Sun Java System Messaging Server 6 2005Q4 관리 설명서

20장 Communications Express Mail용 S/MIME 관리

S/MIME(Secure/Multipurpose Internet Mail Extension) 3.1을 Sun Java System Communications Express Mail에서 사용할 수 있습니다. S/MIME을 사용하도록 설정한 Communications Express Mail 사용자는 Communications Express Mail, Microsoft Outlook Express 및 Mozilla 메일 시스템의 다른 사용자와 서명되었거나 암호화된 메일을 교환할 수 있습니다.

Communications Express Mail에서 S/MIME을 사용하는 방법에 대한 자세한 내용은 온라인 도움말을 참조하십시오. 이 장에서는 S/MIME을 관리하는 방법에 대해 설명합니다. 이 장은 다음 내용으로 구성되어 있습니다.

S/MIME

S/MIME은 Communications Express Mail 사용자에게 다음 기능을 제공합니다.

알아야 할 개념

S/MIME을 올바로 관리하려면 다음 개념에 익숙해야 합니다.

필수 소프트웨어 및 하드웨어 구성 요소

이 절에서는 S/MIME과 함께 Communications Express Mail을 사용하기 위한 필수 하드 웨어 및 소프트웨어에 대해 설명합니다. S/MIME 구성을 시도하기 전에 서버와 클라이언트 시스템에 올바른 버전의 소프트웨어를 모두 설치해야 합니다.

표 20–1에는 Communications Express Mail에 액세스하는 클라이언트 시스템의 필수 소프트웨어 및 하드웨어가 나열되어 있습니다.

표 20–1 클라이언트 시스템의 필수 하드웨어 및 소프트웨어

구성 요소 

설명 

운영 체제 

  • Microsoft Windows 98, 2000 또는 XP

브라우저 

  • Windows용 Microsoft Internet Explorer 버전 6 SP2

  • Windows 2000 및 Windows 98용 Microsoft Internet Explorer 버전 6 SP1(2004년 12월 1일 당시의 최신 패치 포함)

Sun 소프트웨어 

Sun Java 2 Runtime Environment, Standard Edition, 버전 1.4.2_03 이상(1.5는 아님) 

인증서가 포함된 개인-공개 키 

인증서가 포함된 하나 이상의 개인 및 공개 키 쌍. 인증서가 필요하며 표준 X.509 v3 형식이어야 합니다. S/MIME 기능을 사용하게 될 각 Communications Express Mail 사용자에 대해 CA로부터 키와 인증서를 얻습니다. 키와 해당 인증서는 클라이언트 시스템이나 스마트 카드에 저장됩니다. 공개 키와 인증서는 Directory Server가 액세스할 수 있는 LADP 디렉토리에도 저장됩니다. 

키 인증서를 CA가 유지 관리하는 인증서 해지 목록(CRL)과 비교하여 키의 유효성을 추가로 확인하려면 CRL이 시스템의 일부여야 합니다. CRL에 대해 인증서 확인을 참조하십시오.

스마트 카드 소프트웨어(키와 인증서를 스마트 카드에 저장할 경우에만 필요함) 

  • ActivCard Gold 버전 2.1 또는 3.0

  • NetSign 버전 3.1

스마트 카드 판독기 

클라이언트 시스템 및 스마트 카드 소프트웨어가 지원하는 스마트 카드 판독 장치 모델 

표 20–2에는 서버 시스템의 필수 Sun Microsystems 소프트웨어가 나열되어 있습니다.

표 20–2 서버 시스템의 필수 소프트웨어

Sun 구성 요소 

설명 

메일 서버 

Sun Java System Messaging Server 6 2005Q4 릴리스(Solaris 버전 8 또는 9 및 Sun SPARC 시스템) 

LDAP 서버 

Sun Java System Directory Server 5 2004Q2 이상 

Java 

Java 2 Runtime Environment, Standard Edition, 버전 1.4.2 이상 

Access Manager 

(Schema 2에서 배포하는 경우) - Sun Java System Access Manager 6 2005Q1 및 Communications Express - Sun Java System Communications Express 6 2005Q1 이상 

S/MIME 사용을 위한 요구 사항

Messaging Server를 설치한 후 Communications Express Mail 사용자가 서명 및 암호화 기능을 즉시 사용할 수 있는 것은 아닙니다. 사용자가 S/MIME을 사용할 수 있으려면 이 절에서 설명하는 요구 사항이 충족되어야 합니다.

개인 및 공개 키

S/MIME을 사용할 각 Communications Express Mail 사용자에게 표준 X.509 v3 형식의 인증서를 포함하여 하나 이상의 개인 및 공개 키 쌍을 발급해야 합니다. 확인 프로세스에 사용되는 인증서는 다른 메일 사용자에게 키가 실제로 키를 사용하는 사람에게 속해 있다는 것을 보장합니다. 사용자는 둘 이상의 키 쌍과 관련 인증서를 가질 수 있습니다.

키와 해당 인증서는 조직 내에서 발급 받거나 타사 공급업체에게 구입합니다. 키와 인증서 발급 방법에 상관없이 발급하는 조직을 인증 기관(CA)이라고 합니다.

키 쌍과 해당 인증서는 다음 두 가지 방법으로 저장됩니다.

스마트 카드에 저장된 키

인증서를 포함하는 개인 공개 키 쌍을 스마트 카드에 저장할 경우 카드 판독기를 메일 사용자의 컴퓨터에 올바로 연결해야 합니다. 또한 카드 판독 장치에는 소프트웨어가 필요합니다. 카드 판독 장치와 해당 소프트웨어는 장비를 판매하는 공급업체가 제공합니다.

판독 장치가 적절하게 설치되면 메일 사용자는 보내는 메일에 대한 디지털 서명을 만들려는 경우에 스마트 카드를 판독 장치에 삽입합니다. 스마트 카드 비밀번호가 확인되면 Communications Express Mail에서 메일에 서명하기 위해 개인 키에 액세스할 수 있습니다. 지원되는 스마트 카드와 판독 장치에 대한 자세한 내용은 필수 소프트웨어 및 하드웨어 구성 요소를 참조하십시오.

스마트 카드 공급업체가 제공하는 라이브러리가 사용자의 컴퓨터에 있어야 합니다. 자세한 내용은 클라이언트 시스템의 키 액세스 라이브러리를 참조하십시오.

클라이언트 시스템에 저장된 키

키 쌍과 인증서를 스마트 카드에 저장하지 않을 경우 메일 사용자의 컴퓨터(클라이언트 시스템)에 있는 로컬 키 저장소에 보관해야 합니다. 메일 사용자의 브라우저에서 키 저장소를 제공하고 키 쌍과 인증서를 키 저장소에 다운로드하기 위한 명령도 제공합니다. 브라우저에 따라 키 저장소를 비밀번호로 보호하기도 합니다.

로컬 키 저장소를 지원하려면 브라우저 공급업체가 제공하는 라이브러리가 사용자의 컴퓨터에 있어야 합니다. 자세한 내용은 클라이언트 시스템의 키 액세스 라이브러리를 참조하십시오.

LDAP 디렉토리에 공개 키 게시

모든 공개 키와 인증서는 Sun Java System Directory Server가 액세스할 수 있는 LDAP 디렉토리에도 저장해야 합니다. 이러한 작업을 S/MIME 메일을 작성하는 다른 메일 사용자가 사용할 수 있도록 공개 키를 게시한다고 합니다.

보낸 사람과 받는 사람의 공개 키는 암호화된 메일의 암호화/해독 프로세스에 사용됩니 다. 공개 키 인증서는 디지털 서명에 사용된 공개 키를 검증하는 데 사용됩니다.

ldapmodify를 사용하여 공개 키와 인증서를 게시하는 방법은 인증서 관리를 참조하십시오.

메일 사용자에게 S/MIME 사용 권한 부여

서명된 또는 암호화된 메일을 작성하려면 유효한 Communications Express Mail 사용자에게 그렇게 할 수 있는 권한이 있어야 합니다. 이 작업을 수행하려면 사용자의 LDAP 항목에 대한 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess LDAP 속성을 사용합니다. 이러한 속성을 사용하여 개인 또는 도메인 단위로 S/MIME의 메일 사용자를 포함시키거나 제외시킬 수 있습니다.

자세한 내용은 S/MIME 기능을 사용할 수 있는 권한 부여를 참조하십시오.

여러 언어 지원

메일 메시지에 영어만 사용하는 Communications Express Mail 사용자는 라틴어가 아닌 언어(예: 중국어)의 문자를 포함하는 S/MIME 메일을 읽지 못할 수 있습니다. 이러한 상황이 발생하는 한 가지 이유는 사용자 시스템에 설치된 JRE(Java 2 Runtime Environment)의 /lib 디렉토리에 charsets.jar 파일이 없기 때문입니다.

