24.9.2 何时根据 CRL 检查证书？

证书撤销列表（即 CRL）是发布密钥对和证书的 CA 所维护的已撤销证书的列表。启用 CRL 检查时，只要发出了查看证书是否已撤销的证书请求，就会使系统检查 CRL。

当将 smime.conf 文件中的 crlenable 设置为 1 时，将在找到未过期密钥后执行 CRL 测试。将根据 CRL 检查公钥的证书。每个 CA 只能有一个 CRL，但是同一个 CRL 可以放在多个不同的位置上。

当 S/MIME applet 向 Messaging Server 发送检查证书的请求后，Messaging Server 将根据 CRL 检查证书。公钥证书用于验证公钥。由于私钥是保密的，只能由拥有该密钥的人员使用，因此不能根据 CRL 直接检查私钥。要确定私钥是否有效，需要使用密钥对的公钥证书。当公钥的证书通过 CRL 测试时，关联的私钥也就通过了该测试。

导致证书撤销的原因有很多，例如，证书的拥有者已离开您的工作单位或丢失了智能卡。

在下列三种情况下需要根据 CRL 检查证书：

• 对外发邮件进行签名时

  S/MIME Applet 将始终执行此检查，除非您将 sendsigncert 设置为 0 或将 crlenable 设置为 0。

• 阅读外来的签名邮件时

  S/MIME Applet 将始终执行此检查，除非您将 readsigncert 设置为 0 或将 crlenable 设置为 0。

• 对外发邮件进行加密时

  S/MIME Applet 将始终执行此检查，除非您将 sendencryptcert 设置为 0 或将 crlenable 设置为 0。