CRL

CRLの管理

デフォルトでは、CRLの有効期限は1週間です。この値は設定することができる。新しいCRLが発行される。

  • CRL有効期間の約60%が経過した場合

  • 証明書の失効直後

ICA閉じた 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。管理ツールで指定したCRLを再作成することは可能です。このユーティリティは、CRLが削除されたり破損したりした場合に、リカバリメカニズムとして機能します。管理者は、ICA管理ツールを使用して、DERエンコードされたバージョンのCRLをダウンロードすることができます。

CRLモード

ICAは、複数のCRLを発行することができる。複数のCRLを使用することで、1つのCRLが10Kより大きくなることを防ぐことができます。CRLが10Kを超えると、VPNトンネルを開こうとしたときにIKEネゴシエーションに失敗することがあります。

発行された各証明書を指定されたCRLに帰属させることで、複数のCRLが作成される。失効した場合、証明書のシリアルナンバーは指定された CRL に表示される。

証明書の CRL Distribution Point (CRLDP) 拡張子には、指定された CRL の URL が含まれる。これにより、証明書が検証される際に正しいCRLが取得されるようになる。

CRL の操作

CRLのダウンロード、更新、再作成は、ICA管理ツールから行うことができます。

CRLを使った操作を行うには

  1. メニューペインで、Manage CRLs を選択します。

  2. ドロップダウン・ボックスから、1つまたは複数のCRLを選択します。

  3. アクションを選択します。