GETVPN CRL チェックに関する情報
インターネット キー エクスチェンジ(IKE)では、証明書は 2 台のピア間でセッションが確立されるときに検証されます。現在のセッションは証明書失効の影響を受けません。ただし、新しいセッションを確立することはできず、グループ メンバーがキー サーバ(KS)に再登録しない限り証明書は再検証されません。
GETVPN CRL チェック機能では、設定されたトラストポイントで新しい CRL が利用可能なときに公開キー インフラストラクチャ(PKI)がグループ ドメイン オブ インタープリテーション(GDOI)KS に通知することができます。その後 KS は新しい Key Encryption Key(KEK)を作成し、グループ メンバー デバイスに再認証メッセージを送信します。これにより、syslog メッセージが出力され、現在の KEK が削除され、KS に再登録されます。
連携キー サーバのプロトコル統合
連携キー サーバのプロトコル(COOP)は、VPN ネットワークに複数のキー サーバ(KS)を設定できるようにする GET VPN の機能です。KS 冗長性のために使用されます。
すべての KS でグループ メンバー(GM)の再認証を有効にすることで、GETVPN CRL チェックは COOP と統合されます。ただし、連携 KS 間で一時的に接続が失われる場合、COOP 分割が発生する可能性は常にあります。
再認証がトリガーされたときの COOP 分割なし
COOP 分割が発生しない場合、プライマリ GM デバイスはセカンダリ KS の Key Encryption Key(KEK)を削除し、GM に再認証メッセージを送信します。セカンダリ KS は GM が再登録を開始する前に現在のポリシーをプライマリ ポリシーと同期させます。すべての GM が使用可能な KS に再登録して再認証され、新しい KEK を受信します。
再認証がトリガーされたときの COOP 分割
再認証がトリガーされる前に COOP 分割が発生し、2 つのプライマリ KS しかない場合、両者が再認証メッセージを送信します。それぞれのプライマリ KS は異なる新しい KEK を作成します。GM は、メッセージを受信するとすぐに既存の KEK をすべて削除するため、受信する最初の再認証メッセージだけを理解します。GM は使用可能な KS に再登録し、CRL チェックが行われます。再登録のとき、GM が登録した KS に応じて GM は最初のプライマリの KEK または 2 番目のプライマリの KEK のいずれかを受け取ります。GM はその KEK をインストールし、そのプライマリ KS からのみ今後のキー再生成を受信します。COOP マージが発生すると、KS はポリシーを同期し、キー再生成を送信して、すべての GM が最新の KEK とトラフィック暗号キー(TEK)を持つようにします。
異なる KEK の作成の回避
COOP 分割中に再認証がトリガーされる場合も、再認証と CRL チェックは依然として発生します。ただし、KS での異なる KEK の作成をトリガーすることは、再認証を遅らすことによって回避できます。プライマリ KS はすべての COOP KS に到達可能な(分割されない)場合にのみ、再認証を開始します。1 つの COOP KS に到達できない場合、プライマリ KS はすべての COOP KS が到達可能になるまで再認証メッセージの送信を遅らせます。