存取 CRL

憑證不包含或包含多個 URL，亦稱為發行點，Messaging Server 使用這些來查找 CRL。如果憑證無 CRL URL，則無法對照 CRL 檢查該憑證，且在不知道該金鑰的真實狀態下使用私密金鑰或公開金鑰來簽名或加密郵件。

如果 Messaging Server 嘗試所有可用的 URL 後仍找不到或無法獲得 CRL 的存取權，則視憑證狀態為未知。revocationunknown 的設定決定是否使用處於不明的狀態之私密金鑰或公開金鑰。

如果每個 CA 僅支援一個 CRL ，則位於不同位置的同一 CRL 可能會產生多個副本，並反映在使用者的公開金鑰憑證的不同 URL 中。Messaging Server 會嘗試憑證的所有 URL 位置，直到獲得 CRL 的存取權。

透過定期從 CA 下載目前 CRL 至需要的位置，您可以管理 CRL 的多個副本以獲得最佳存取。無法變更憑證內嵌的 URL 時，您可以重新導向 Messaging Server，以透過將憑證中的 URL 對映至新的包含 CRL 資訊的 URL 來使用新的 CRL 位置。 使用以下語法在 LDAP 目錄中建立一個或多個對映定義清單 (請參閱表 20–3 中的 crlmappingurl)︰

msgCRLMappingRecord=url_in_certificate==new_url[|url_login_DN|url_login_password]

url_in_certificate 是一個 URL，位於包含用於查找 CRL 的舊資訊之憑證中。new_url 是包含新 CRL 資訊的新 URL。url_login_DN 和 url_login_password 是可存取 new_url 的項目之 DN 和密碼。這兩項均具有可選擇性，並且指定後將僅用於新的 URL 存取。

如果 DN 和密碼無效，則 LDAP 存取會被拒絕並且不再嘗試重試具有其他憑證。這些登入憑證僅對 LDAP URL 有效。如果使用 smmime.conf 中的 crlurllogindn 和 crlurlloginpw，則無需在對映記錄中指定登入 DN 和密碼。請參閱使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP

僅允許一個對映層。可以將憑證中不同的 URL 對映至同一個新的 URL，但不能將一個憑證 URL 指定給多個新的 URL。例如，以下對映清單無效︰

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL12==URL66
msgCRLMappingRecord=URL12==URL88
msgCRLMappingRecord=URL20==URL90
msgCRLMappingRecord=URL20==URL93

以下範例為正確的對映清單︰

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL14==URL66
msgCRLMappingRecord=URL88==URL66
msgCRLMappingRecord=URL201==URL90
msgCRLMappingRecord=URL202==URL93

在 LDAP 目錄中建立對映定義後，請使用 smime.conf 檔案中的 crlmappingurl 指定查找這些對映定義的目錄資訊。請參閱smime.conf 檔案的參數。