24.9.2 何時對照 CRL 檢查憑證？

憑證撤銷清單或 CRL，是已撤銷憑證清單，由核發金鑰對和憑證的 CA 維護。啟用 CRL 檢查後，只要憑證請求查看憑證是否已被撤銷，系統就會檢查 CRL。

如果 smime.conf 檔案中的 crlenable 設定為 1，則在找到未過期的金鑰之後執行 CRL 測試。對照 CRL 檢查公開金鑰憑證。每個 CA 僅有一個 CRL，但是同一 CRL 可以位於不同的位置。

S/MIME applet 向 Messaging Server 傳送請求之後，Messaging Server 會對照 CRL 檢查憑證。公開金鑰憑證用於驗證公開金鑰。由於私密金鑰是秘密保存的，且只有所有者才能使用，因此無法直接對照 CRL 檢查私密金鑰。若要確定私密金鑰是否正常，需要使用金鑰對的公開金鑰憑證。如果公開金鑰憑證通過 CRL 測試，則相關聯的私密金鑰也會通過測試。

憑證的撤銷可能是由於多種原因，例如該憑證的所有者離開了組織或遺失了智慧卡。

在以下三種情況下會對照 CRL 檢查憑證︰

• 簽名外寄的郵件時

  S/MIME applet 會一律執行此檢查，除非將 sendsigncert 設定為 0，或將 crlenable 設定為 0。

• 讀取內送的簽名郵件時

  S/MIME applet 會一律執行此檢查，除非將 readsigncert 設定為 0，或將 crlenable 設定為 0。

• 加密外寄的郵件時

  S/MIME applet 會一律執行此檢查，除非將 sendencryptcert 設定為 0，或將 crlenable 設定為 0。