기본 JRE 설치 프로세스를 사용하여 영어 버전의 JRE를 다운로드한 경우 charsets.jar 파일이 설치되지 않습니다. 그러나 기본 설치의 다른 모든 언어 항목을 선택하면 charsets.jar가 설치됩니다.

charsets.jar 파일이 /lib 디렉토리에 설치되게 하려면 사용자 정의 설치를 사용하여 영어 버전의 JRE를 설치하라고 사용자에게 알립니다. 설치 중에 사용자가 "추가 언어 지원" 옵션을 선택해야 합니다.

Messaging Server 설치 후 시작

이 절에서는 S/MIME 애플릿이란 무엇이며 Communications Express Mail의 S/MIME 을 설정하는 기본 구성 절차에 대해 설명합니다. 구성 프로세스에는 S/MIME 애플릿의 매개 변수와 Messaging Server의 옵션을 설정하는 작업이 포함됩니다.

S/MIME 애플릿

개인 및 공개 키를 확인하는 여러 절차와 함께 메일에 서명하거나, 메일을 암호화하거나, 메일을 해독하는 프로세스는 S/MIME 애플릿이라고 부르는 특수한 애플릿에 의해 처리 됩니다. S/MIME 기능을 구성하려면 smime.conf 파일의 매개 변수와 Messaging Server 옵션을 사용합니다. 그림 20–1에서는 S/MIME 애플릿과 다른 시스템 구성 요소와의 관계를 보여 줍니다.

그림 20–1 S/MIME 애플릿

그래픽은 S/MIME 애플릿과 다른 시스템 구성 요소와의 관계를 보여 줍니다.

처음으로 로그인

S/MIME을 사용할 수 있는 권한을 가진 Communications Express Mail 사용자가 Messaging Server에 처음 로그인하면 S/MIME 애플릿에 대한 일련의 특수한 프롬프트 가 표시됩니다. 프롬프트에서 Yes 또는 Always를 선택하면 S/MIME 애플릿이 사용자의 컴퓨터에 다운로드됩니다. 사용자가 Communications Express Mail을 로그아웃할 때까지 S/MIME 애플릿이 컴퓨터에 남아 있습니다.

자세한 내용은 인증서 관리를 참조하십시오.

S/MIME 애플릿 다운로드

사용자 컴퓨터에서 JRE(Java 2 Runtime Environment)에 대한 캐싱이 활성화되어 있지 않은 경우 사용자가 Communications Express Mail에 로그인할 때마다 S/MIME 애플릿이 다운로드됩니다. 캐싱이 활성화되면 초기 다운로드 후에 S/MIME 애플릿의 복사본이 사용자의 시스템에 저장되므로 사용자가 로그인할 때마다 애플릿이 다운로드되지 않습니다.

캐싱은 성능을 향상시키므로 사용자에게 Java 2 Runtime Environment 버전 1.4.x에 대한 캐싱을 활성화하는 다음 단계를 수행하도록 지시할 수 있습니다.

ProcedureJava 2 Runtime Environment, 버전 1.4에 대한 캐싱을 활성화하는 방법

단계
  1. Windows 제어판으로 이동합니다.

  2. Java 플러그인 아이콘(Java 2 Runtime Environment)을 두 번 누릅니다.

  3. 캐시 탭을 누릅니다.

  4. 캐싱 사용 확인란을 선택합니다.

  5. 적용을 누릅니다.

    S/MIME 애플릿이 다운로드된 후에도 사용자는 이 애플릿을 인식하지 못합니다. 이 애플릿에는 Communications Express Mail에서 메일 서명, 암호화 또는 해독을 수행한다는 것이 표시됩니다. 또한 사용자는 오류 메시지가 나타나지 않는 한 개인 또는 공개 키 확인 프로세스를 인식하지 못합니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

기본 S/MIME 구성

S/MIME의 구성 파일인 smime.conf에는 각 S/MIME 매개 변수에 대한 설명 주석과 예가 들어 있습니다. smime.conf 파일은 Messaging Server의 msg-svr-base/config/ 디렉토리에 있습니다. 여기서 msg-svr-base는 Messaging Server가 설치된 디렉토리입니다.

다음 절차에는 S/MIME 기능을 구성하는 데 필요한 최소한의 단계가 포함되어 있습니다.

ProcedureS/MIME 구성 방법

단계
  1. Messaging Server를 설치한 후 Communications Express Mail의 기본 기능이 작동 하고 있는지 확인합니다.

  2. 아직 없는 경우, S/MIME 기능을 사용할 권한이 있는 모든 메일 사용자에 대해 표준 X.509 v3 형식의 인증서와 함께 개인 공개 키 쌍을 만들거나 얻습니다.

  3. 키와 인증서를 위해 스마트 카드를 사용할 경우

    1. 스마트 카드를 메일 사용자에게 배포합니다.

    2. Communications Express Mail에 액세스하는 각 클라이언트 시스템에 스마트 카드 판독 장치와 소프트웨어를 올바로 설치합니다.

  4. 브라우저의 로컬 키 저장소를 사용하여 키와 인증서를 저장할 경우 키 쌍과 인증서를 로컬 키 저장소에 다운로드하는 방법을 메일 사용자에게 알려줍니다.

  5. 스마트 카드나 로컬 키 저장소를 지원하려면 올바른 라이브러리가 클라이언트 시스 템에 있어야 합니다. 클라이언트 시스템의 키 액세스 라이브러리를 참조하십시오.

  6. S/MIME을 지원하도록 LDAP 디렉토리를 설정합니다.

    1. CA의 모든 인증서를 인증 기관의 고유 이름을 사용하여 Directory Server가 액세스할 수 있는 LDAP 디렉토리에 저장합니다. 이러한 인증서의 LDAP 속성은 cacertificate;binary입니다. 인증서를 저장한 디렉토리 정보를 기록해 둡니다. 이후의 단계에서 이 정보가 필요합니다.

      LDAP 디렉토리 정보를 지정하는 예는 표 20–3trustedurl을, LDAP 디렉토리 검색에 대한 자세한 내용은 인증서 관리를 참조하십시오.

    2. Directory Server가 액세스할 수 있는 LDAP 디렉토리에 공개 키와 인증서를 저장합니다. 공개 키와 인증서에 대한 LDAP 속성은 usercertificate;binary입니다. 인증서를 저장한 디렉토리 정보를 기록해 둡니다. 이후의 단계에서 이 정보가 필요합니다.

      LDAP 디렉토리 정보를 지정하는 예는 표 20–3certurl을, LDAP 디렉토리 검색에 대한 자세한 내용은 인증서 관리를 참조하십시오.

    3. S/MIME 메일을 주고 받는 모든 사용자에게 자신의 사용자 항목에서 LDAP 필터와 함께 S/MIME을 사용할 수 있는 권한이 주어졌는지 확인합니다. 필터는 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess LDAP 속성을 사용하여 정의합니다.

      주:기본적으로 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess를 사용하지 않은 경우 smime를 비롯한 모든 서비스가 허용됩니다. 이러한 속성에 서비스를 명시적으로 지정할 경우 메일 사용자에게 S/MIME 기능을 사용할 수 있는 권한을 제공하려면 smime뿐만 아니라 httpsmtp 서비스도 지정해야 합니다.

      자세한 내용은 S/MIME 기능을 사용할 수 있는 권한 부여를 참조하십시오.

  7. 사용 가능한 텍스트 편집기를 사용하여 smime.conf 파일을 편집합니다. 매개 변수 구문은 이 파일의 시작 부분에 있는 주석을 참조하십시오.

    smime.conf의 모든 텍스트와 매개 변수 예는 주석 문자(#)로 시작됩니다. 필요한 매개 변수를 smime.conf에 추가하거나 매개 변수 예를 파일의 다른 부분에 복사하고 해당 값을 변경할 수 있습니다. 예를 복사하여 편집할 경우 행의 시작 부분에 있는 # 문자를 제거해야 합니다.

    다음 매개 변수를 각각 하나의 행으로 파일에 추가합니다.

    1. trustedurl(표 20–3 참조) - CA의 인증서를 찾기 위한 LDAP 디렉토리 정보로 설정합니다. 단계 a에서 저장한 정보를 사용합니다.

    2. certurl(표 20–3) -- 공개 키와 인증서를 찾기 위한 LDAP 디렉토리 정보로 설정합니다. 단계 b에서 저장한 정보를 사용합니다.

    3. usersertfilter(표 20–3 참조) -- smime.conf 파일의 값 예로 설정합니다. 대부분의 경우 값 예를 사용하면 됩니다. 예를 복사하고 행의 시작 부분에서 # 문자를 삭제합니다.

