Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

Digicert

Geotrust

GoDaddy

iPlanet/Netscape

Microsoft Certificate Services

RSA Keon

Thawte

VeriSign

CRL

은 ASA에서 유효 기한이 지나지 않은 어떤 인증서가 그 발급 CA에 의해 폐기되었는지를 확

인할 수 있는 방법 중 하나입니다. CRL 컨피그레이션은 신뢰 지점 컨피그레이션에 포함되어 있습

니다. 
ASA

에서 인증서를 확인할 때마다 반드시 CRL 검사를 수행하도록 revocation-check crl 명령을 

사용하여 구성할 수 있습니다. 또한 revocation-check crl none 명령을 사용하여 CRL 검사를 선

택 사항으로 설정할 수도 있습니다. 그러면 CA에서 업데이트된 CRL 데이터를 제공할 수 없는 경

우에도 인증서 인증에 성공할 수 있습니다.
ASA

에서는 HTTP, SCEP 또는 LDAP을 사용하여 CA로부터 CRL을 검색할 수 있습니다. 각 신뢰 

지점에 대해 검색된 CRL은 신뢰 지점별로 구성 가능한 기간만큼 캐시에 저장할 수 있습니다.
ASA

에서 CRL을 캐시하기 위해 구성된 시간보다 더 오래 CRL을 캐시한 경우 ASA는 CRL을 너무 

오래되어 신뢰할 수 없거나 "시간이 경과된" 상태로 간주합니다. ASA는 다음 번에 인증서 인증에서 

시간이 경과된 CRL에 대한 검사를 필요로 할 때 CRL의 새로운 버전을 검색하려고 시도합니다.
ASA

에서 CRL을 캐시에 보관하는 기간은 다음 2가지 변수에 따라 결정됩니다.

cache-time 

명령에서 지정한 분 수. 기본값은 60분입니다.

검색된 CRL의 NextUpdate 필드. 이 필드가 CRL에 없을 수도 있습니다. ASA에서 
NextUpdate 

필드를 필수 항목으로 하고 사용할 것인가는 enforcenextupdate 명령으로 제어

합니다.

ASA

에서는 이 2가지 변수를 다음과 같이 사용합니다.

NextUpdate 

필드가 필수 항목이 아닐 경우, ASA에서는 cache-time 명령으로 지정된 기간이 

지나면 오래된 CRL로 표시합니다.

NextUpdate 

필드가 필수 항목일 경우, ASA에서는 cache-time 명령으로 지정된 값과 

NextUpdate 

필드의 값 중 더 빠른 시점에 오래된 CRL로 표시합니다. 예를 들어, cache-time 

명령에서 100분으로 설정되었고 NextUpdate 필드에서 다음 업데이트가 70분 후라고 지정되

었다면 ASA는 70분이 지나면 CRL을 오래되었다고 표시합니다.

ASA

에서 어떤 신뢰 지점에 대해 캐시된 모든 CRL을 저장하기에 메모리가 부족할 경우, 가장 오

래전에 사용한 CRL을 삭제하여 새로 검색된 CRL을 위한 공간을 마련합니다. 

OCSP

는 ASA에서 유효 기한이 지나지 않은 어떤 인증서가 그 발급 CA에 의해 폐기되었는지를 

확인할 수 있는 방법 중 하나입니다. OCSP 컨피그레이션은 신뢰 지점 컨피그레이션에 포함되어 

있습니다.