访问 CRL

一个证书包含零个或多个 URL（称为分发点），Messaging Server 使用这些 URL 来查找 CRL。如果证书没有 CRL URL，则不能根据 CRL 检查该证书，并且会在不知道密钥真实状态的情况下使用专用或公共密钥对邮件进行签名或加密。

如果 Messaging Server 在尝试所有可用的 URL 后都无法查找 CRL 或无法获得对 CRL 的访问权，证书的状态将被视为未知。将由 revocationunknown 的设置来确定是否使用处于未知状态的专用或公共密钥。

尽管每个 CA 只能有一个 CRL，但可以在多个位置保存同一个 CRL 的多个副本，因而用户的公共密钥证书对应多个 URL。Messaging Server 将尝试证书的所有 URL 位置，直到获得对 CRL 的访问权。

通过定期从 CA 将最新的 CRL 下载到所需位置，您可以管理 CRL 的多个副本从而优化访问。尽管您无法更改证书中嵌入的 URL，但您可以通过将证书中的 URL 映射到包含 CRL 信息的新 URL，来重新定位 Messaging Server 以使用新的 CRL 位置。请使用下面的语法在 LDAP 目录（请参见表 20–3 中的 crlmappingurl）中创建一个或多个映射定义的列表：

msgCRLMappingRecord=url_in_certificate==new_url[|url_login_DN|url_login_password]

url_in_certificate 是证书中包含旧信息的 URL，这些信息用来查找 CRL。new_url 是包含新 CRL 信息的新 URL。url_login_DN 和 url_login_password 是允许访问 new_url 的条目的 DN 和密码。这两个选项都是可选项，如果指定了这两个选项，将仅用于访问新的 URL。

如果 DN 和密码验证失败，将拒绝 LDAP 访问并且不再尝试其他证书。这些登录证书仅对 LDAP URL 有效。如果使用了 smmime.conf 中的 crlurllogindn 和 crlurlloginpw，则无需在映射记录中指定登录 DN 和密码。请参见使用证书访问 LDAP 中的公共密钥、CA 证书和 CRL

仅允许使用一层映射。可以将证书中各个不同的 URL 映射到同一个新 URL，但您不能将证书 URL 分配给多个新 URL。例如，以下映射列表就是一个无效映射列表：

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL12==URL66
msgCRLMappingRecord=URL12==URL88
msgCRLMappingRecord=URL20==URL90
msgCRLMappingRecord=URL20==URL93

以下示例是正确的映射列表：

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL14==URL66
msgCRLMappingRecord=URL88==URL66
msgCRLMappingRecord=URL201==URL90
msgCRLMappingRecord=URL202==URL93

在 LDAP 目录中创建映射定义后，请使用 smime.conf 文件中的 crlmappingurl 指定查找这些映射定义的目录信息。请参见smime.conf 文件的参数。