Trong các trường hợp, các chứng không được sử dụng nữa thì cần có một phương pháp thu hồi lại chứng thực thay vì đợi đến cho chứng thực hết hạn. Có ba phương pháp thực hiện quan trọng là:
Sử dụng certificate revocation list (CRL), nó được tải xuống router định kỳ.
Sử dụng online certificate status protocol (OCSP), cung cấp update thời gian thực và tạo một yêu cầu cho mọi chứng thực xuất hiện.
Chương 3: Các phương pháp mã hóa và Cấu trúc PKI
Sử dụng authentication, authorization, and accouting (AAA) server kết hợp với chứng thực, liên quan đến các user thực hiện việc xác thực.
So sánh ưu khuyết điểm các phương pháp:
Ưu điểm Khuyết điểm
CRL Yêu cầu chi phí mạng thấp,
được hỗ trợ trong IOS. Không đáp ứng thời gian thực nếu chứng thực bi thu hồi khi chưa đến thời hạn update.
Nếu danh sách CRL dài, thì thời gian xử lý update chậm.
OCSP Đáp ứng thời gian thực. Không hỗ trợ trong IOS.
IOS CA thì không hỗ trợ OCSP, chỉ có sự kiểm tra của khách hàng được hỗ trợ.
AAA Thi hành việc cấp phép thời gian thực
Các thông tin chứng thực cụ thể phải được nhập vào AAA server. Phụ thuộc vào các tiêu chí lựa chọn, nó có thể làm mất nhiều thời gian cho người quản lý.
Trong phần này, chỉ trình bày về phương pháp CRL để kiểm tra chứng thực.
Certificate Revocation Lists
Certificate revocation list (CRL) cho phép các thiết bị xác định việc một chứng thực bị thu hồi trước thời hạn. Một CRL thì bao gồm số serial của chứng thực (ban hành bởi CA) và ngày thu hồi chứng thực. Để cho phép tính năng CRL hoạt động trên thiết bị ta dùng lệnh:
Router(ca-trustpoint)#revocation-check crl
Mặc định, CRL được lưu trên CA, nhưng nó được đề nghị lưu trên sever bên ngoài (ví dụ như tftp server) nếu có sự cố xảy ra (mất điện hoặc router bị hư) thì hệ thống PKI có thể phục hồi được. Để lưu CRL trên server bên ngoài, trong mode phụ cs- server ta dùng lệnh:
CRL cũng có thời gian sống. Khi khoảng thời gian này kết thúc, CRL sẽ được update lại thông tin. Để chỉnh thời gian sống của chứng thực, trong mode phụ cs- server dùng lệnh:
Router(cs-server)#lifetime crl ngày giờ
Để thu hồi một chứng thực, trong mode priviledge dùng lệnh: Router#crypto pki server name-server revoke số-serial
Chứng thực sẽ bị thu hồi, nhưng thông tin này sẽ không được CRL update cho đến khi nó hết hạn.