CRL
CRLの管理
デフォルトでは、CRLの有効期限は1週間です。この値は設定することができる。新しいCRLが発行される。
-
CRL有効期間の約60%が経過した場合
-
証明書の失効直後
ICA 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。管理ツールで指定したCRLを再作成することは可能です。このユーティリティは、CRLが削除されたり破損したりした場合に、リカバリメカニズムとして機能します。管理者は、ICA管理ツールを使用して、DERエンコードされたバージョンのCRLをダウンロードすることができます。
CRLモード
ICAは、複数のCRLを発行することができる。複数のCRLを使用することで、1つのCRLが10Kより大きくなることを防ぐことができます。CRLが10Kを超えると、VPNトンネルを開こうとしたときにIKEネゴシエーションに失敗することがあります。
発行された各証明書を指定されたCRLに帰属させることで、複数のCRLが作成される。失効した場合、証明書のシリアルナンバーは指定された CRL に表示される。
証明書の CRL Distribution Point (CRLDP) 拡張子には、指定された CRL の URL が含まれる。これにより、証明書が検証される際に正しいCRLが取得されるようになる。
CRL の操作
CRLのダウンロード、更新、再作成は、ICA管理ツールから行うことができます。
CRLを使った操作を行うには
-
メニューペインで、Manage CRLs を選択します。
-
ドロップダウン・ボックスから、1つまたは複数のCRLを選択します。
-
アクションを選択します。
-
Download をクリックして、CRLをダウンロードする。
-
SmartConsole
Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。セッションを公開する を使用して、CRL データベースに変更が加えられた後に CRL を更新します。
この操作は、CRL Duration 属性で設定された間隔で行われる。
-
Recreate をクリックして、CRLを再作成します。
-