Bei der Konfiguration der CRL-Funktion werden neben dem Pfad der CRL zusätzliche Parameter wie das Update-Intervall angegeben.
| Konfigurationstool | Aufruf |
|---|---|
| LANconfig | Zertifikate / CRL-Client |
| WEBconfig, Telnet | LCOS-Menübaum > Setup > Zertifikate > CRLs |
- CRL-Funktionalität [Default: Aus]
- Aktiviert: Bei Prüfung eines Zertifikats wird die CRL (falls vorhanden) ebenfalls herangezogen.
Anmerkung: Wenn diese Option aktiviert ist und keine gültige CRL gefunden werden kann, weil z. B. der Server nicht erreichbar ist, werden alle Verbindungen abgelehnt und bestehende Verbindungen unterbrochen. - Alternative URL benutzen [Default: Nein]
- Nein: Es wird nur die im Root-Zertifikat angegebene URL verwendet.
- Ja, immer: Die alternative URL wird immer benutzt, auch wenn im Root-Zertifikat eine URL eingetragen ist.
- Ja, alternativ: Die alternative URL wird nur benutzt, wenn im Root-Zertifikat keine URL eingetragen ist.
- Alternative URL
- Diese URL kann (alternativ) benutzt werden, um eine CRL abzuholen.
- Abruf vor Ablauf [Default: 300 Sekunden]
- Der Zeitpunkt vor dem Ablauf der CRL, ab dem versucht wird, eine neue CRL zu laden. Dieser Wert wird um einen Zufallskomponente erhöht, um gehäufte Anfragen an den Server zu vermeiden. Be Erreichen dieses Zeitpunkts wird ein evtl. aktiviertes regelmäßiges Update angehalten.
Anmerkung: Wenn die CRL im ersten Versuch nicht geladen werden kann, werden in kurzen Zeitabständen neue Versuche gestartet. - Abruf regelmäßig [Default: 0 Sekunden]
- Die Länge des Zeitraums, nach dessen Ablauf periodisch versucht wird, eine neue CRL zu erhalten. Hiermit können eventuell außer der Reihe veröffentlichte CRLs frühzeitig heruntergeladen werden. Mit einem Eintrag von '0' wird das regelmäßige Abrufen ausgeschaltet.
Anmerkung: Wenn die CRL bei regelmäßigen Update nicht geladen werden kann, werden keine Versuche bis zum nächsten regelmäßigen Termin gestartet. - Gültigkeitstoleranz
- Zertifikatsbasierte Verbindungen werden auch nach Ablauf der CRL-Gültigkeit noch innerhalb des hier eingetragenen Zeitraums zugelassen. Mit dieser Toleranz-Zeit kann verhindert werden, dass z. B. bei kurzfristig nicht erreichbarem CRL-Server die Verbindungen abgelehnt oder getrennt werden.
Anmerkung: Innerhalb des hier eingestellten Zeitraums kann mit Hilfe der in der CRL bereits gesperrten Zertifikate weiterhin eine Verbindung aufrecht erhalten bzw. eine neue Verbindung aufgebaut werden.