      이 매개 변수는 키 쌍을 다른 메일 주소에 할당할 때 사용자의 모든 개인 공개 키 쌍을 찾을 수 있도록 Communications Express Mail 사용자의 주, 대체 및 이와 동일한 전자 메일 주소에 대한 필터 정의를 지정합니다.

    4. sslrootcacertsurl(표 20–3 참조) -- S/MIME 애플릿과 Messaging Server 사이의 통신 연결에 SSL을 사용하는 경우 Messaging Server의 SSL 인증서를 확인하는 데 사용되는 CA의 인증서를 찾기 위해 LDAP 디렉토리 정보와 함께 sslrootcacertsurl을 설정합니다. 자세한 내용은 SSL을 사용하여 인터넷 연결 보안을 참조하십시오.

      checkoverssl(표 20–3 참조) -- S/MIME 애플릿과 Messaging Server 사이의 통신 연결에 SSL을 사용하지 않을 경우 0으로 설정합니다.

    5. crlenable(표 20–3 참조) -- CRL 확인을 수행하려면 smime.conf 파일에 다른 매개 변수를 추가해야 하므로 지금은 0으로 설정하여 CRL 확인을 비활성화합니다.

    6. logindnloginpw(표 20–3 참조) -- 공개 키 및 CA 인증서가 포함된 LDAP 디렉토리에 액세스하기 위해 인증이 필요한 경우 이러한 매개 변수를 읽기 권한을 가진 LDAP 항목의 고유 이름과 비밀번호로 설정합니다.

      주:crlmappingurl, sslrootcacertsurl 또는 trustedurl 매개 변수에 지정된 LDAP 정보를 사용하여 LDAP 디렉토리에 액세스할 때마다 logindnloginpw의 값이 사용됩니다. 자세한 내용은 smime.conf 파일의 매개 변수 자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스를 참조하십시오.

      LDAP 디렉토리에 액세스하는 데 인증이 필요하지 않은 경우 logindnloginpw를 설정하지 마십시오.

  8. configutil을 사용하여 Messaging Server 옵션을 설정합니다.

    1. local.webmail.smime.enable -- 1로 설정합니다.

    2. local.webmail.cert.enable -- CRL에 대해 인증서를 확인하려는 경우 1로 설정합니다.

      자세한 내용은 Messaging Server 옵션을 참조하십시오.

  9. 이제 Communications Express Mail이 S/MIME 기능을 사용하도록 구성되었습니다. 다음 단계를 수행하여 S/MIME 기능이 작동하는지 확인합니다.

    1. Messaging Server를 다시 시작합니다.

    2. Messaging Server 로그 파일 msg-svr-base /log/http에서 S/MIME과 관련된 진단 메시지를 확인합니다.

    3. S/MIME에 대한 문제가 감지된 경우 진단 메시지를 통해 구성 매개 변수의 문제를 수정하는 방법을 확인할 수 있습니다.

    4. 필요한 구성 매개 변수를 수정합니다.

    5. Messaging Server의 로그 파일에 S/MIME에 대한 진단 메시지가 더 이상 존재하지 않을 때까지 단계 a - d까지 반복합니다.

    6. 다음 단계를 수행하여 S/MIME 기능이 작동하는지 확인합니다.

      1. 클라이언트 시스템에서 Messaging Server에 로그인합니다. S/MIME 애플릿에 대한 특수 프롬프트에 Yes 또는 Always로 대답합니다. 인증서 관리를 참조하십시오.

      2. 자신에게 보내는 짧은 메일을 작성합니다.

      3. 작성 창의 맨 아래에서 암호화 확인란을 선택하여(선택되어 있지 않은 경우) 메일을 암호화합니다.

      4. 보내기를 눌러 암호화된 메일을 자신에게 보냅니다. 이때 키와 인증서 기법이 대부분 작동해야 합니다.

      5. 암호화된 메일에 문제가 있을 경우 대개 smime.conf 파일의 LDAP 디렉토리 정보에 사용한 값이나 LDAP 디렉토리에 키와 인증서가 저장된 방법에 문제의 원인이 있을 수 있습니다. Messaging Server 로그에서 추가 진단 메시지를 확인합니다.

        아래 표에 요약되어 있는 나머지 S/MIME 매개 변수는 S/MIME 환경을 추가로 구성하는 데 사용할 수 있는 여러 옵션을 제공합니다. 매개 변수에 대한 자세한 내용은 smime.conf 파일의 매개 변수를 참조하십시오.

        S/MIME의 필수 매개 변수 

        스마트 카드 및 로컬 키 저장소를 위한 매개 변수 

        CRL 확인을 위한 매개 변수 

        초기 설정 및 보안 연결을 위한 매개 변수 

        certurl* 

        -p pattern 

        checkoverssl 

        alwaysencrypt 

        logindn 

         

        crlaccessfail 

        alwayssign 

        loginpw 

         

        crldir 

        sslrootcacertsurl 

        trustedurl* 

         

        crlenable 

         

        usercertfilter* 

         

        crlmappingurl 

         
           

        crlurllogindn 

         
           

        crlurlloginpw 

         
           

        crlusepastnextupdate 

         
           

        readsigncert 

         
           

        revocationunknown 

         
           

        sendencryptcert 

         
           

        sendencryptcertrevoked 

         
           

        readsigncert 

         
           

        sendsigncertrevoked 

         
           

        timestampdelta 

         

        * 이러한 매개 변수에는 기본값이 없기 때문에 값을 지정해야 합니다.

자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스

S/MIME에 필요한 공개 키, CA 인증서 및 CRL을 LDAP 디렉토리에 저장할 수 있습니다(앞의 절 참조). 키, 인증서 및 CRL은 LDAP의 단일 URL 또는 여러 URL에서 액세스할 수 있습니다. 예를 들어, CRL을 하나의 URL에 저장하고 공개 키와 인증서를 다른 URL에 저장할 수 있습니다. Messaging Server에서는 원하는 CRL이나 인증서 정보를 포함하는 URL과 이러한 URL에 액세스할 수 있는 항목의 DN 및 비밀번호를 지정할 수 있습니다. 이러한 DN/비밀번호 자격 증명은 선택 사항입니다. 아무 것도 지정하지 않을 경우 먼저 HTTP 서버 자격 증명으로 LDAP 액세스를 시도하고 이것이 실패할 경우 anonymous로 액세스를 시도합니다.

두 쌍의 smime.conf 자격 증명 매개 변수, 즉 logindnloginpwcrlurllogindncrlurlloginpw를 설정하여 원하는 URL에 액세스할 수 있습니다.

logindnloginpwsmime.conf의 모든 URL에 사용되는 자격 증명입니다. 이러한 매개 변수는 certurltrustedurl 매개 변수에 지정된 공개 키, 해당 인증서 및 CA 인증서에 대한 읽기 권한이 있는 LDAP 항목의 DN과 비밀번호를 지정합니다.

crlurllogindncrlurlloginpw는 매핑 테이블의 결과 URL에 대한 읽기 권한이 있는 LDAP 항목의 DN과 비밀번호를 지정합니다(자세한 내용은 CRL 액세스 참조). 이러한 자격 증명이 허용되지 않을 경우 LDAP 액세스가 거부되며 다른 자격 증명으로 다시 시도되지 않습니다. 두 매개 변수를 모두 지정하거나 둘 다 비워두어야 합니다. 이러한 매개 변수는 인증서로부터 직접 가져온 URL에는 적용되지 않습니다.

특정 URL의 비밀번호 설정

Messaging Server에서는 다음과 같은 smime.conf에 액세스하기 위한 DN/비밀번호 쌍을 명시적으로 정의할 수 있습니다. certUrl, trustedUrl, crlmappingUrl, sslrootcacertsUrl.

구문은 다음과 같습니다.

url_type URL[ |URL_DN | URL_password]

예:


trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, 
o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | 
cn=Directory manager | boomshakalaka

LDAP 자격 증명 사용 요약

이 절에서는 LDAP 자격 증명의 사용에 대해 요약합니다.

smime.conf 파일의 매개 변수

smime.conf 파일은 Messaging Server의 msg-svr-base/config/ 디렉토리에 있습니다. 여기서 msg-svr-base는 Messaging Server가 설치된 디렉토리입니다. 이 파일의 모든 텍스트 및 매개 변수 예는 주석 문자(#)로 시작됩니다.

매개 변수를 원하는 값과 함께 smime.conf에 추가하거나 매개 변수 예를 편집할 수 있습니다. 예를 사용할 경우 파일의 다른 부분에 예를 복사하고 매개 변수의 값을 편집한 다음 행의 시작 부분에 있는 # 문자를 제거합니다.

