CRL へのアクセス

証明書には、配布点と呼ばれる 0 個以上の URL が含まれています。Messaging Server は、配布点を使用して CRL を検索します。証明書に CRL URL が含まれていない場合、証明書を CRL でチェックすることはできず、本当のステータスがわからない状態で非公開キーまたは公開キーがメッセージの署名や暗号化に使用されます。

Messaging Server が利用できるすべての URL を試行しても CRL を見つけることもアクセスすることもできない場合は、証明書のステータスは不明になります。不明ステータスの非公開キーまたは公開キーを使用するかどうかは、revocationunknown の設定によって決定されます。

各 CA には CRL が 1 つのみサポートされますが、同じ CRL の複数のコピーは、ユーザーの公開キーの証明書の異なる URL で示される異なる場所に存在できます。Messaging Server は、CRL にアクセスできるようになるまで、証明書のすべての URL ロケーションを試行します。

アクセスを最適化するために、最新の CRL を CA から必要な場所に定期的にダウンロードして、複数の CRL のコピーを管理できます。証明書に埋め込まれた URL を変更することはできませんが、CRL 情報が含まれる新しい URL へ証明書内の URL をマッピングして、Messaging Server が新しい CRL の場所を使用するようにリダイレクトできます。次の構文を使用して LDAP ディレクトリ上に 1 つ以上のマッピング定義のリストを作成します (表 20–3 の「crlmappingurl」を参照)。

msgCRLMappingRecord=url_in_certificate==new_url[|url_login_DN|url_login_password]

url_in_certificate は、CRL を検索するための古い情報が含まれる、証明書内の URL です。new_url は、新しい CRL 情報が含まれる新しい URL です。url_login_DN および url_login_password は new_url へのアクセスを許可されたエントリの DN およびパスワードです。両方ともオプションであり、指定した場合、新しい URL のアクセスにのみ使用されます。

DN およびパスワードが受け入れられない場合、LDAP アクセスは拒否され、その他の資格情報での再試行は行われません。これらのログイン資格情報は、LDAP URL に対してのみ有効です。smmime.conf で crlurllogindn および crlurlloginpw を使用する場合は、マッピングレコードにログインの DN およびパスワードを指定する必要はありません。詳細については、「公開キー、CA 証明書、および CRL にアクセスするための、資格情報を使用した LDAP へのアクセス」を参照してください。

マッピングには 1 層のみが許されます。証明書内の異なる URL を同一の新しい URL にマッピングできますが、証明書の 1 つの URL に複数の新しい URL を割り当てることはできません。たとえば、次のマッピングリストは無効です。

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL12==URL66
msgCRLMappingRecord=URL12==URL88
msgCRLMappingRecord=URL20==URL90
msgCRLMappingRecord=URL20==URL93

次の例は、正しいマッピングリストです。

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL14==URL66
msgCRLMappingRecord=URL88==URL66
msgCRLMappingRecord=URL201==URL90
msgCRLMappingRecord=URL202==URL93

LDAP ディレクトリにマッピング定義を作成したら、smime.conf ファイルで crlmappingurl を使用してマッピング定義の場所を特定するためのディレクトリ情報を指定します。詳細については、「smime.conf ファイルのパラメータ」を参照してください。