1. はじめに

本ドキュメントは、ISE にて CRL をご利用の環境において、原因としてはいくつか考えられますが CRL をダウンロードできない問題について、本ドキュメントではそのケースの一例を紹介しております。
※ 本ドキュメントは、ISE 2.4.0.357 の環境を元に作成しております。

2. 事象

以下のような状況の場合、本ドキュメントで紹介しております事例に関連する可能性は考えられます。

• クライアント証明書は有効期限など問題ない(ISE GUI の設定で 'Bypass CRL Verification if CRL is not Received' を有効にすると認証は成功する)。
• 他の機器は ISE GUI で設定した CRL Distribution URL から CRL をダウンロード可能。
• Failure Reason を ISE のレポートで確認すると "12831 Unable to download CRL"。
  出力例:
  
• CRL をダウンロードできない事が原因で Revocation check ができず、認証不可に至っている
• ISE で tcpdump でパケットキャプチャをとった場合に ISE GUI で設定した CRL Distribution URL 向けのパケットが送信されていないように見える
• CRL Distribution URL を変更した。
• ISE の設定で proxy の設定がある。

3. 確認と対処

ISE GUI の proxy の設定(Administration > System > Settings > Proxy)がある場合には HTTP での CRL のダウンロードは、proxy 経由になります。
対処としては、前述の ISE で設定している proxy の設定で、CRL Distribution URL のサーバを proxy の例外に登録頂くことです。
なお、こちらについては、Administrator Guide や ISE GUI の proxy の設定(Administration > System > Settings > Proxy)にも記載がございます。
参考:

Cisco Identity Services Engine Administrator Guide, Release 2.4