Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

예:

ciscoasa(config)# crypto ca server

인증서 일련 번호를 16진수 형식으로 입력합니다.

cert-serial-no

예:

ciscoasa(config-ca-server)# crypto ca server revoke 782ea09f

이 명령은 로컬 CA 서버의 인증서 데이터베이스 및 CRL에서 해당 인증서를 해지된 것으로 표시

합니다. CRL은 자동으로 재배포됩니다.

ASA

의 인증서를 폐기해야 하는 경우 비밀번호도 필요합니다. 따라서 비밀번호를 기록하

여 안전한 곳에 보관해야 합니다.

주기적인 인증서 인증을 구성한 경우, ASA는 클라이언트에서 수신된 인증서 체인을 저장하고 주

기적으로 재인증합니다. 일반적인 세션 설정 동안 수행되는 모든 PKI 검사(서명 유효성 검사, 해

지 검사, 유효 날짜, 키 사용 검사 등 포함)는 구성된 간격으로 반복됩니다. 주기적인 인증에 실패

하는 경우, VPN 세션이 로그오프됩니다. 인증에 성공하는 경우 세션이 계속됩니다. 주기적인 인

증서 인증은 필수 사항이 아니므로 기본적으로 비활성화되어 있습니다.

만료일이 가까운 인증서를 세션에서 사용하는 경우 IKEv2 기능을 지원합니다. 이 세션은 인증서

가 만료되는 즉시 로그오프됩니다. 이 기능은 평소와 같이 계속됩니다.

주기적인 인증서 인증은 기타 모든 VPN 이외 세션/연결에서는 작동하지 않습니다. 모든 VPN 세

션은 주기적인 인증서 인증(타사 표준 기반, SSL 클라이언트 및 클라이언트리스, L2TP 및 EZVPN

을 포함하는 IKEv1 RA 및 L2L, IKEv2 RA 및 L2L)을 지원합니다.

ASA

는 구성 가능한 기간 동안 인증서 유효성 검사 시 수신한 CRL을 캐시하며 해당 기간 동안 다

른 인증서의 유효성을 검사하기 위해 CRL을 재사용합니다. 캐싱은 서버에서 각 연결 시도에 대해 

반복적으로 CRL 요청 및 확인 단계를 우회하여 성능 이점을 제공합니다. 주기적인 인증서 유효성 

검사는 일반적인 인증서 유효성 검사와 유사합니다.