Listes de révocation de certificat
On s'attend à ce qu'un certificat numérique soit utilisé pendant toute sa période de validité. Toutefois, si nécessaire, un certificat peut être invalidé avant sa date d'expiration effective.
Il peut être nécessaire d'invalider le certificat, par exemple si un employé quitte l'entreprise ou si la clé privée du certificat a été compromise. Pour invalider un certificat, vous devez informer l'autorité de certification appropriée des circonstances. Lorsqu'une autorité de certification révoque un certificat, elle ajoute le numéro de série du certificat non valide à une liste de révocation de certificat (CRL).
Les CRL sont des structures de données signées qui sont émises périodiquement et mises à disposition dans un dépôt public. Les CRL peuvent être extraites des serveurs HTTP ou LDAP. Chaque CRL contient un horodatage en cours et un horodatage nextUpdate. Chaque certificat révoqué dans la liste est identifié par son numéro de série de certificat.
Lors de la configuration d'un tunnel IKE et de l'utilisation de certificats numériques comme méthode d'authentification, vous pouvez confirmer que le certificat n'a pas été révoqué en sélectionnant RSA Signature avec CRL Checking. Si la vérification CRL est activée, la liste est localisée et vérifiée au cours du processus de négociation pour établir le tunnel de gestion des clés.
Remarque : pour utiliser cette fonction d'IP Security, votre système doit être configuré pour utiliser un serveur SOCKS (version 4 pour les serveurs HTTP ), un serveur LDAP ou les deux. Si vous savez quel serveur SOCKS ou LDAP que vous utilisez pour obtenir des LCR, vous pouvez les ajouter au fichier /etc/isakmpd.conf