smime.conf ファイルのパラメータ

alwaysencrypt

S/MIME を使用する許可が与えられているすべての Communications Express メールユーザーのためにすべての送信メッセージを自動的に暗号化するかどうかの初期設定を制御します。各 Communications Express メールユーザーは、表 20–5 に説明があるチェックボックスを使用して、各自のメッセージに対してこのパラメータの値を無効にできます。

次の値のいずれかを選択します。 

0 - メッセージを暗号化しません。Communications Express メールでは暗号化チェックボックスのチェックマークが付いていない状態で表示されます。これがデフォルトです。

1 - メッセージを常に暗号化します。Communications Express メールでは暗号化チェックボックスのチェックマークが付いている状態で表示されます。

次に例を示します。 

alwaysencrypt==1

alwayssign

S/MIME を使用する許可が与えられているすべての Communications Express メールユーザーのためにすべての送信メッセージに自動的に署名を付けるかどうかの初期設定を制御します。各 Communications Express メールユーザーは、表 20–5 に説明があるチェックボックスを使用して、各自のメッセージに対してこのパラメータの値を無効にできます。

次の値のいずれかを選択します。 

0 - メッセージに署名しません。Communications Express メールでは署名チェックボックスのチェックマークが付いていない状態で表示されます。これがデフォルトです。

1 - メッセージに常に署名します。Communications Express メールでは署名チェックボックスのチェックマークが付いている状態で表示されます。

次に例を示します。 

alwaysensign==1

certurl

Communications Express メールユーザーの公開キーおよび証明書の場所を特定するための LDAP ディレクトリ情報を指定します。公開キーの LDAP 属性は、usercertificate;binary です。証明書については、「証明書の管理」を参照してください。

このパラメータは、Messaging Server がサービスを提供するすべてのユーザーが含まれる LDAP ディレクトリ情報ツリーのユーザー/グループの最上位のノードを指す必要があります。これは、複数のドメインがあるサイトでは特に重要になります。識別名は、1 つのドメインのユーザーが含まれるサブツリーではなく、ユーザー/グループツリーのルートの識別名である必要があります。 

このパラメータの設定は必須です。 

次に例を示します。 

certurl==ldap://mail.siroe.com:389/ou=people,o=siroe.com,o=ugroot

checkoverssl

キーの証明書を CRL でチェックするときに SSL 通信リンクを使用するかどうかを制御します。詳細については、「SSL でインターネットリンクを保護する」を参照してください。

次の値のいずれかを選択します。 

0 - SSL 通信リンクを使用しません。

1 - SSL 通信リンクを使用します。これがデフォルトです。

CRL チェックが有効な場合に、プロキシサーバーを使用すると、問題が発生する場合があります。詳細については、「プロキシサーバーと CRL チェック」を参照してください。

crlaccessfail 

CRL へのアクセスを複数回試行し、アクセスに失敗したあとに、Messaging Server が再びアクセスを試みるまでの待機時間を指定します。このパラメータにはデフォルト値がありません。 

構文:

crlaccessfail==number_of_failures :time_period_for_failures: wait_time_before_retry

各項目の説明 

number_of_failures は、time_period_for_failures によって指定された時間間隔の間に Messaging Server が CRL へのアクセスを失敗できる回数です。値は、0 よりも大きくする必要があります。

time_period_for_failures は、Messaging Server が失敗した CRL へのアクセス試行を数える秒単位の期間です。値は、0 よりも大きくする必要があります。

wait_time_before_retry は、指定された時間間隔に、失敗した試行回数が限度に達したことを検出してから、Messaging Server が再度 CRL へのアクセスを試みる前に、待つ秒数です。値は、0 よりも大きくする必要があります。

