CRL

CRLの管理

デフォルトでは、CRLの有効期限は1週間です。この値は設定可能です。CRLは次のタイミングで発行されます。

• CRL有効期間の約60％が経過した場合

• 証明書の失効直後

ICA管理ツールで指定したCRLを再作成することができます。このユーティリティは、CRLが削除されたり破損したりした場合に、リカバリメカニズムとして機能します。管理者は、ICA管理ツールを使用して、DERエンコードされたバージョンのCRLをダウンロードすることができます。

CRLモード

ICAでは、複数のCRLを発行できます。複数のCRLを使用することで、1つのCRLが10Kより大きくなることを防ぎます。CRLが10Kを超えると、VPNトンネルを開こうとしたときにIKEネゴシエーションに失敗することがあります。

発行された各証明書を指定されたCRLに帰属させることで、複数のCRLが作成されます。失効した場合は、証明書のシリアル番号は指定されたCRLに表示されます。

証明書のCRL Distribution Point (CRLDP) 拡張子には、指定されたCRLのURLが含まれます。これにより、証明書が検証される際に正しいCRLが取得されます。

CRLの操作

CRLのダウンロード、更新、再作成は、ICA管理ツールから行えます。

CRLを使った操作を行うには

1. メニューペインで、Manage CRLsを選択します。

2. ドロップダウンボックスから、1つまたは複数のCRLを選択します。

3. アクションを選択します。

   • DownloadをクリックしてCRLをダウンロードします。

   • SmartConsoleセッションを公開するCRLデータベースに変更が加えられた後、CRLを更新する。

     この操作は、CRL Duration属性で設定された間隔で行われます。

   • Recreateをクリックして、CRLを再作成します。