S/MIME applet 向 Messaging Server 傳送請求之後,Messaging Server 會對照 CRL 檢查憑證。Messaging Server 將 CRL 的副本下載至磁碟並使用該副本檢查憑證,而非在每次檢查憑證時都將 CRL 下載至記憶體。每個 CRL 都具有下次更新欄位,用於指定應該使用較新 CRL 版本的日期。可以將下次更新的日期視為使用 CRL 中的過期日期或時間限制。超過其下次更新日期的 CRL 均被視為舊的或失時效,並會觸發 Messaging Server 在下次檢查憑證時下載 CRL 的最新版本。
S/MIME applet 每次請求對照 CRL 檢查憑證時,Messaging Server 均會執行以下動作︰
將目前日期與 CRL 的下次更新日期相比較。
如果 CRL 已失時效,Messaging Server 將會下載 CRL 的最新版本以替代磁碟上失時效的 CRL,然後繼續進行檢查。但是,如果找不到或無法下載較新的 CRL,則使用 smime.conf 檔案中的 crlusepastnextupdate 值決定下一步。
如果 crlusepastnextupdate 設定為 0,則不使用失時效的 CRL,且問題憑證處於不明狀態。S/MIME applet 使用 smime.conf 中的 revocationunknown 值決定下一步︰
如果 revocationunknown 設定為 ok,則視憑證為有效,且使用私密金鑰或公開金鑰簽名或加密郵件。
如果 revocationunknown 設定為 revoked,則視憑證為無效,且不使用私密金鑰或公開金鑰簽名或加密郵件,同時快顯式錯誤訊息會警示郵件使用者不能使用該金鑰。
如果 crlusepastnextupdate 設定為 1,則 S/MIME applet 繼續使用此失時效的 CRL,這樣做不會中斷 Communications Express Mail 內的處理,但將會寫入一條訊息至 Messaging Server 記錄檔以警示此情況。
對照 CRL 檢查憑證時,此系列的事件會繼續發生。只要 Messaging Server 可以及時下載較新版本的 CRL,並且視 smime.conf 檔案中的設定而定,郵件處理會不中斷地進行。定期檢查 Messaging Server 記錄,查看是否存在重複的訊息表示正使用失時效的 CRL。如果無法下載較新的 CRL,則需要研究無法存取的原因。