古い CRL の使用

S/MIME アプレットが Messaging Server にチェックの要求を送信すると、Messaging Server で CRL による証明書のチェックが実行されます。証明書をチェックするたびに CRL をメモリーにダウンロードするのではなく、Messaging Server は CRL のコピーをディスクにダウンロードして、そのコピーを証明書のチェックに使用します。すべての CRL には、日付を指定する次の更新日フィールドがあります。この日付以降は、最新のバージョンの CRL を使用する必要があります。次の更新日は、CRL の期限切れ日または使用の時間制限とみなすことができます。 次の更新日を過ぎた CRL は、古いものとみなされ、Messaging Server が証明書を次回チェックするときに最新バージョンの CRL をダウンロードするようにします。

S/MIME アプレットが証明書を CRL でチェックするように要求するたびに、Messaging Server は次のことを実行します。

1. 現在の日付を CRL の次の更新日と比較します。

2. CRL が古くなった場合は、Messaging Server は最新バージョンの CRL をダウンロードしてディスク上の古い CRL を置き換え、チェックを続けます。ただし、最新の CRL が見つからない、またはダウンロードできない場合は、smime.conf ファイルの crlusepastnextupdate の値によって何を行うべきかを判断します。

3. crlusepastnextupdate が 0 に設定されている場合、古くなった CRL は使用されず、問題の証明書のステータスはあいまいになります。S/MIME アプレットは、smime.conf の revocationunknown の値によって次に実行すべきことを判断します。

   1. revocationunknown に ok が設定されている場合は、証明書を有効とみなし、非公開キーまたは公開キーを使用してメッセージの署名や暗号化が行われます。

   2. revocationunknown に revoked が設定されている場合は、証明書を無効とみなし、メッセージの署名や暗号化には非公開キーも公開キーも使用せず、キーを使用できないことをポップアップエラーメッセージでメールユーザーに警告します。

   crlusepastnextupdate に 1 が設定されている場合は、S/MIME アプレットは古い CRL を使用し続け、これによって Communications Express メール内では処理が中断されることはありませんが、この状況を警告するメッセージが Messaging Server ログファイルに書き込まれます。

証明書が CRL でチェックされるたびに、この一連の手順が実行されます。Messaging Server が新しいバージョンの CRL を適時ダウンロードできる限り、また smime.conf ファイルの設定によっては、メールの処理は中断することなく進行します。古くなった CRL が使用されていることを示すメッセージが繰り返し表示されていないかどうか、Messaging Server ログを定期的に確認してください。新しい CRL がダウンロードできない場合は、アクセスできない理由を調査する必要があります。