Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

revocation-check (Security PKI)

Sintaxis

Nivel jerárquico

Descripción

Especifique el método que utiliza el dispositivo para comprobar el estado de revocación de los certificados digitales.

Opciones

crl

Solo se admite la lista de revocación de certificados (CRL). Una CRL es una lista con sello de tiempo que identifica los certificados revocados, que está firmado por una CA y se pone a disposición de los pares IPsec participantes periódicamente.

También debe especificar la ubicación (URL) para recuperar la CRL (HTTP o LDAP). De forma predeterminada, la DIRECCIÓN URL está vacía y utiliza la información CDP incrustada en el certificado de CA.

Por ejemplo: set security pki ca-profile ms-ca revocation-check crl url http://labsrv1.labdomain.com/CertEnroll/LABDOMAIN.crl

La DIRECCIÓN URL puede incluir la información del nombre del servidor o del puerto, como, ldap://<ip-or-fqdn>:<port>). Si falta el número de puerto, HTTP utiliza el puerto 80 o LDAP utiliza el puerto 443. Actualmente, solo puede configurar una DIRECCIÓN URL. No es compatible con la configuración de url de respaldo.

De forma predeterminada, crl está habilitada. Los certificados locales se validan con la lista de revocación de certificados (CRL) incluso cuando la comprobación de CRL está deshabilitada. Esto se puede detener deshabilitando la comprobación de CRL mediante la configuración de infraestructura de clave pública (PKI). Cuando la comprobación de CRL está deshabilitada, la PKI no validará el certificado local con CRL.

disable

Desactive la verificación del estado de los certificados digitales.

ocsp

Configure el protocolo de estado de certificado en línea (OCSP) para comprobar el estado de revocación de un certificado.

use-crl

Especifique la CRL como el método para comprobar el estado de revocación de un certificado. CRL es el método predeterminado.

Cuando habilite esta opción, elija CRL como método para comprobar el estado de revocación de certificados digitales.

use-ocsp

Especifique el protocolo de estado de certificado en línea (OCSP) como el método para comprobar el estado de revocación de un certificado. CRL es el método predeterminado.

Cuando habilite esta opción, elija OCSP como método para comprobar el estado de revocación de certificados digitales.

Nivel de privilegio requerido

seguridad: para ver esta instrucción en la configuración.

control de seguridad: para agregar esta instrucción a la configuración.

Información de la versión

Instrucción modificada en la versión 8.5 de Junos OS. Compatibilidad con ocsp, use-crly use-ocsp opciones agregadas en Junos OS versión 12.1X46-D20.