验证CA证书和本地证书

CRL方式

如果CA支持作为CRL发布点CDP（CRL Distribution Point），则当CA颁发证书时，在证书中会包含CDP信息，用以描述获取该证书CRL的途径和方式。PKI实体利用CDP中指定的机制（HTTP方式）和地址来下载CRL。

如果PKI实体配置了CDP的URL地址，该地址将覆盖证书中携带的CDP信息，PKI实体使用配置的URL来获取CRL。如果CA不支持作为CDP，则PKI实体可以使用SCEP方式下载CRL。

当PKI实体验证本地证书时，先查找本地内存的CRL，如果本地内存没有CRL，则需下载CRL并安装到本地内存中，如果对端实体的本地证书在CRL中，表示此证书已被撤销。

OCSP方式

在IPSec场景中，PKI实体间使用证书方式进行IPSec协商时，可以通过OCSP方式实时检查对端实体的证书状态。

OCSP克服了CRL的主要缺陷：PKI实体必须经常下载CRL以确保列表的更新。当PKI实体访问OCSP服务器时，会发送一个对于证书状态信息的请求。OCSP服务器会回复一个“有效”、“过期”或“未知”的响应。

有效表示证书没有被撤销。

过期表示证书已被撤销。

未知表示OCSP服务器不能判断请求的证书状态。

None方式

如果PKI实体没有可用的CRL和OCSP服务器，或者不需要检查PKI实体的本地证书状态，可以采用None方式，即不检查证书是否被撤销。