Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

このページの目次

構文
階層レベル
説明
オプション
必要な権限レベル
リリース情報

revocation-check (Security PKI)

構文

階層レベル

説明

デバイスがデジタル証明書の失効ステータスを確認するために使用する方法を指定します。

オプション

crl	証明書失効リスト (CRL) のみがサポートされています。CRL は、失効した証明書を識別するタイムスタンプ付きのリストで、CA によって署名され、参加している IPsec ピアが定期的に利用できます。また、CRL (HTTP または LDAP) を取得する場所 (URL) も指定する必要があります。デフォルトでは、URL は空で、CA 証明書に埋め込まれた CDP 情報を使用します。例えば： `set security pki ca-profile ms-ca revocation-check crl url http://labsrv1.labdomain.com/CertEnroll/LABDOMAIN.crl` URL には、サーバー名またはポート情報 (ldap://<ip-or-fqdn>:<port>) などを含めることができます。ポート番号が指定されていない場合、HTTP はポート 80 を使用するか、LDAP はポート 443 を使用します。現在、構成できる URL は 1 つだけです。バックアップURLの設定はサポートされていません。デフォルトでは、 `crl` は有効になっています。ローカル証明書は、CRL チェックが無効になっている場合でも、証明書失効リスト (CRL) に対して検証されています。これは、公開キー基盤 (PKI) 構成を使用して CRL チェックを無効にすることで停止できます。CRL チェックが無効になっている場合、PKI はローカル証明書を CRL に対して検証しません。
disable	デジタル証明書のステータスの検証を無効にします。
ocsp	オンライン証明書状態プロトコル (OCSP) を構成して、証明書の失効状態を確認します。
use-crl	証明書の失効状態を確認する方法として CRL を指定します。CRL が既定の方法です。このオプションを有効にする場合は、デジタル証明書の失効状態を確認する方法として CRL を選択します。
use-ocsp	証明書の失効状態を確認する方法として、オンライン証明書状態プロトコル (OCSP) を指定します。CRL が既定の方法です。このオプションを有効にする場合は、デジタル証明書の失効状態を確認する方法として OCSP を選択します。

必要な権限レベル

セキュリティ—設定でこのステートメントを表示します。

セキュリティ管理ー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース8.5で修正されたステートメント。ocspJunos OSリリース12.1X46-D20で追加された、、、 use-crluse-ocsp オプションのサポート。