Messaging Server를 설치한 후에 사용 가능한 텍스트 편집기를 사용하여 smime.conf를 편집합니다. 표 20–3에 설명된 매개 변수는 대소문자를 구분하지 않으며 다른 언급이 없는 한 설정할 필요가 없습니다.

표 20–3 smime.conf 파일의 S/MIME 구성 매개 변수

매개 변수 

용도 

alwaysencrypt

S/MIME을 사용할 권한이 있는 모든 Communications Express Mail 사용자에 대해 모든 보내는 메일을 자동으로 암호화할 것인지 여부에 대한 초기 설정을 제어합니다. 각 Communications Express Mail 사용자는 표 20–5에 설명된 확인란을 사용하여 자신의 메일에 대해 이 매개 변수 값을 무시할 수 있습니다.

다음 값 중 하나를 선택합니다. 

0 - 메일을 암호화하지 않습니다. Communications Express Mail 내의 암호화 확인란이 선택되지 않은 상태로 표시됩니다. 기본값입니다.

1 - 메일을 항상 암호화합니다. Communications Express Mail 내의 암호화 확인란이 선택된 상태로 표시됩니다.

예: 

alwaysencrypt==1

alwayssign

S/MIME을 사용할 권한이 있는 모든 Communications Express Mail 사용자에 대해 모든 보내는 메일을 자동으로 서명할 것인지 여부에 대한 초기 설정을 제어합니다. 각 Communications Express Mail 사용자는 표 20–5에 설명된 확인란을 사용하여 자신의 메일에 대해 이 매개 변수 값을 무시할 수 있습니다.

다음 값 중 하나를 선택합니다. 

0 - 메일에 서명하지 않습니다. Communications Express Mail 내의 서명 확인란이 선택되지 않은 상태로 표시됩니다. 기본값입니다.

1 - 메일에 항상 서명합니다. Communications Express Mail 내의 서명 확인란이 선택된 상태로 표시됩니다.

예: 

alwaysensign==1

certurl

Communications Express Mail 사용자의 공개 키와 인증서를 찾기 위한 LDAP 디렉토리 정보를 지정합니다(공개 키의 LDAP 속성은 usercertificate;binary임). 인증서에 대한 자세한 내용은 인증서 관리를 참조하십시오.

이 매개 변수는 Messaging Server에 의해 서비스되는 모든 사용자가 포함된 LDAP 디렉 토리 정보 트리(DIT)의 사용자/그룹에서 최상위 노드를 가리켜야 합니다. 이러한 점은 특히 도메인이 둘 이상인 사이트의 경우 중요합니다. 고유 이름이 단일 도메인의 사용자를 포함하는 하위 트리가 아니라 사용자/그룹 트리의 루트 고유 이름이어야 합니다. 

이 매개 변수는 반드시 설정해야 하는 필수 매개 변수입니다. 

예: 

certurl==ldap://mail.siroe.com:389/ou=people,o=siroe.com,o=ugroot

checkoverssl

CRL에 대해 키의 인증서를 확인할 때 SSL 통신 연결을 사용하는지 여부를 제어합니다. 자세한 내용은 SSL을 사용하여 인터넷 연결 보안을 참조하십시오.

다음 값 중 하나를 선택합니다. 

0 - SSL 통신 연결을 사용하지 않습니다.

1 - SSL 통신 연결을 사용합니다. 기본값입니다.

CRL 확인이 유효한 상태에서 프록시 서버를 사용하면 문제가 발생할 수 있습니다. 프록시 서버 및 CRL 확인을 참조하십시오.

crlaccessfail 

Messaging Server가 CRL 액세스를 여러 번 시도했다가 실패한 후에 CRL 액세스를 다 시 시도하기까지 기다리는 시간을 지정합니다. 이 매개 변수에는 기본값이 없습니다. 

구문:

crlaccessfail==number_of_failures :time_period_for_failures: wait_time_before_retry

여기서 

number_of_failures는 Messaging Server가 time_period_for_failures에 지정된 시간 간격 동안 CRL 액세스에 실패할 수 있는 횟수입니다. 값이 0보다 커야 합니다.

time_period_for_failures는 Messaging Server가 CRL 액세스 시도에 실패한 횟수를 계산하는 시간(초)입니다. 값이 0보다 커야 합니다.

wait_time_before_retry는 Messaging Server가 지정된 간격 동안 제한된 실패 횟수에 도달한 후에 CRL에 다시 액세스하려고 시도하기까지 대기하는 시간(초)입니다. 값이 0보다 커야 합니다.

예: 

crlaccessfail==10:60:300

이 예에서 Messaging Server는 1분 동안 10번까지 CRL 액세스에 실패할 수 있습니다. 그런 다음 5분을 기다렸다가 CRL 액세스를 다시 시도합니다. CRL 액세스 문제를 참조하십시오.

crldir

Messaging Server가 CRL을 디스크에 다운로드하는 디렉토리 정보를 지정합니다. 기본값은 msg-svr-base/data/store/mboxlist 입니다. 여기서 msg-svr-base는 Messaging Server가 설치된 디렉토리입니다. 자세한 내용은 오래된 CRL 사용을 참조하십시오.

crlenable

CRL에 대해 인증서를 확인하는지 여부를 제어합니다. CRL에 일치하는 것이 있을 경우 인증서가 해지된 것입니다. smime.conf 파일의 send*revoked 매개 변수 값은 해지된 인증서가 있는 키를 Communications Express Mail이 거부하는지 아니면 사용하는지 여부를 지정합니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

0- 각 인증서를 CRL에 대해 확인하지 않습니다.

1- 각 인증서를 CRL에 대해 확인합니다. 기본값입니다. Messaging Server의 local.webmail.cert.enable 옵션이 1로 설정되었는지 확인합니다. 그렇지 않으면 crlenable1로 설정하는 경우에도 CRL 확인이 수행됩니다.

crlmappingurl

CRL 매핑 정의를 찾기 위한 LDAP 디렉토리 정보를 지정합니다. 이 매개 변수는 매핑 정의가 있는 경우에만 필요합니다. 자세한 내용은 CRL 액세스를 참조하십시오. 이 매개 변수에는 기본값이 없습니다. 또한 URL에 액세스할 수 있는 DN과 비밀번호를 추가할 수도 있습니다.

구문: 

crlmappingurl URL [|URL_DN | URL_password ]

예:  


crlmappingurl==ldap://mail.siroe.com:389/cn=XYZ Messaging, 
ou=people, o=mail.siroe.com,o=isp?msgCRLMappingRecord?sub?(
objectclass=msgCRLMappingTable) | cn=Directory Manager | pAsSwOrD

crlurllogindn

CRL 매핑 정의에 대한 읽기 권한을 가진 LDAP 항목의 고유 이름을 지정합니다. 항목을 인증서에서 직접 가져올 경우에는 지정하지 않습니다. 자세한 내용은 904페이지의 "CRL 액세스"를 참조하십시오. 

crllogindncrlloginpw의 값을 지정하지 않을 경우 Messaging Server는 HTTP 서버의 로그인 값을 사용하여 LDAP 디렉토리에 액세스합니다. 액세스에 실패할 경우 Messaging Server는 LDAP 디렉토리에 익명으로 액세스를 시도합니다.

예: 

crllogindn==cn=Directory Manager

crlurlloginpw

crllogindn 매개 변수의 고유 이름에 대한 비밀번호를 ASCII 텍스트로 지정합니다.

crllogindncrlloginpw의 값을 지정하지 않을 경우 Messaging Server는 HTTP 서버의 로그인 값을 사용하여 LDAP 디렉토리에 액세스합니다. 액세스에 실패할 경우 Messaging Server는 LDAP 디렉토리에 익명으로 액세스를 시도합니다.

예: 

crlloginpw==zippy

crlusepastnextupdate

현재 날짜가 CRL의 next-update 필드에 지정된 날짜 이후인 경우에 CRL을 사용할지 여부를 제어합니다. 자세한 내용은 오래된 CRL 사용을 참조하십시오.

다음 값 중 하나를 선택합니다. 

0 - 오래된 CRL을 사용하지 않습니다.

1 - 오래된 CRL을 사용합니다. 기본값입니다.

logindn

certurltrustedurl 매개 변수에 지정된 LDAP 디렉토리에 있는 공개 키 및 해당 인증서와 CA 인증서에 대한 읽기 권한을 가진 LDAP 항목의 고유 이름을 지정합니다.

logindnloginpw의 값을 지정하지 않을 경우 Messaging Server는 HTTP 서버의 로그인 값을 사용하여 LDAP 디렉토리에 액세스합니다. 액세스에 실패할 경우 Messaging Server는 LDAP 디렉토리에 익명으로 액세스를 시도합니다.

