CRL

CRLの管理

デフォルトでは、CRLの有効期限は1週間です。この値は設定することができる。新しいCRLが発行される。

• CRL有効期間の約60％が経過した場合

• 証明書の失効直後

ICA 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。管理ツールで指定したCRLを再作成することは可能です。このユーティリティは、CRLが削除されたり破損したりした場合に、リカバリメカニズムとして機能します。管理者は、ICA管理ツールを使用して、DERエンコードされたバージョンのCRLをダウンロードすることができます。

CRLモード

ICAは、複数のCRLを発行することができる。複数のCRLを使用することで、1つのCRLが10Kより大きくなることを防ぐことができます。CRLが10Kを超えると、VPNトンネルを開こうとしたときにIKEネゴシエーションに失敗することがあります。

発行された各証明書を指定されたCRLに帰属させることで、複数のCRLが作成される。失効した場合、証明書のシリアルナンバーは指定された CRL に表示される。

証明書の CRL Distribution Point (CRLDP) 拡張子には、指定された CRL の URL が含まれる。これにより、証明書が検証される際に正しいCRLが取得されるようになる。

CRL の操作

CRLのダウンロード、更新、再作成は、ICA管理ツールから行うことができます。

CRLを使った操作を行うには

1. メニューペインで、Manage CRLs を選択します。

2. ドロップダウン・ボックスから、1つまたは複数のCRLを選択します。

3. アクションを選択します。

   • Download をクリックして、CRLをダウンロードする。

   • SmartConsole Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。セッションを公開する を使用して、CRL データベースに変更が加えられた後に CRL を更新します。

     この操作は、CRL Duration 属性で設定された間隔で行われる。

   • Recreate をクリックして、CRLを再作成します。