Afficher/supprimer les CRL et le cache OCSP
Resolution
Vue d’ensemble
La liste de révocation de certificats (CRL) et le protocole OCSP (Online Certificate Status Protocol) maintiennent chacune une liste de certificats révoqués par l'autorité de certification. Si la clé privée associée à un certificat est perdue ou exposée, toute authentification utilisant ce certificat doit être refusée. De même, les gens vont changer les emplois, les noms et les entreprises. Lorsque leurs certificats sont remplacés, les anciens certificats doivent être marqués comme non valides. Le CRL et le OCSP ont pour objet de conserver les listes de certificats valides, mais qui ont été révoquées. Ces listes sont mises en cache sur le plan de gestion (MP) et le plan de données (DP) sur le pare-feu.
Détails
Les commandes suivantes sont utiles lorsque vous souhaitez afficher/supprimer/vérifier le cache CRL et OCSP.
Pour afficher le cache CRL/OCSP:
> Debug sslmgr View CRL<value></value>
> Debug sslmgr voir OCSP tous |<OCSP url=""></OCSP>
Pour supprimer le cache CRL/OCSP:
Sur MP
> Debug sslmgr supprimer CRL tous | > Debug sslmgr supprimer OCSP tous | <ex 3=""></CSP></ex></CRL>
Sur DP
> Debug dataplane Reset SSL-Decrypt Certificate-statut
Pour vérifier les statistiques CRL et OCSP:
> Debug sslmgr statistiques
propriétaire : anissa