certificate-check

命令功能

certificate-check命令用来配置PKI域中证书吊销状态的检查方式。

undo certificate-check命令用来取消PKI域中配置的证书吊销状态的检查方式。

缺省情况下，系统未配置PKI域中证书吊销状态的检查方式。

certificate-check { { crl | ocsp } ^* [ none ] | none }

undo certificate-check

参数	参数说明	取值
crl	指定检查方式为证书废除列表CRL（Certificate Revocation List）。	-
ocsp	指定检查方式为在线证书状态协议OCSP（Online Certificate Status Protocol）。	-
none	指定不对证书吊销状态进行检查。	-

PKI域视图

2：配置级

应用场景

当PKI实体验证对端证书时，经常需要检查对端证书是否有效，例如对端证书是否过期、是否被加入CRL。此时，可以配置本命令来检查对端证书状态。

PKI域中证书吊销状态的检查有以下几种方式：

CRL方式
PKI实体支持以下几种方式下载CRL。
- SCEP方式：此方式是获取CRL的缺省方式。大批量获取CRL时，不建议使用此方式。
- HTTP方式：如果CA支持作为CRL发布点CDP，在CA证书中会包含CDP信息，用以描述获取该证书CRL的途径和方式。PKI实体可以利用CDP中指定的机制（HTTP方式）和地址来定位和下载CRL。PKI实体也可以手工配置CDP的URL地址。
- LDAP方式和LDAPv3模板方式：PKI实体通过在CRL查询请求报文中携带LDAP服务器的属性和标识符等信息，从LDAP服务器获取CRL。
OCSP方式

PKI实体通过OCSP方式可以在线检查证书状态，无需经常下载CRL以确保列表的更新。

在IPSec场景中，PKI实体间使用证书方式进行IPSec协商时，可以通过OCSP方式实时检查对端实体的证书状态。
None方式

如果PKI实体没有可用的CRL和OCSP服务器，或者不需要检查对端证书状态，可以采用None方式，即不检查证书是否被撤销。

用户可以根据实际需求选择以下配置：

配置certificate-check crl命令，则只使用CRL方式。
配置certificate-check ocsp命令，则只使用OCSP方式。
配置certificate-check crl none命令，先使用CRL方式，如果CRL方式不可用，则认为证书有效。
配置certificate-check ocsp none命令，先使用OCSP方式，如果OCSP方式不可用，则认为证书有效。
配置certificate-check crl ocsp命令，先使用CRL方式，如果CRL方式不可用，使用OCSP方式，如果两种方式都不可用，则认为证书无效。
配置certificate-check ocsp crl命令，先使用OCSP方式，如果OCSP方式不可用，使用CRL方式，如果两种方式都不可用，则认为证书无效。
配置certificate-check crl ocsp none命令，先使用CRL方式，如果CRL方式不可用，使用OCSP方式，如果两种方式都不可用，则认为证书有效。
配置certificate-check ocsp crl none命令，先使用OCSP方式，如果OCSP方式不可用，使用CRL方式，如果两种方式都不可用，则认为证书有效。
配置certificate-check none命令，不对证书吊销状态进行检查。

注意事项

如果域下没有配置本命令，将以全局的证书检查方式为准，即以在系统视图下配置的pki crl check enable命令或undo pki crl check enable命令为准。

执行命令ca-name将PKI域和特定的CA关联起来后，才能根据域下配置的证书检查方式检查证书的状态。

执行命令certificate-check crl后，设备上没有CRL文件时，证书校验失败，证书无效。

# 为PKI域test配置证书吊销状态的检查方式为CRL方式，如果CRL方式不可用，则认为证书有效。

<sysname> system-view
[sysname] pki realm test 
[sysname-pki-realm-test] certificate-check crl none