예: 

logindn==cn=Directory Manager

loginpw

logindn 매개 변수의 고유 이름에 대한 비밀번호를 ASCII 텍스트로 지정합니다.

logindnloginpw의 값을 지정하지 않을 경우 Messaging Server는 HTTP 서버의 로그인 값을 사용하여 LDAP 디렉토리에 액세스합니다. 액세스에 실패할 경우 Messaging Server는 LDAP 디렉토리에 익명으로 액세스를 시도합니다.

예: 

loginpw==SkyKing

platformwin

Windows 플랫폼에서 스마트 카드나 로컬 키 저장소를 사용할 때 필요한 하나 이상의 라 이브러리 이름을 지정합니다. 클라이언트 시스템에서 기본값이 작동하지 않을 경우에만 이 매개 변수를 변경합니다. 기본값은 다음과 같습니다. 

platformwin==CAPI:library=capibridge.dll;

자세한 내용은 클라이언트 시스템의 키 액세스 라이브러리를 참조하십시오.

readsigncert

메시지를 읽을 때 S/MIME 디지털 서명을 확인하기 위해 공개 키의 인증서를 CRL에 대해 확인할지 여부를 제어합니다. 메일의 디지털 서명을 만들기 위해 개인 키가 사용되지만 개인 키를 CRL에 대해 확인할 수 없습니다. 따라서 개인 키와 연관된 공개 키의 인증서가 CRL에 대해 확인됩니다. 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

0 - 인증서를 CRL에 대해 확인하지 않습니다.

1 - 인증서를 CRL에 대해 확인합니다. 기본값입니다.

revocationunknown

인증서를 CRL에 대해 확인할 때 모호한 상태가 반환될 경우 수행할 작업을 지정합니다. 이 경우에 인증서가 유효한지 아니면 해지된 상태인지는 확실하지 않습니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

ok - 인증서를 유효한 것으로 간주합니다.

revoked - 인증서를 해지된 것으로 간주합니다. 기본값입니다.

sendencryptcert

보내는 메일을 암호화하는 데 사용되는 공개 키의 인증서를 사용 전에 CRL에 대해 확인 하는지 여부를 제어합니다. 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

0 - 인증서를 CRL에 대해 확인하지 않습니다.

1 - 인증서를 CRL에 대해 확인합니다.기본값입니다.

sendencryptcertrevoked

보내는 메일을 암호화하는 데 사용되는 공개 키의 인증서가 해지된 경우 수행할 작업을 지정합니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

allow - 공개 키를 사용합니다.

disallow - 공개 키를 사용하지 않습니다. 기본값입니다.

sendsigncert 

개인 키를 사용하여 보내는 메일의 디지털 서명을 만들 수 있는지 여부를 결정하기 위해 공개 키의 인증서를 CRL에 대해 확인하는지 여부를 제어합니다. 디지털 서명에 대해 개인 키가 사용되지만 개인 키를 CRL에 대해 확인할 수 없습니다. 따라서 개인 키와 연관된 공개 키의 인증서를 CRL에 대해 확인합니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

0 - 인증서를 CRL에 대해 확인하지 않습니다.

1 - 인증서를 CRL에 대해 확인합니다. 기본값입니다.

sendsigncertrevoked

개인 키가 해지된 상태인 것으로 확인되었을 때 수행할 작업을 결정합니다. 메일의 디지털 서명을 만들 때 개인 키가 사용되지만 개인 키를 CRL에 대해 확인할 수는 없습니다. 따라서 개인 키와 연관된 공개 키의 인증서를 CRL에 대해 확인합니다. 공개 키 인증서가 해지되면 해당 개인 키도 해지됩니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

다음 값 중 하나를 선택합니다. 

allow -해지된 상태의 개인 키를 사용합니다.

disallow - 해지된 상태의 개인 키를 사용하지 않습니다. 기본값입니다.

sslrootcacertsurl

Messaging Server의 SSL 인증서를 확인하는 데 사용되는 유효한 CA의 인증서를 찾기 위한 고유 이름과 LDAP 디렉토리 정보를 지정합니다. Messaging Server에서 SSL이 활성화된 경우 이 매개 변수를 반드시 지정해야 합니다. 자세한 내용은 SSL을 사용하여 인터넷 연결 보안을 참조하십시오.

클라이언트 응용 프로그램에서 모든 요청을 수신하는 프록시 서버에 대한 SSL 인증서가 있을 경우 이러한 SSL 인증서에 대한 CA 인증서도 이 매개 변수가 가리키는 LDAP 디렉 토리에 있습니다. 

또한 이 URL에 액세스할 수 있는 DN과 비밀번호를 추가할 수도 있습니다.  

구문: 

crlmappingurl URL [|URL_DN | URL_password ]

예:  


sslrootcacertsurl==ldap://mail.siroe.com:389/cn=SSL Root CA 
Certs,ou=people,o=siroe.com,o=isp? cacertificate;binary?base?
(objectclass=certificationauthority)|cn=Directory Manager | 
pAsSwOrD

timestampdelta

공개 키의 인증서를 CRL에 대해 확인할 때 메일의 보낸 시간이나 받은 시간을 사용할지를 결정하는 데 사용되는 시간 간격(초)을 지정합니다. 

기본값인 0은 Communications Express Mail에서 항상 받은 시간을 사용하도록 지시합니다. 자세한 내용은 사용할 메일 시간 지정을 참조하십시오.

예: 

timestampdelta==360

trustedurl

유효한 CA의 인증서를 찾기 위한 고유 이름과 LDAP 디렉토리 정보를 지정합니다. 필수 매개 변수입니다. 

또한 이 URL에 액세스할 수 있는 DN과 비밀번호를 추가할 수도 있습니다.  

구문: 

crlmappingurl URL [|URL_DN | URL_password ]

예:  


trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, 
ou=people, o=siroe.com,o=ugroot?cacertificate?sub?
(objectclass=certificationauthority)|cn=Directory Manager 
| pAsSwOrD

 

usercertfilter

키 쌍을 다른 메일 주소에 할당할 때 사용자의 모든 개인 공개 키 쌍을 찾을 수 있도록 Communications Express Mail 사용자의 주, 대체 및 이와 동일한 전자 메일 주소에 대한 필터 정의를 지정합니다.  

이 매개 변수는 필수이며 기본값이 없습니다. 

Messaging Server 옵션

S/MIME에 적용되는 세 가지 Messaging Server 옵션을 설정하려면 Messaging Server가 설치된 시스템에서 다음 작업을 수행합니다.

ProcedureS/MIME에 적용되는 Messaging Server 옵션을 설정하는 방법

단계
  1. 루트로 로그인하여다음을 입력합니다.


    # cd msg-svr-base/sbin

    여기서 msg-svr-base는 Messaging Server가 설치된 디렉토리입니다.

  2. 다음 표에 설명된 Messaging Server 옵션을 시스템에 맞게 설정합니다. configutil 유틸리티를 사용하여 이러한 옵션을 설정합니다. 별도의 언급이 없을 경우 옵션을 설정할 필요가 없습니다.

    매개 변수 

    용도 

    local.webmail.cert.enable

    CRL 확인을 처리하는 프로세스가 CRL 확인을 수행해야 하는지 여부를 제어합니다.  

    0 - 프로세스가 인증서를 CRL에 대해 확인하지 않습니다. 기본값입니다.

    1 - 프로세스가 인증서를 CRL에 대해 확인합니다. 1로 설정할 경우 smime.conf 파일의 crlenable 매개 변수가 1로 설정되었는지 확인합니다.

    local.webmail.cert.port

    CRL 통신에 사용할 Messaging Server가 실행되는 시스템의 포트 번호를 지정합니다. 이 포트는 해당 시스템에서 대해서만 로컬로 사용됩니다. 값은 1024보다 커야 하며 기본값은 55443입니다.

    기본 포트 번호가 이미 사용 중이면 이 옵션을 반드시 지정해야 합니다. 

    local.webmail.smime.enable

    Communications Express Mail 사용자가 S/MIME 기능을 사용할 수 있는지 여부를 제어합니다. 다음 값 중 하나를 선택합니다. 

    0 - 시스템이 올바른 소프트웨어 및 하드웨어 구성 요소로 구성된 경우에도 Communications Express Mail 사용자가 S/MIME 기능을 사용할 수 없습니다. 기본값입니다.

    1 - 사용 권한이 있는 Communications Express Mail 사용자가 S/MIME 기능을 사용할 수 있습니다.

    예: 

    configutil -o local.webmail.smime.enable -v 1

SSL을 사용하여 인터넷 연결 보안

다음 표에 요약된 것처럼 Messaging Server에서는 Communications Express Mail에 영향을 주는 인터넷 연결에 SSL(Secure Socket Layer)을 사용할 수 있습니다.

