Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

動的 CRL のダウンロードとチェックについて

 

デジタル証明書は一定期間にわたって発行され、指定された有効期限の後は無効になります。CA は、発行された証明書を証明書失効リスト (CRL) に登録することで失効させることができます。ピア証明書の検証において、ピア証明書の失効ステータスは、CA サーバーからローカルデバイスに CRL をダウンロードすることでチェックされます。

VPN デバイスは、失効ステータスを確認するため’にピアの証明書をチェックできなければなりません。デバイスは、そのピアから受信した CA 証明書を使用して URL を抽出し’、CA s CRL を動的にダウンロードして’、ピア s 証明書の失効ステータスを確認できます。ダイナミック CA プロファイルは、ローカルデバイス上でフォーマットdynamic-nnnとともに自動的に作成されます。ダイナミック CA プロファイルにより、ローカルデバイスはピア’s CA から CRL をダウンロードし、ピア’s 証明書の失効ステータスを確認できます。で図 1は、Host-a は Host-b から受信した販売 CA および EE の証明書を使用して、販売 CA の CRL を動的にダウンロードし、host’b の証明書の失効ステータスを確認できます。

図 1: 証明書ベースの認証用のマルチレベル階層
証明書ベースの認証用のマルチレベル階層

動的 CA プロファイルを有効にするrevocation-check crlには、このオプションを [edit security pki ca-profile profile-name] 階層レベルの親 CA プロファイルで設定する必要があります。

親 CA プロファイルの失効チェックのプロパティは、動的 CA プロファイルに対して継承されます。で図 1は、Host A for Root-CA の CA プロファイル構成により、動的な CA プロファイルが有効になります。以下の出力が表示されます。

動的 CA プロファイルは、販売 CA のために Host A 上に作成されます。失効チェックは、ルート CA からの CA ダイナミック CA プロファイルに対して継承されます。

revocation-check disableステートメントが親 CA プロファイルで構成されている場合、動的 CA プロファイルは作成されず、CRL の動的ダウンロードとチェックは実行されません。

ダイナミック CA プロファイルからダウンロードされた Crl のデータは、 show security pki crl設定した CA プロファイルによってダウンロードされた crl と同じようにコマンドとともに表示されるようになっています。動的 CA プロファイルの CRL は、デバイスに設定されている CA プロファイルのものと同じように定期的に更新されます。

CA 証明書は、CA サーバーから受信した CRL を検証するために必要です。そのため、ピアから受信した CA 証明書は、ローカルデバイスに格納されています。CA 証明書は管理者によって登録されていないため、CA サーバーから受信した CRL を検証するためだけに使用され、ピア証明書を検証するためのものではありません。