1. 目的
本ドキュメントは、よく問い合わせのあるASA/AnyConnectご利用時のCRL取得に関する情報となります。
以下は、前提としてASA9.4系, AnyConnect version 4.4 で http で CRLを取得する環境で確認をいたしております。
2. CRL取得先の優先度
以下のような設定で、ASAがCRLをキャッシュしておらず、かつユーザ証明書に CDP も含まれている場合は、
crypto ca trustpoint myCA
revocation-check crl (or revocation-check crl none)
crl configure
policy both (or static)
url 1 http://crl1.example.com/url1/crl_myRootCA.der
url 2 http://crl2.example.com/url2/crl_myRootCA.der
no protocol ldap
no protocol scep
以下のような順番で、ASAはCRLを取得しようとします。そして、CRLが取得できた時点でそれ以降の CDP からは CRL を取得しません。
1. ユーザ証明書のCDP(policy bothの場合)
2. ASAで設定しているCDP(url 1, url2, ... ,url 5)
3. AnyConnect接続時の revocation check について
ASAがCRLをキャッシュしている場合は、そのキャッシュした情報に基づき revocation check をいたします。
ASAがCRLをキャッシュしていない場合は、CRLを前述の優先度に基づき、CRLを取得しますが、revocation check については設定により動作が異なります。
1. revocation-check crl none
最初のAnyConnect接続時は、revocation checkは実施されない(revokeされた証明書でも接続可能)。
※ こちらは、ASAの期待された動作となります。
2. revocation-check crl
CRLを取得後に revocation checkを実施(revokeされた証明書で接続不可)
4. ASAにおけるCRLの注意点とCRL取得で問題になった際に取得いただきたいログ
ASAがサポートするCRLはDER形式のみです。
CRLに関連した問題で、TACにお問い合わせの際に事前に取得いただきたいログ:
事前に以下の debug を有効にしていただき、本事象再現時のログの取得をお願いいたします。
debug crypto ca 255
debug crypto ca transactions 255
debug webvpn anyconnect
syslog(debugging level)
以下のコマンドについては、事象発生前と発生後でそれぞれ取得ください。
show crypto ca certificates
show crypto ca crls
show crypto ca trustpoints
show tech
また、状況によっては、CRLを署名したCA局の証明書、もしくは、証明書の内容が確認出来るスクリーンショットを確認させていただく場合もございます。