대상 연결 

설명 

Messaging Server 및 Communications Express Mail 간의 연결 

SSL을 사용하여 이 연결을 보안하려면 Messaging Server에 대한 관리 작업이 필요합니다. Communications Express Mail 사용자는 브라우저에서 Messaging Server에 대한 URL 정보를 입력할 때 HTTP가 아니라 HTTPS 프로토콜을 사용해야 합니다. 

Messaging Server 및 Communications Express Mail 간의 연결 보안을 참조하십시오.

Messaging Server 및 S/MIME 애플릿 간 연결 

공개 키 인증서를 CRL에 대해 확인할 경우 S/MIME 애플릿이 Messaging Server와 직접 통신해야 합니다. SSL을 사용하여 이 연결을 보안하려면 smime.conf 파일에서 sslrootcacertsurlcheckoverssl을 설정하는 것 외에도 Messaging Server에 대한 관리 작업이 필요합니다.

Messaging Server 및 S/MIME 애플릿 간의 연결 보안을 참조하십시오.

Messaging Server 및 Communications Express Mail 간의 연결 보안

Messaging Server에서는 Messaging Server와 Communications Express Mail 간의 인터넷 연결에 SSL(Secure Socket Layer)을 사용할 수 있습니다. Messaging Server에서 SSL을 설정한 후 Communications Express에서 SSL을 구성합니다. Sun Java System Communications Express 6 2005Q4 관리 설명서를 참조하십시오. Communications Express Mail 사용자는 브라우저에서 HTTPS 프로토콜을 사용하여 Communications Express URL을 지정합니다.

HTTPS://hostname.domain:secured_port

즉, HTTP 프로토콜(HTTP://hostname .domain: unsecure_port)을 사용하지 않습니다. Communications Express 로그인 창이 표시되면 창 아래의 잠금 위치에 보안 링크가 있음을 나타내는 잠금 아이콘이 보입니다.

Messaging Server에 대한 SSL 구성은 암호화 및 인증서 기반 인증 구성 을 참조하십시오.

Messaging Server 및 S/MIME 애플릿 간의 연결 보안

공개 키 인증서를 CRL에 대해 확인할 경우 S/MIME 애플릿이 Messaging Server와 직접 통신해야 합니다.

ProcedureSSL을 사용하여 통신 연결 보안을 유지하는 방법

단계
  1. 관리 작업을 수행하여 Messaging Server에서 SSL을 구성합니다. 암호화 및 인증서 기반 인증 구성 을 참조하십시오.

  2. smime.conf 파일에서 sslrootcacertsurl 매개 변수를 설정하여 루트 SSL CA 인증서를 찾기 위한 정보를 지정합니다. 이러한 CA 인증서는 Messaging Server와 S/MIME 애플릿 간에 SSL 연결을 설정할 때 Messaging Server의 SSL 인증서를 확인하는 데 사용됩니다.

  3. smime.conf 파일에서 checkoverssl 매개 변수를 1로 설정합니다. 이 Messaging Server 옵션은 Messaging Server와 S/MIME 애플릿 간의 연결에 SSL이 사용되는지 여부를 지정합니다. checkoverssl1로 설정하면 Communications Express Mail 사용자가 Messenger Server의 URL을 지정하는 방법(HTTP 또는 HTTPS)에 상관없이 Messaging Server 및 S/MIME 애플릿 간의 연결이 SSL을 사용하여 보안됩니다.


    주 –

    Messaging Server와 Communications Express Mail 등의 클라이언트 응용 프로그램 간에 프록시 서버를 사용할 수 있습니다. 프록시 서버를 보안된 통신 연결과 함께 사용하거나 보안된 통신 연결 없이 사용하는 방법은 프록시 서버 및 CRL 확인을 참조하십시오.


클라이언트 시스템의 키 액세스 라이브러리

메일 사용자가 개인 공개 키 쌍과 인증서를 스마트 카드에 보관하는지 아니면 브라우저의 로컬 키 저장소에 보관하는지 여부에 상관없이 클라이언트 시스템에는 저장 방법을 지원하기 위한 키 액세스 라이브러리가 존재해야 합니다.

이러한 라이브러리는 스마트 카드 및 브라우저 공급업체가 제공합니다. 클라이언트 시스템에 올바른 라이브러리가 있는지 확인하고 smime.conf 파일에서 올바른 플랫폼 매개 변수에 라이브러리 이름을 지정해야 합니다. 선택할 수 있는 매개 변수는 다음과 같습니다.

클라이언트 시스템에 설치된 라이브러리를 알고 있는 경우 이러한 라이브러리만 지정하거나 설치된 라이브러리가 확실하지 않을 경우 특정 플랫폼과 공급업체의 모든 라이브러리 이름을 지정할 수 있습니다. S/MIME 애플릿이 지정한 이름 중에서 필요한 라이브러리를 찾지 못할 경우 S/MIME 기능이 작동하지 않습니다.

하나 이상의 라이브러리 파일 이름을 지정하는 구문은 다음과 같습니다.

platform_parameter==vendor:library=library_name;...

여기서

platorm_parameter는 Communications Express Mail에 액세스하는 클라이언트 시스템의 플랫폼에 대한 매개 변수 이름입니다. 다음 이름 중 하나를 선택합니다(platformwin). platformwin

vendor는 스마트 카드나 브라우저의 공급업체를 지정합니다. 다음 리터럴 중 하나를 선택합니다.

cac(ActivCard 또는 NetSign 스마트 카드의 경우)

capi(CAPI가 포함된 Internet Explorer의 경우)

mozilla(네트워크 보안 서비스가 포함된 Mozilla의 경우)

library_name은 라이브러리 파일 이름을 지정합니다. 공급업체 및 운영 체제에 대한 라이브러리 이름은 표 20–4를 참조하십시오.

표 20–4 클라이언트 시스템의 특수 라이브러리

스마트 카드 또는 브라우저 공급업체 

운영 체제 

라이브러리 파일 이름 

 

Windows 

acpkcs211.dll

CAPI(Cryptographic Application Programming Interface)가 포함된 Internet Explorer 

Windows 

capibridge.dll

 

Windows 

softokn3.dll

 

Windows 

core32.dll 

다음 예에서는 Windows 플랫폼에 대한 하나의 스마트 카드 라이브러리, 하나의 Internet Explorer 라이브러리 및 하나의 Mozilla 라이브러리를 지정합니다.

platformwin==CAC:library=acpkcs211.dll;CAPI:library=capibridge.dll;
MOZILLA:library=softokn3.dll;

개인 및 공개 키 확인

Communications Express Mail은 개인 키 또는 공개 키를 사용하기 전에 그림 20–2에 표시된 확인 테스트를 통과해야 합니다. 이 절의 나머지 부분에서는 공개 키 인증서를 CRL에 대해 확인하는 작업을 자세히 설명합니다.

그림 20–2 개인 및 공개 키 확인

이 그림은 개인 키 및 공개 키를 확인하기 위한 순서도를 보여 줍니다.

사용자의 개인 키 또는 공개 키 찾기

Communications Express Mail 사용자가 여러 개인 공개 키 쌍과 여러 전자 메일 주소(주, 대체 또는 별칭 주소)를 갖고 있는 경우 키가 이러한 주소와 연결될 수 있습니다. 이 경우 S/MIME 애플릿이 확인을 위해 모든 키를 찾는 것이 중요합니다. smime.conf 파일에서 usercertfilter 매개 변수를 사용하여 공개 키 인증서를 CRL에 대해 확인할 때 키 소유자의 메일 주소 목록을 만드는 필터를 정의합니다. 자세한 내용은 smime.conf 파일의 매개 변수usercerfilter를 참조하십시오.

CRL에 대해 인증서 확인

인증서 해지 목록, 즉 CRL은 키 쌍과 인증서를 발급하는 CA가 유지 관리하는 해지된 인증서 목록입니다. CRL 확인이 사용 가능한 경우 시스템은 인증서 요청이 있을 때마다 CRL에서 해당 인증서가 해지되었는지 확인합니다.

smime.conf 파일에서 crlenable1로 설정되어 있는 경우에는 만료된 키가 발견될 때 CRL 테스트가 수행됩니다. 공개 키의 인증서를 CRL에 대해 확인합니다. 각 CA에 대해 CRL이 하나만 있을 수 있지만 동일한 CRL이 여러 위치에 있을 수 있습니다.