次に例を示します。 

crlaccessfail==10:60:300

この例では、Messaging Server は CRL へのアクセスを 1 分以内に 10 回失敗します。その後、5 分待ってから、再び CRL へのアクセスを試みます。詳細については、「CRL へのアクセスの問題」を参照してください。

crldir

Messaging Server が CRL をダウンロードするディスク上のディレクトリ情報を指定します。デフォルトは、msg-svr-base/data/store/mboxlist であり、ここの msg-svr-base は Messaging Server がインストールされたディレクトリです。詳細については、「古い CRL の使用」を参照してください。

crlenable

証明書を CRL でチェックするかどうかを制御します。一致するものがある場合は、証明書は失効したとみなされます。smime.conf ファイルの send*revoked パラメータの値は、証明書が失効したキーを Communications Express メールが拒否するか、または使用するかどうかを決定します。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

0 - 各証明書を CRL でチェックしません。

1 - 各証明書を CRL でチェックします。これがデフォルトです。Messaging Server の local.webmail.cert.enable オプションを 1 に設定するようにします。そのようにしないと、crlenable が 1 に設定されても CRL チェックは行われません。

crlmappingurl

CRL マッピング定義の場所を特定するための LDAP ディレクトリ情報を指定します。このパラメータは、マッピング定義がある場合にのみ必要です。詳細については、「CRL へのアクセス」を参照してください。URL へアクセスするための DN およびパスワードを追加することもできます。

構文: 

crlmappingurl URL [|URL_DN | URL_password ]

次に例を示します。 

crlmappingurl==ldap://mail.siroe.com:389/cn=XYZ Messaging, 
ou=people, o=mail.siroe.com,o=isp?msgCRLMappingRecord?sub?(
objectclass=msgCRLMappingTable) | cn=Directory Manager | pAsSwOrD

crlurllogindn

CRL マッピング定義に対する読み取り権限がある LDAP エントリの識別名を指定します (エントリが証明書から直接のものでない場合の詳細は、904 ページの「CRL へのアクセス」を参照)。 

crllogindn および crlloginpw の値を指定しない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。

次に例を示します。 

crllogindn==cn=Directory Manager

crlurlloginpw

crllogindn パラメータの識別名に対するパスワードを ASCII テキストで指定します。

crllogindn および crlloginpw の値を指定しない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。

次に例を示します。 

crlloginpw==zippy

crlusepastnextupdate

現在の日付が CRL の次の更新日フィールドに指定された日付を過ぎたときに CRL を使用するかどうかを制御します。詳細については、「古い CRL の使用」を参照してください。

次の値のいずれかを選択します。 

0 - 古い CRL を使用しません。

1 - 古い CRL を使用します。これがデフォルトです。

logindn

certurl および trustedurl パラメータによって指定された LDAP ディレクトリにある公開キーおよび公開キーの証明書、また CA 証明書の読み取り権限がある LDAP エントリの識別名を指定します。

logindn および loginpw の値が指定されない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。

次に例を示します。 

logindn==cn=Directory Manager

loginpw

logindn パラメータの識別名に対するパスワードを ASCII テキストで指定します。

logindn および loginpw の値が指定されない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。

次に例を示します。 

loginpw==SkyKing

platformwin

Microsoft Windows プラットフォームでスマートカードまたはローカルキーストアを使用するときに必要なライブラリ名を 1 つ以上指定します。クライアントマシンでデフォルト値ではうまくいかない場合にのみこのパラメータを変更します。デフォルトは次のとおりです。 

platformwin==CAPI:library=capibridge.dll;

詳細については、「クライアントマシン用のキーアクセスライブラリ」を参照してください。

readsigncert

メッセージを読むときに S/MIME デジタル署名を確認するために、公開キーの証明書を CRL でチェックするかどうかを制御します。非公開キーを使用してメッセージのデジタル署名を作成しますが、非公開キーを CRL でチェックすることはできないので、非公開キーに関連付けられた公開キーの証明書が CRL でチェックされます。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

