Cisco Cisco ASA 5555-X Adaptive Security Appliance Prospecto

ASA

는 CRL 또는 OCSP 검사와 함께 해지 검사에 대한 none 옵션을 사용하여 구성될 수 있습니다.

revocation-check [crl] [ocsp] [none]

CRL

을 캐시에서 사용할 수 없는 경우, 구성된 none 옵션을 사용하는 첫 번째 연결은 응답을 대기

하지 않고 CRL에 대한 요청을 생성합니다. 첫 번째 연결은 해지 상태 검사 없이 성공합니다. 캐시

에서 CRL이 없는 첫 번째 연결은 항상 해지 검사를 건너뜁니다. CRL 다운로드가 실패하거나 
CRL/OCSP 

서버에 연결할 수 없는 경우, 원래 동작은 그대로 유지되며 계속 연결된 상태로 있습

니다. 일반적인 인증 및 기간 재인증 간의 차이점은 주기적인 재인증과 관련이 있으며 CRL을 항

상 검색하려고 시도하고 다시 돌아올 때까지 대기합니다. 수신된 CRL을 사용하여 인증서를 검사

하는 동안 CRL을 검색하는 데 실패하는 경우, 동작은 일반적인 인증과 유사하며 연결이 허용됩니

다. 해지 검사가 비활성화된 경우, 주기적인 확인은 세션 설정 동안 일반적으로 수행되는 모든 다

른 검사를 수행합니다.

로컬 CA에서 발급된 인증서를 사용하는 VPN 세션은 타사 CA에서 발급된 인증서와 마찬가지로 

해지 검사를 비롯해 주기적인 인증서 유효성 검사를 수행할 수 있습니다.

AnyConnect 

세션은 IKEv2 또는 SSL 터널이 중단된 이후에 비활성 상태로 전환될 수 있습니다. 

이 세션은 재인증 없이 세션 재개를 허용하도록 계속 존재합니다. 주기적인 인증은 초기 연결 동

안 제공된 인증서를 사용하는 일반적인 세션과 동일하게 비활성 세션에서 계속됩니다. 비활성 세

션은 마찬가지로 주기적인 인증 결과에 기반하여 로그오프될 수 있습니다.

클라이언트 인증서는 세션 초기화 동안 대기 모드로 동기화됩니다. 활성 및 대기 모드는 세션이 

시작 및 중단되면 이러한 인증서를 저장하기 위해 고유한 개별 데이터베이스를 유지 및 관리합니

다. 이 데이터베이스는 중복 CA 인증서의 저장을 방지하도록 최적화되어 있습니다. ID 인증서는 

일반적으로 각 세션에 대해 고유하므로 중복 검사가 ID 인증서에서 수행되지 않습니다. 

클러스터링은 L2L VPN만 지원합니다. 또한, VPN 세션은 마스터 디바이스에만 설정되고 다른 모

든 디바이스에는 동기화되지 되지 않습니다. 마스터가 중단되면 이 세션을 다시 설정해야 합니다. 

ASA

는 24시간에 한 번, 만료에 대해 신뢰 지점에서 모든 CA 및 ID 인증서를 검사합니다. 인증서

의 만료일이 가까워지는 경우, syslog가 알림으로 발행됩니다.
CLI

는 알림과 반복 간격을 구성하기 위해 제공됩니다. 기본적으로, 알림은 만료 60일 전에 시작되

며 7일 마다 반복됩니다. 다음 명령을 사용하여 알림이 전송되는 간격과 첫 번째 알림이 전송된 만

료일 이전의 일수를 구성할 수 있습니다.

[no] crypto ca alerts expiration [begin <days before expiration>] [repeat <days>]