Ver/eliminar CRL y caché de OCSP
Resolution
Resumen
La lista de revocación de certificados (CRL) y el protocolo de estado de certificado en línea (OCSP) mantienen una lista de certificados revocados por la autoridad certificadora. Si la clave privada asociada con un certificado se pierde o se expone, se debe negar cualquier autenticación que utilice ese certificado. Del mismo modo, la gente cambiará trabajos, nombres y empresas. Cuando se sustituyen sus certificados, los certificados antiguos deben marcarse como no válidos. El propósito de la CRL y OCSP es mantener las listas de certificados que son válidos, pero que han sido revocados. Estas listas se almacenan en caché en el plano de administración (MP) y en el plano de datos (DP) del cortafuegos.
Detalles
Los siguientes son comandos útiles cuando ver/eliminar/comprobar el caché de CRL y OCSP.
Para ver la caché CRL/OCSP:
> debug sslmgr ver CRL<value></value>
> debug sslmgr View OCSP All |<OCSP url=""></OCSP>
Para eliminar la caché CRL/OCSP:
En MP
> debug sslmgr Delete CRL todo | > Debug sslmgr Delete OCSP todo | <ex 3=""></CSP></ex></CRL>
En DP
> depuración de planeo de reinicio SSL-Decrypt Certificate-status
Para comprobar las estadísticas CRL y OCSP:
> debug sslmgr Statistics
Propietario: kadak