24.9.3 CRL 액세스

인증서에는 Messaging Server가 CRL을 찾기 위해 사용하는 0개 이상의 URL(배포 지점이라고도 함)이 포함됩니다. 인증서에 CRL URL이 없을 경우 CRL에 대해 확인할 수 없으며 진짜 상태를 알지 못한 채 개인 또는 공개 키를 사용하여 메시지를 서명하거나 암호화하게 됩니다.

Messaging Server가 사용할 수 있는 모든 URL을 시도한 후 CRL을 찾거나 액세스하지 못할 경우 인증서 상태가 알 수 없는 것으로 간주됩니다. 상태를 알 수 없는 개인 키 또는 공개 키를 사용할지 여부는 revocationunknown의 설정에 따라 결정됩니다.

각 CA에 대해 하나의 CRL만 지원되지만 동일한 CRL의 여러 복사본이 사용자의 공개 키 인증서 간에 다른 URL로 표시되는 다른 위치에 존재할 수 있습니다. Messaging Server는 CRL에 액세스할 때까지 인증서의 모든 URL 위치를 시도합니다.

정기적으로 CA에서 최신 CRL을 원하는 위치에 다운로드하여 CRL의 여러 복사본에 최 적으로 액세스할 수 있도록 관리할 수 있습니다. 인증서에 포함된 URL을 변경할 수 없지만 인증서의 URL을 CRL 정보가 포힘된 새 URL로 매핑하여 새 CRL 위치를 사용하도록 Messaging Server를 리디렉션할 수 있습니다. 다음 구문을 사용하여 LDAP 디렉토리에서 하나 이상의 매핑 정의 목록을 만듭니다(표 24–3 참조).

msgCRLMappingRecord=url_in_certificate==new_url[|url_login_DN|url_login_password]

url_in_certificate는 CRL을 찾기 위한 이전 정보가 포함된 인증서의 URL입니다. new_url은 새 CRL 정보가 포함된 새 URL입니다. url_login_DN 및 url_login_password에 액세스할 수 있는 항목의 DN과 비밀번호입니다. 두 옵션은 모두 선택 사항이며 지정하는 경우 새 URL 액세스에 대해서만 사용됩니다.

DN과 비밀번호가 실패할 경우 LDAP 액세스가 거부되며 다른 자격 증명을 사용하여 다 시 시도되지 않습니다. 이러한 로그인 자격 증명은 LDAP URL에 대해서만 유효합니다. smmime.conf에서 crlurllogindn 및 crlurlloginpw를 사용할 경우 매핑 레코드에 로그인 DN과 비밀번호를 지정할 필요가 없습니다. 24.4.3 자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스를 참조하십시오.

한 계층의 매핑만 허용됩니다. 인증서의 다른 URL을 동일한 새 URL에 매핑할 수 있지만 인증서 URL을 여러 새 URL에 할당할 수는 없습니다. 예를 들어, 다음 매핑 목록은 유효하지 않습니다.

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL12==URL66
msgCRLMappingRecord=URL12==URL88
msgCRLMappingRecord=URL20==URL90
msgCRLMappingRecord=URL20==URL93

다음 예는 올바른 매핑 목록입니다.

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL14==URL66
msgCRLMappingRecord=URL88==URL66
msgCRLMappingRecord=URL201==URL90
msgCRLMappingRecord=URL202==URL93

LDAP 디렉토리에서 매핑 정의를 만든 후에 smime.conf 파일의 crlmappingurl을 사용하여 이러한 정의를 찾기 위한 디렉토리 정보를 지정합니다. 24.5 smime.conf 파일의 매개 변수를 참조하십시오.