Команда revocation-check задает последовательность допустимых вариантов проверки сертификата партнера.
В команде указываются разные режимы использования CRL.
Для возврата в режим по умолчанию используйте ту же команду с префиксом no.
Синтаксис revocation-check method1 [method2] no revocation-check |
|
method1 |
параметр, принимающий одно из двух значений: • Crl - при проверке сертификата обязателен действующий CRL. Если действующий CRL не найден в базе продукта и его не удалось получить по протоколу LDAP, то сертификат не принимается • None - при проверке сертификата действующий CRL используется, если он предустановлен в базе продукта или получен в процессе IKE обмена. Если это не так, то попытка получить CRL по протоколу LDAP не предпринимается и сертификат принимается |
method2 |
параметр необязательный, имеет одно значение: • None - если действующий CRL не найден в базе продукта и его не удалось получить по протоколу LDAP, то сертификат принимается. Используется только тогда, когда method1= crl. Последовательность допустимых вариантов проверки сертификата описана в Рекомендациях по использованию. |
Значение по умолчанию |
По умолчанию используется revocation-check crl. По команде show running-config будет показана данная команда, даже если она не вводилась в явном виде. |
Режимы команды |
ca trustpoint configuration |
Рекоменации по использованию |
• Для
команды revocation-check crl
обязателен действующий CRL
в базе продукта, но если это не так, то CRL
может быть получен по протоколу LDAP.
Если CRL получить по LDAP не удалось, то сертификат
партнера не принимается. • По
команде revocation-check none
при проверке сертификата партнера будет производиться попытка
воспользоваться CRL из
базы продукта или CRL,
полученным в процессе IKE
обмена, но не будет производиться попытка получить его по
LDAP. • Команда revocation-check none замещает в старом формате команду crl optional, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х. • При проверке сертификата по команде revocation-check crl none используется действующий CRL из базы продукта, но если это не так, то CRL может быть получен по протоколу LDAP. Если CRL получить по LDAP не удалось, то сертификат партнера принимается. • Команда revocation-check crl none замещает в старом формате команду crl best-effort, которая использовалась в Cisco IOS версии 12.2 и CSP VPN Gate версии 2.х. • Для получения а по протоколу LDAP запросы отправляются на адрес LDAP сервера, указанный в команде crl query, в противном случае на адрес, указанный в поле сертификата а • По командам revocation-check none и revocation-check crl none единственными условиями принятия сертификата партнера будут неистекший срок его действия, и что его издал CA, который объявлен как trusted CA. • Если задано несколько trustpoints, в которых задана команда revocation-check, то используется только команда из первого по счету trustpoint в конфигурации. Остальные команды revocation-check игнорируются. |
Отличие данной команды от подобной команды Cisco IOS |
Не используется режим ocsp. |
Пример |
Ниже приведен пример использования команды. Объявляется СА с именем "bar" и указывается адрес LDAP сервера, по которому следует получить CRL для проверки сертификата партнера: Router(config)#crypto pki trustpoint bar Router(ca-trustpoint)#crl query ldap://10.10.10.10 Router(ca-trustpoint)#revocation-check crl none Router(ca-trustpoint)#exit |