Die Adresse, von der eine Certificate Revocation List (CRL) abgeholt werden kann, wird normalerweise innerhalb der Zertifikate (als crlDistributionPoint) angegeben. Bei der Konfiguration der CRL-Funktion können zusätzliche Parameter wie das Update-Intervall angegeben werden.
Konfigurationstool | Aufruf |
---|---|
LANconfig | |
Konsole |
- CRL-Client-Funktionalität aktiviert
-
Bei der Prüfung der Gültigkeit eines Zertifikats wird eine ggf. vorhandene CRL herangezogen.
Wichtig: Wenn die CRL-Funktionalität aktiviert ist, werden bei Systemstart zunächst neue (zertifikatsbasierte) Verbindungen immer blockiert, bis es eine gültige CRL im System gibt, die zum Zertifikat passt. Wenn die CRL-Funktionalität aktiviert wird, bleiben bereits bestehende Verbindungen erhalten, ein nachfolgendes Rekeying der Phase 1 scheitert aber.
- Abruf vor Ablauf (pro CRL)
-
Dieser Wert wird immer um eine Zufallskomponente von 0 bis 59 Sekunden erhöht, um gehäufte Anfragen an den Server zu vermeiden.
Zu Beginn dieses Zeitraums wird ein eventuell laufendes regelmäßiges Abrufen gestoppt.
Wichtig: Wenn das Abrufen der CRL scheitert, so wird es alle 30 Sekunden erneut versucht.
- Abruf regelmäßig (pro CRL)
-
Das Intervall zwischen regelmäßigen Versuchen, eine neue CRL herunterzuladen.
Falls die CA neue CRLs außer der Reihe (mitten im Gültigkeitszeitraum der aktuellen CRL) herausgibt, kann ein Intervall
definiert werden, in dem nach dem Herunterladen der aktuellen CRL regelmäßig versucht wird, eine neue CRL herunterzuladen.
Dadurch kann die neue CRL frühzeitig verwendet werden und nicht erst kurz vor Ablauf der Gültigkeit der aktuellen CRL. Ein
Intervall von 0 schaltet diese Funktionalität aus.
Wichtig: Wenn die CRL bei regelmäßigen Update nicht geladen werden kann, werden keine Versuche bis zum nächsten regelmäßigen Termin gestartet.
- Gültigkeitsprüfungs-Toleranz
-
Zertifikatsbasierte Verbindungen werden auch nach Ablauf der CRL-Gültigkeit noch innerhalb des hier eingetragenen Zeitraums
zugelassen. Mit dieser Toleranz-Zeit kann verhindert werden, dass z. B. bei kurzfristig nicht erreichbarem CRL-Server die
Verbindungen abgelehnt oder getrennt werden.
Wichtig: Innerhalb des hier eingestellten Zeitraums kann mit Hilfe der in der CRL bereits gesperrten Zertifikate weiterhin eine Verbindung aufrecht erhalten bzw. eine neue Verbindung aufgebaut werden.
- Alternative URLs
- Die Adresse, von der eine Certificate Revocation List (CRL) abgeholt werden kann, wird normalerweise innerhalb der Zertifikate (als crlDistributionPoint) angegeben. In der Firmware können in einer Tabelle alternative URLs angegeben werden. Nach dem Systemstart werden die entsprechenden CRLs automatisch von diesen URLs abgeholt und zusätzlich zu den in den Zertifikaten angegebenen Listen verwendet.