Cisco Adaptive Security Appliance Software Version 8.4(2)
Делаю аутентификацию клиентов AnyConnect по сертификатам:

tunnel-group ConnectWEBVPNGroup webvpn-attributes
authentication aaa certificate

Всё работает, пользователя пускает. Отзываю сертификат:

Статус Revoked:

Username: test
Renewal allowed until: Not Allowed
Number of times user notified: 0
PKCS12 file stored until: 02:26:57 MSK/MDD Sun Oct 9 2011
Certificates Issued:
serial: 0x6
issued: 02:26:57 MSK/MDD Sat Oct 8 2011
expired: 02:26:57 MSK/MDD Mon Oct 4 2021
status: Revoked at 11:51:12 MSK/MDD Sun Oct 9 2011

пользователя ASA продолжает пускать по этому сертификату.
Как такое может быть ?

Crl опубликовали, а аса про них знает? Проверка crl должна быть включена

сертификат присутствует в списке отозванных:
sh crypto ca server crl

Certificate Revocation List:
Issuer: cn=xxx.xxx.ru
This Update: 04:53:09 MSK/MDD Oct 10 2011
Next Update: 10:53:09 MSK/MDD Oct 10 2011
Number of CRL entries: 7
CRL size: 500 bytes
Revoked Certificates:
Serial Number: 0x06
Revocation Date: 11:51:12 MSK/MDD Oct 9 2011

Я уже не знаю куда и смотреть Подскажете, где ещё нужно указать, что нужно смотреть список отозванных сертификатов ?

crypto ca trustpoint LOCAL-CA-SERVER
keypair LOCAL-CA-SERVER
crl configure
crypto ca server
lifetime ca-certificate 3649
lifetime certificate 3649
keysize 2048
keysize server 2048

webvpn
enable outside
csd image disk0:/csd_3.5.841-k9.pkg
csd enable
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg 1
anyconnect enable
tunnel-group-list enable
onscreen-keyboard all

group-policy GroupPolicyConnect internal
group-policy GroupPolicyConnect attributes
wins-server none
vpn-idle-timeout 10
vpn-session-timeout 240
vpn-filter value ACL_AnyConn
vpn-tunnel-protocol ikev2 ssl-client
group-lock value ConnectWEBVPNGroup
webvpn


tunnel-group ConnectWEBVPNGroup type remote-access
tunnel-group ConnectWEBVPNGroup general-attributes
address-pool vpnclients
authentication-server-group RADIUS1
default-group-policy GroupPolicyConnect
tunnel-group ConnectWEBVPNGroup webvpn-attributes
authentication aaa certificate
group-alias VPN enable
group-url https://sss/vpn enable
without-csd


если убрать ааа, оставить только сертификаты - authentication certificate - так же прекрасно пускает на отозванном сертификате

http://www.cisco.com/en/US/docs/securit ... #wp1059340

в трастпоинте попробуйте указать
revocation-check crl

P.S. заметил, что используете local ca. Возникает вопрос - куда цисковский CA выкладывает списки CRL? Я сам с такой конфигурацией не работал, у меня CA был внешний, списки публиковались в LDAP каталог, все работало.

Помогло - спасибо большое, Вы очень меня выручили !

Рад что смог помочь