S/MIME 애플릿이 확인을 수행하라는 요청을 보내면 Messaging Server가 인증서를 CRL에 대해 확인합니다. 공개 키 인증서는 공개 키를 검증하기 위해 사용됩니다. 개인 키는 소유자만 사용할 수 있도록 비밀로 유지되기 때문에 개인 키를 CRL에 대해 직접 확인할 수 없습니다. 따라서 개인 키가 올바른지 확인하려면 키 쌍의 공개 키 인증서가 사용됩니다. 공개 키의 인증서가 CRL 테스트를 통과하면 연관된 개인 키도 테스트를 통과합니다.

소유자가 회사를 그만두거나 스마트 카드를 분실할 경우와 같은 다양한 이유 때문에 인증서가 해지될 수 있습니다.

다음과 같은 세 가지 경우에 인증서를 CRL에 대해 확인합니다.

CRL 액세스

인증서에는 Messaging Server가 CRL을 찾기 위해 사용하는 0개 이상의 URL(배포 지점이라고도 함)이 포함됩니다. 인증서에 CRL URL이 없을 경우 CRL에 대해 확인할 수 없으며 진짜 상태를 알지 못한 채 개인 또는 공개 키를 사용하여 메일을 서명하거나 암호화하게 됩니다.

Messaging Server가 사용할 수 있는 모든 URL을 시도한 후 CRL을 찾거나 액세스하지 못할 경우 인증서 상태가 알 수 없는 것으로 간주됩니다. 상태를 알 수 없는 개인 키 또는 공개 키를 사용할지 여부는 revocationunknown의 설정에 따라 결정됩니다.

각 CA에 대해 하나의 CRL만 지원되지만 동일한 CRL의 여러 복사본이 사용자의 공개 키 인증서 간에 다른 URL로 표시되는 다른 위치에 존재할 수 있습니다. Messaging Server는 CRL에 액세스할 때까지 인증서의 모든 URL 위치를 시도합니다.

정기적으로 CA에서 최신 CRL을 원하는 위치에 다운로드하여 CRL의 여러 복사본에 최 적으로 액세스할 수 있도록 관리할 수 있습니다. 인증서에 포함된 URL을 변경할 수 없지만 인증서의 URL을 CRL 정보가 포힘된 새 URL로 매핑하여 새 CRL 위치를 사용하도록 Messaging Server를 리디렉션할 수 있습니다. 다음 구문을 사용하여 LDAP 디렉토리에서 하나 이상의 매핑 정의 목록을 만듭니다(표 20–3 참조).


msgCRLMappingRecord=url_in_certificate==new_url[|url_login_DN|url_login_password]

url_in_certificate는 CRL을 찾기 위한 이전 정보가 포함된 인증서의 URL입니다. new_url은 새 CRL 정보가 포함된 새 URL입니다. url_login_DNurl_login_password에 엑세스할 수 있는 항목의 DN과 비밀번호입니다. 두 옵션은 모두 선택 사항이며 지정하는 경우 새 URL 액세스에 대해서만 사용됩니다.

DN과 비밀번호가 실패할 경우 LDAP 액세스가 거부되며 다른 자격 증명을 사용하여 다 시 시도되지 않습니다. 이러한 로그인 자격 증명은 LDAP URL에 대해서만 유효합니다. smmime.conf에서 crlurllogindncrlurlloginpw를 사용할 경우 매핑 레코드에 로그인 DN과 비밀번호를 지정할 필요가 없습니다. 자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스를 참조하십시오.

한 계층의 매핑만 허용됩니다. 인증서의 다른 URL을 동일한 새 URL에 매핑할 수 있지만 인증서 URL을 여러 새 URL에 할당할 수는 없습니다. 예를 들어, 다음 매핑 목록은 유효하지 않습니다.

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL12==URL66
msgCRLMappingRecord=URL12==URL88
msgCRLMappingRecord=URL20==URL90
msgCRLMappingRecord=URL20==URL93

다음 예는 올바른 매핑 목록입니다.

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL14==URL66
msgCRLMappingRecord=URL88==URL66
msgCRLMappingRecord=URL201==URL90
msgCRLMappingRecord=URL202==URL93

LDAP 디렉토리에서 매핑 정의를 만든 후에 smime.conf 파일의 crlmappingurl을 사용하여 이러한 정의를 찾기 위한 디렉토리 정보를 지정합니다. smime.conf 파일의 매개 변수를 참조하십시오.

프록시 서버 및 CRL 확인

시스템에서 클라이언트 응용 프로그램과 Messaging Server 간에 프록시 서버를 사용할 경우 CRL 확인을 수행하기 위해 S/MIME 애플릿을 올바르게 구성했더라도 CRL 확인이 차단될 수 있습니다. 이러한 문제가 발생하면 유효한 키 인증서가 해지 또는 알 수 없는 상태라는 것을 경고하는 오류 메시지가 Communications Express Mail 사용자에게 표시됩니다.

다음과 같은 상황에서 이 문제가 발생합니다.

이 문제를 해결하려면 다음 작업을 수행합니다.

  1. 클라이언트 시스템과 프록시 서버 간의 통신 연결을 SSL을 사용한 보안 연결로 설정 하고 모든 구성 값을 그대로 둡니다. 또는,

  2. 통신 연결을 보안되지 않은 상태로 두고 checkoverssl0으로 설정합니다.

자세한 내용은 SSL을 사용하여 인터넷 연결 보안을 참조하십시오.

오래된 CRL 사용

S/MIME 애플릿이 확인을 수행하라는 요청을 보내면 Messaging Server가 인증서를 CRL에 대해 확인합니다. Messaging Server는 인증서를 확인할 때마다 CRL을 메모리로 다운로드하는 대신 CRL 복사본을 디스크에 다운로드하고 해당 복사본을 인증서 확인에 사용합니다. 모든 CRL에는 지정한 날짜 이후에는 최신 버전의 CRL을 사용하도록 지정하는 next-update 필드가 있습니다. next-update 날짜는 CRL 사용의 만료 날짜나 시간 제한으로 간주할 수 있습니다. CRL은 next-update 날짜가 지나면 오래된 것으로 간주되며 Messaging Server는 다음 번에 인증서를 검사할 때 최신 버전의 CRL을 다운로드합니다.

S/MIME 애플릿이 인증서를 CRL에 대해 확인하도록 요청할 때마다 Messaging Server는 다음 작업을 수행합니다.

  1. 현재 날짜를 CRL의 next-update 날짜와 비교합니다.

  2. CRL이 오래된 경우 Messaging Server는 최신 버전의 CRL을 다운로드하여 디스크의 오래된 CRL을 대체한 다음에 확인 작업을 진행합니다. 그러나 최신 버전의 CRL을 찾을 수 없거나 다운로드할 수 없으면 smime.conf 파일의 crlusepastnextupdate 값에 따라 수행할 작업을 결정합니다.

  3. crlusepastnextupdate0으로 설정된 경우 오래된 CRL이 사용되지 않으며 해당 인증서는 모호한 상태가 됩니다. S/MIME 애플릿은 smime.confrevocationunknown 값에 따라 다음과 같이 수행할 작업을 결정합니다.

    1. revocationunknownok로 설정된 경우 인증서는 유효한 것으로 간주되며 개인 또는 공개 키를 메일의 서명이나 암호화에 사용합니다.

    2. revocationunknownrevoked로 설정된 경우 인증서는 유효하지 않은 것으로 간주되고 개인 또는 공개 키를 메일 서명이나 암호화에 사용하지 않으며 키를 사용할 수 없다는 오류 메시지를 메일 사용자에게 표시됩니다.

    crlusepastnextupdate1로 설정된 경우 S/MIME 애플릿이 오래된 CRL을 계속 사용하므로 Communications Express Mail 내에서 처리 중단이 발생하지 않지만 이러한 상황을 알리기 위해 Messaging Server 로그 파일에 메시지가 기록됩니다.

인증서를 CRL에 대해 확인할 때 이러한 순서의 이벤트가 계속됩니다. Messaging Server가 최신 버전의 CRL을 제때에 smime.conf 파일의 설정에 따라 다운로드할 수 있으면 메일 처리가 중단 없이 계속됩니다. Messaging Server 로그를 정기적으로 확인하여 오래된 CRL이 사용 중임을 나타내는 메시지가 반복되는지 확인합니다. 최신 CRL을 다운로드할수 없는 경우 액세스할 수 없는 이유를 조사해야 합니다.

사용할 메일 시간 지정

timestampdelta 매개 변수는 주로 다음 용도로 사용됩니다.

  1. 메일이 대상에 도착하는 데 오래 걸리는 상황을 처리하는 경우. 이 경우 메일을 보낼 때 키가 유효했더라도 보낸 사람의 키가 잘못된 키로 간주되었을 수 있습니다.

  2. 보낸 시간을 속일 수 있으므로 메일의 보낸 시간에 대한 신뢰를 제한하려는 경우

모든 메일은 다음 두 가지 시간과 관련되어 있습니다.


