Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

revocation-check (Security PKI)

Syntaxe

Niveau hiérarchique

Description

Spécifiez la méthode utilisée par l’équipement pour vérifier le statut de révocation des certificats numériques.

Options

crl

Seule la liste de révocation de certificat (CRL) est prise en charge. Une CRL est une liste horodatée identifiant les certificats révoqués, signée par une autorité de certification et régulièrement mise à la disposition des pairs IPsec participants.

Vous devez également spécifier l’emplacement (URL) pour récupérer la CRL (HTTP ou LDAP). Par défaut, l’URL est vide et utilise des informations CDP intégrées dans le certificat d’autorité de certification.

Par exemple : set security pki ca-profile ms-ca revocation-check crl url http://labsrv1.labdomain.com/CertEnroll/LABDOMAIN.crl

L’URL peut inclure le nom du serveur ou des informations de port telles que, ldap://<ip-or-fqdn>:<port>). Si le numéro de port est manquant, HTTP utilise le port 80 ou LDAP le port 443. Actuellement, vous ne pouvez configurer qu’une seule URL. Nous ne prenons pas en charge la configuration de l’URL de sauvegarde.

Par défaut, crl est activé. Les certificats locaux sont en cours de validation par rapport à la liste de révocation de certificats (CRL), même lorsque la vérification de la CRL est désactivée. Il est possible d’arrêter cette situation en désactivant la vérification de la CRL via la configuration de l’infrastructure à clé publique (PKI). Lorsque la vérification CRL est désactivée, la PKI ne valide pas le certificat local par rapport à la CRL.

disable

Désactiver la vérification du statut des certificats numériques.

ocsp

Configurez le protocole OCSP (Online Certificate Status Protocol) pour vérifier le statut de révocation d’un certificat.

use-crl

Spécifiez la CRL comme méthode pour vérifier le statut de révocation d’un certificat. CRL est la méthode par défaut.

Lorsque vous activez cette option, vous choisissez CRL comme méthode pour vérifier le statut de révocation des certificats numériques.

use-ocsp

Spécifiez le protocole OCSP (Online Certificate Status Protocol) comme méthode pour vérifier le statut de révocation d’un certificat. CRL est la méthode par défaut.

Lorsque vous activez cette option, vous choisissez OCSP comme méthode pour vérifier le statut de révocation des certificats numériques.

Niveau de privilège requis

sécurité : pour afficher cette déclaration dans la configuration.

contrôle de sécurité : pour ajouter cette déclaration à la configuration.

Informations de publication

Déclaration modifiée dans Junos OS version 8.5. Prise en charge ocspde , use-crlet use-ocsp des options ajoutées dans la version 12.1X46-D20 de Junos OS.