Удостоверяющий центр, выпустивший сертификат клиенту, имеет возможность отозвать сертификат. Это требуется, например, при увольнении сотрудника или компрометации устройства, на которое установлен сертификат. Несмотря на то, что сам сертификат остаётся валидным (с точки зрения проверяемой цепочки доверия), сервер WNAM должен иметь возможность проверки признака отозванности сертификата непосредственно в момент подключения, т.е. предъявления его клиентом сети.
Удостоверяющий центр публикует списки отзыва в виде полного (full) и разностного (delta) файлов в определенном формате, которые содержат серийные номера отозванных сертификатов (всё или за последнее время), причину отзыва, а также время очередного ожидаемого обновления. Обычно, полные списки (CRL) обновляются раз в неделю, разностные - ежедневно. Периодичность обновлений и адреса ресурсов настраиваются администратором вашего корпоративного Удостоверяющего центра.
Пользовательские (выпущенные удостоверяющим центром) сертификаты в одном из своих полей имеют список ресурсов CRL:
Обычно, это LDAP ресурс, ресурс в сетевом окружении и ресурс, доступный по HTTP. Система WNAM в своей работе использует списки, доступные только по протоколу HTTP. При этом, система WNAM применяет следующие настройки работы с сертификатами, определяемые в разделе "Конфигурация" →" Корпоративные настройки", блок "Сертификаты":
Первый чекбокс включает проверку валидности предоставленных EAP-TLS клиентом сертификатов; отключать его требуется в некоторых сценариях тестирования, но в продуктивном использовании такие проверки необходимы.
Параметр "Длительность кэширования проверки" задает время, в течение которого повторные подключения клиента по EAP-TLS не приводят к проверке сертификата через списки отзыва, что несколько ускоряет обработку сетевых соединений. Первоначально, и по истечении заданного тайм-аута, клиентский сертификат проверяется на отозванность.
Параметр "Проверять по CRL выпустившего УЦ" показывает, что для формирования адресов CRL-ресурсов будет использоваться информация из выпустившего сертификата (из доверенного загруженного в УЦ сертификата, указанного в поле Issuer/Издатель клиентского сертификата. Если в данном поле ничего не указано, используется адрес CRL ресурса из сертификата клиента.
Система запускает задачу обновления CRL-списков в своём кэше раз в пять минут. Попытка выгрузки полного и дельта-списка производятся как по истечении заданных в самих списках интервалов времени, так и по заданному в "Периодичность загрузки CRL и запросов OCSP" безусловному таймеру.
Попытка проверки CRL-ресурсов находит отображение в лог-файле wnam.log:
18:05:13.256 DEBUG [CACertificateManager.java:943] - scheduled downloadUpdatedCRLs, loadFull=true, cache size: 4
18:05:13.257 DEBUG [CACertificateManager.java:947] - downloadUpdatedCRLs issuer: 'CN=LAB-DC-LAB-01-CA,DC=LAB,DC=SEC', num_revoked: 0
18:05:13.331 ERROR [CACertificateManager.java:882] - refreshCrlCacheObject crl download and parse: Empty input
18:05:13.331 DEBUG [CACertificateManager.java:959] - downloadUpdatedCRLs num_revoked: 0, changed: 0
18:05:13.332 DEBUG [CACertificateManager.java:947] - downloadUpdatedCRLs issuer: 'CN=WNAM Root CA1,O=Netams,OU=LAB,L=Moscow,1.2.840.113549.1.9.1=#1600', num_revoked: 0
18:05:23.490 ERROR [CACertificateManager.java:882] - refreshCrlCacheObject crl download and parse: wnam.lab.wnam.ru
18:05:23.491 DEBUG [CACertificateManager.java:959] - downloadUpdatedCRLs num_revoked: 0, changed: 0
18:05:23.491 DEBUG [CACertificateManager.java:947] - downloadUpdatedCRLs issuer: 'CN=WNAM Perftest Root,O=NETAMS,OU=Lab,L=Moscow,1.2.840.113549.1.9.1=#160a616161406161612e7275', num_revoked: 0
18:05:23.511 DEBUG [CACertificateManager.java:886] - refreshCrlCacheObject url: http://wnam-perftest.aaa.ru/ca/ca.crl, ver: 2, full: true, contains: 0, took 20 ms.
18:05:23.512 DEBUG [CACertificateManager.java:959] - downloadUpdatedCRLs num_revoked: 0, changed: 0
18:05:23.512 DEBUG [CACertificateManager.java:947] - downloadUpdatedCRLs issuer: 'CN=Lab-WIN-CA,DC=lab,DC=wnam,DC=ru', num_revoked: 0
18:05:23.520 DEBUG [CACertificateManager.java:886] - refreshCrlCacheObject url: http://aaa.wnam.ru/tmp/Lab-WIN-CA.crl, ver: 2, full: true, contains: 3, took 8 ms.
18:05:23.521 TRACE [CACertificateManager.java:904] - refreshCrlCacheObject serial=1672555889997620275792861941179989192951726100
18:05:23.521 TRACE [CACertificateManager.java:904] - refreshCrlCacheObject serial=1672555890027854629971434530435121851836399642
18:05:23.521 TRACE [CACertificateManager.java:904] - refreshCrlCacheObject serial=1672555890098515176589919741422655420581806120
18:05:23.521 TRACE [CACertificateManager.java:915] - refreshCrlCacheObject freshest url: http://aaa.wnam.ru/tmp/Lab-WIN-CA+.crl
18:05:23.522 TRACE [CACertificateManager.java:919] - refreshCrlCacheObject issuingDp url: http://win.lab.wnam.ru/CertEnroll/Lab-WIN-CA.crl
18:05:23.525 DEBUG [CACertificateManager.java:886] - refreshCrlCacheObject url: http://aaa.wnam.ru/tmp/Lab-WIN-CA+.crl, ver: 2, full: false, contains: 1, took 3 ms.
18:05:23.525 TRACE [CACertificateManager.java:904] - refreshCrlCacheObject serial=1672555890098515176589919741422655420581806120
18:05:23.525 TRACE [CACertificateManager.java:919] - refreshCrlCacheObject issuingDp url: http://win.lab.wnam.ru/CertEnroll/Lab-WIN-CA.crl
18:05:23.525 DEBUG [CACertificateManager.java:959] - downloadUpdatedCRLs num_revoked: 3, changed: 4
В случае, если Удостоверяющий Центр вашего предприятия недоступен для внешних систем, таких как система авторизации WNAM, но проверять отозванность сертификатов необходимо, можно переопределить путь, по которому доступны списки отзыва CRL. Для этого необходимо какими-то средствами (прокси-сервер, скрипты и т.п.) самостоятельно настроить публикацию полного и дельта-списков отзывов на доступном для системы WNAM веб-сервере по протоколу HTTP. Затем в свойствах импортированного доверенного сертификата типа "СА" в Удостоверяющем Центре системы WNAM выбрать "Проверки":
И указать новый (альтернативный) http-ресурс, после чего нажать кнопку "Сохранить".
При сохранении система WNAM сделает проверку доступности ресурса. При поступлении запросов на подключения EAP-TLS от клиентов, предъявивших сертификат, выпущенный данными издателем (в примере:CN=Lab-WIN-CA,DC=lab,DC=wnam,DC=ru) будет использоваться закэшированный список отозванных сертификатов. При этом, список будет обновляться не из ресурса, указанного в самом сертификате (в примере: http://win.lab.wnam.ru/CertEnroll/Lab-WIN-CA.crl), а по заданному переопределяющему адресу. Это же касается и дельта-списков CRL, а также их последующих периодических обновлений.