CRLはDER形式，又はPEM形式のファイルを使用します。DER形式のCRLはバイナリ形式のファイルで，PEM形式のCRLはそれをBase64エンコード処理し，データの前後に，"-----BEGIN X509 CRL-----"，"-----END X509 CRL-----"というタグを付けたものです。

（例）PEM形式のCRL

C:\Program Files\Hitachi\httpsd\conf\ssl\crl\PEM>type crl.pem -----BEGIN X509 CRL----- MIIBGDCBwwIBATANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJKUDERMA8GA1UE CBMIS2FuYWdhd2ExFTATBgNVBAcTDFlva29oYW1hLXNoaTERMA8GA1UEChMITE9D QUwtQ0ExDDAKBgNVBAsTA2NhMTEaMBgGA1UEAxMRY2ExLmhpdGFjaGkuY28uanAX DTAxMDgyOTA0NDIzMFoXDTAxMDgzMDA1NTIzMFowGzAZAghx2Sa8AAAAARcNMDEw ODI4MDQ1MTI5WjANBgkqhkiG9w0BAQQFAANBAJorY7DUJ91uthNlAA+PT6zw6rVo uZLFeYZPNVXgF217YOCtJtKDT+16bR5kgk0p/1xIbgReshjMNTmXPqARNjE= -----END X509 CRL-----

CRLを使用してクライアント証明書の有効性を検証する場合は，「5.1.5　SSLクライアント認証の準備」に加えて，次の操作をして，Webサーバを再起動してください。

1. CRLの入手
   各CAのCRL配布点からCRLファイルを入手し，適切なディレクトリに格納します。CRLをLDAPサーバで管理する場合は，crldownloadユティリティを利用できます。
   
2. httpsd.confの編集（ディレクティブの定義）
   CRLを有効にするために，CRLファイルを格納したディレクトリをSSLCRLDERPath，又はSSLCRLPEMPathディレクティブに設定します。
   
3. Webサーバを起動，又は再起動します。
4. 既存のCRLを更新する場合には，ディレクトリに格納されている古いCRLを削除して新規CRLを追加するか，又は古いCRLを新規CRLで上書きした後，Webサーバを再起動します。
5. CRLを新規に追加した場合，CRLを削除した場合にも，Webサーバを再起動してください。

CRLを使用したクライアント証明書検証では次の項目を確認します。

• CRL自体が有効であるかどうか。
• 次回発行日より前かどうか。
• クライアント証明書のシリアル番号が記載されていないかどうか。

(a)　CRLクライアント証明書検証でクライアント証明書が有効と判定される条件

CRLクライアント証明書検証でクライアント証明書が有効と判定される条件には次に示すものがあります。

• 証明書を発行したCAが発行したCRLを読み込んでいない場合。
• 現在時刻がCRLの次回発行日より前であり，かつ該当する接続のクライアント証明書のシリアル番号がCRLに記載されていない場合。
• 現在時刻がCRL発行日より後で，次回発行日が指定されてなく，かつCRLに該当する接続のクライアント証明書のシリアル番号が記載されていない場合。
• 現在時刻がCRLの次回発行日以後で，CRLに該当する接続のクライアント証明書のシリアル番号が記載されてなく，かつSSLCRLAuthoritativeディレクティブがOffに設定されている場合。

(b)　CRLクライアント証明書検証でクライアント証明書が無効と判定される条件

CRLクライアント証明書検証でクライアント証明書が無効と判定される条件には次に示すものがあります。

• CRLが有効でない場合。
• 該当する接続のクライアント証明書のシリアル番号がCRLに記載されている場合。
• 現在時刻がCRL次回発行日以後であり，該当する接続のクライアント証明書のシリアル番号がCRLに記載されてなく，かつSSLCRLAuthoritativeディレクティブがOnに設定されている場合。