обрабатывается.
• OPTIONAL - используется действующий CRL из базы Продукта, либо присланый партнером по протоколу IKE. Если действующий CRL не найден, то проверка сертификата по CRL не осуществляется;
• BEST_EFFORT - в отличиет от OPTIONAL, действующий CRL может быть получен по протоколу LDAP.
• ENABLE - для успешной проверки сертификата обязателен действующий CRL.
В cisco-like конфигурации
В режиме команды crypto pki trustpoint командой revocation-check задается режим использования CRL.