0 - 証明書を CRL でチェックしません。

1 - 証明書を CRL でチェックします。これがデフォルトです。

revocationunknown

証明書を CRL でチェックしたときに、あいまいなステータスが返された場合に実行するアクションを決定します。この場合、証明書のステータスが有効または失効のどちらであるかは確かでありません。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

ok - 証明書が有効であるとして扱います。

revoked - 証明書が失効しているとして扱います。これがデフォルトです。

sendencryptcert

送信メッセージの暗号化に使用する公開キーの証明書を使用する前に CRL でチェックするかどうかを制御します。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

0 - 証明書を CRL でチェックしません。

1 - 証明書を CRL でチェックします。これがデフォルトです。

sendencryptcertrevoked

送信メッセージの暗号化に使用した公開キーの証明書が失効した場合に実行するアクションを決定します。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

allow - 公開キーを使用します。

disallow - 公開キーを使用しません。これがデフォルトです。

sendsigncert 

送信メッセージのデジタル署名の作成に非公開キーを使用できるかどうかを判断するために、公開キーの証明書を CRL でチェックするかどうかを制御します。デジタル署名に非公開キー使用をしますが、非公開キーを CRL でチェックすることはできないので、非公開キーに関連付けられた公開キーの証明書が CRL でチェックされます。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

0 - 証明書を CRL でチェックしません。

1 - 証明書を CRL でチェックします。これがデフォルトです。

sendsigncertrevoked

非公開キーのステータスが失効であると判断されたときに実行するアクションを決定します。非公開キーを使用してメッセージのデジタル署名を作成しますが、非公開キーを CRL でチェックすることはできないので、非公開キーに関連付けられた公開キーの証明書が CRL でチェックされます。公開キーの証明書が失効すると、対応する非公開キーも失効します。詳細については、「非公開キーと公開キーの確認」を参照してください。

次の値のいずれかを選択します。 

allow - 失効ステータスの非公開キーを使用します。

disallow - 失効ステータスの非公開キーを使用しません。これがデフォルトです。

sslrootcacertsurl

Messaging Server の SSL 証明書を確認するために使用される有効な CA の証明書の場所を特定するための識別名と LDAP ディレクトリ情報を指定します。Messaging Server で SSL が有効である場合には、これは必須のパラメータです。詳細については、「SSL でインターネットリンクを保護する」を参照してください。

クライアントアプリケーションからすべての要求を受信するプロキシサーバーに対する SSL 証明書を持っている場合、それらの SSL 証明書の CA 証明書もこのパラメータが指す LDAP ディレクトリに存在する必要があります。 

URL へアクセスするための DN およびパスワードを追加することもできます。 

構文: 

crlmappingurl URL [|URL_DN | URL_password ]

次に例を示します。 

sslrootcacertsurl==ldap://mail.siroe.com:389/cn=SSL Root CA 
Certs,ou=people,o=siroe.com,o=isp? cacertificate;binary?base?
(objectclass=certificationauthority)|cn=Directory Manager | 
pAsSwOrD

timestampdelta

公開キーの証明書を CRL でチェックするときにメッセージの送信時間または受信時間のどちらを使用するかを決定するために使用する秒単位の時間間隔を指定します。 

このパラメータのデフォルト値の 0 は、常に受信時間を使用するように Communications Express メールに指示します。詳細については、「使用するメッセージ時刻の判断」を参照してください。

次に例を示します。 

timestampdelta==360

trustedurl

有効な CA の証明書の場所を特定するための識別名と LDAP ディレクトリ情報を指定します。これは必須のパラメータです。 

URL へアクセスするための DN およびパスワードを追加することもできます。 

構文: 

crlmappingurl URL [|URL_DN | URL_password ]

次に例を示します。 

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, 
ou=people, o=siroe.com,o=ugroot?cacertificate?sub?
(objectclass=certificationauthority)|cn=Directory Manager 
| pAsSwOrD

usercertfilter

Communications Express メールユーザーのプライマリ、代替、および同等の電子メールアドレスのフィルタ定義を指定し、キーのペアが異なるメールアドレスに割り当てられるときにユーザーの非公開キーと公開キーのペアのすべてが見つかるようにします。 

このパラメータは必須であり、デフォルト値がありません。