주 –

메일의 보낸 사람 필드 오른쪽에 있는 삼각형 아이콘을 누르면 메일 헤더 세부 정보를 볼 수 있습니다.


메일을 보낼 때 유효했던 인증서가 메일이 대상에 도착할 때 해지되거나 만료될 수 있습 니다. 이 경우에는 인증서의 유효성을 검사할 때 보낸 시간과 받은 시간 중에서 어떤 시간 을 사용해야 하는지가 중요합니다. 보낸 시간을 사용하면 메일을 보낼 때 인증서가 유효했는지 여부를 확인합니다. 그러나 항상 보낸 시간을 사용하면 메일이 대상에 도착하는 데 오래 걸릴 수 있다는 사실을 고려하지 못합니다.

smime.conf 파일의 timestampdelta 매개 변수를 사용하여 CRL 확인에 사용할 시간에 영향을 줄 수 있습니다. 이 매개 변수는 초를 나타내는 양의 정수로 설정합니다. 받은 시간에서 timestampdelta 값을 뺀 시간이 보낸 시간보다 앞설 경우 보낸 시간이 사용됩니다. 그렇지 않을 경우에는 받은 시간이 사용됩니다. timestampdelta의 값이 작을수록 받은 시간이 더 자주 사용됩니다. timestampdelta를 설정하지 않으면 항상 받은 시간이 사용됩니다. 표 20–3timestampdelta를 참조하십시오.

CRL 액세스 문제

네트워크 또는 서버 문제와 같은 다양한 이유 때문에 Messaging Server가 인증서를 CRL에 대해 확인하려고 할 때 CRL을 사용하지 못할 수 있습니다. 이 경우에 Messaging Server가 계속 CRL에 액세스하려고 시도하느라 시간을 낭비하게 하는 대신 smime.conf 파일의 crlaccessfail 매개 변수를 사용하여 CRL 액세스를 시도하는 빈도를 관리함으로써 Messaging Server가 다른 작업을 수행하게 할 수 있습니다.

crlaccessfail을 사용하여 다음을 정의합니다.

매개 변수의 구문과 예는 표 20–3crlaccessfail을 참조하십시오.

인증서가 해지된 경우

공개 키의 인증서가 CRL의 항목과 일치하지 않으면 개인 또는 공개 키가 보내는 메일의 서명이나 암호화에 사용됩니다. 인증서가 CRL의 항목과 일치하거나 인증서의 상태를 알 수 없으면 개인 또는 공개 키는 해지된 것으로 간주됩니다. 기본적으로 Communications Express Mail은 해지된 인증서가 포함된 키를 보내는 메일의 서명이나 암호화에 사용하지 않습니다. 수신자가 메일을 읽을 때 서명된 메일의 개인 키가 해지된 경우 수신자에게 서명을 신뢰할 수 없다는 경고 메시지가 표시됩니다.

원할 경우 smime.conf 파일에서 다음 매개 변수를 사용하여 해지된 모든 인증서에 대한 여러 기본 정책을 변경할 수 있습니다.

S/MIME 기능을 사용할 수 있는 권한 부여

Communications Express Mail을 통해 사용할 수 있는 여러 메일 서비스를 사용할 수 있는 권한을 LDAP 필터를 사용하여 부여하거나 거부할 수 있습니다. 필터는 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess LDAP 속성을 사용하여 정의합니다. 일반적으로 필터는 다음 세 가지 방법 중 하나로 작동합니다.

S/MIME의 필수 메일 서비스 이름은 http, smimesmtp입니다. Communications Express Mail 사용자 중에서 S/MIME 사용을 제한해야 하는 경우 적절한 LDAP 속성 구문과 서비스 이름을 사용하여 필터를 만듭니다. 이러한 속성은 LDAP 명령을 사용하여 만들거나 수정합니다.

S/MIME 권한 예

1. 다음 예는 한 명의 Communications Express Mail 사용자가 S/MIME 기능에 액세스할 수 없게 합니다.

mailAllowedServiceAccess: -smime:*$+imap,pop,http,smtp:*

또는

mailAllowedServiceAccess: +imap,pop,http,smtp:*

2. 다음 예는 도메인의 모든 Communications Express Mail 사용자가 S/MIME 기능에 액세스할 수 없게 합니다.

mailDomainAllowedServiceAccess: -smime:*$+imap:*$+pop:*$+smtp:*$+http:*

또는

mailDomainAllowedServiceAccess: +imap:*$+pop:*$+smtp:*$+http:*

자세한 내용은 필터 문을 참조하십시오.

인증서 관리

다음 예에서는 대부분 ldapsearchldapmodify 명령을 사용하여 LDAP 디렉토리에서 사용자 키와 인증서를 검색합니다. 이러한 명령은 Directory Server와 함께 제공됩니 다. 이러한 명령에 대한 자세한 내용은 Sun ONE Directory Server Resource Kit Tools Reference 릴리스를 참조하십시오.

LDAP 디렉토리의 CA 인증서

다음 예에서는 인증 기관의 인증서를 LDAP 디렉토리에 추가합니다. 이러한 인증서의 디렉토리 구조는 이미 존재합니다. 인증서와 인증서가 속하는 LDAP 항목은 add-root-CA-cert.ldif라는 .ldif 파일에 입력합니다. Base64 인코딩된 텍스트로 입력해야 하는 인증서 정보를 제외하고 이 파일의 모든 텍스트는 ASCII 텍스트로 입력합니다.

dn: cn=SMIME Admin,ou=people,o=demo.siroe.com,o=demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: certificationAuthority
cn: RootCACerts
sn: CA
authorityRevocationList: novalue
certificateRevocationList: novalue
cacertificate;binary:: MFU01JTUUEjAQBgNVBAsTCU1zZ1NlcnZlcjcMBoGA1UEAxMTydG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ldapmodify 명령을 사용하여 CA 인증서를 LDAP 디렉토리에 추가합니다.


# ldapmodify -a -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd -v
 -f add-root-CA-cert.ldif

smime.conftrustedurl 매개 변수 값은 LDAP 디렉토리에서 CA 인증서의 위치를 지정합니다. 예 1의 경우 trustedurl은 다음으로 설정됩니다.

trustedurl==ldap://demo.siroe.com:389/cn=SMIME Admin, ou=people, 
o=demo.siroe.com,o=demo?cacertificate;binary?sub?
(objectclass=certificationAuthority)

LDAP 디렉토리의 공개 키 및 인증서

이 예에서는 메일 사용자의 공개 키와 인증서를 LDAP 디렉토리에 추가합니다. 이 예에서는 LDAP 디렉토리에 메일 사용자가 이미 있다고 가정합니다. 키와 인증서 및 이들이 속한 LDAP 항목은 add-public-cert.ldif라는 .ldif 파일에 입력합니다. Base64 인코딩된 텍스트로 입력해야 하는 키와 인증서 정보를 제외하고 이 파일의 모든 텍스트는 ASCII 텍스트로 입력합니다.

dn: uid=JohnDoe,ou=People, o=demo.siroe.com,o=demo
changetype: modify
replace: usercertificate
usercertificate;binary:: MFU01JTUUxEjAQBgNVBAsT1zZ1NlcnZlcjMBoGA1UEAxMTydG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ldapmodify 명령을 사용하여 공개 키와 인증서를 LDAP 디렉토리에 추가합니다.


# ldapmodify -a -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd -v
 -f add-public-cert.ldif

smime.confcerturl 매개 변수 값은 LDAP 디렉토리에서 공개 키와 해당 인증서의 위치를 지정합니다. 예 2의 경우 certurl은 다음으로 설정됩니다.

certurl==ldap://demo.siroe.com:389/ou=people, o=demo.siroe.com, 
o=demo?userCertificate;binary?sub?

키와 인증서가 LDAP 디렉토리에 있는지 확인

다음 예에서는 LDAP 디렉토리에서 CA 인증서와 공개 키 및 해당 인증서를 검색하는 것을 보여 줍니다.

하나의 CA 인증서 검색

다음 예에서 -b 옵션에 정의된 기본 DN cn=SMIME admin, ou=people,o=demo.siroe.com,o=demo objectclass=*는 LDAP 디렉토리에 있는 하나의 CA 인증서를 설명합니다. 디렉토리에서 찾는 경우 ldapsearch는 인증서에 대한 정보를 ca-cert.lidf 파일에 반환합니다.


# ldapsearch -L -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd -b
"cn=SMIME admin, ou=people,o=demo.siroe.com,o=demo" "objectclass=*" 
> ca-cert.ldif

아래 예에서는 ca-cert.ldif 파일의 검색 결과를 보여 줍니다. 파일 내용의 형식은 ldapsearch-L 옵션을 사용한 결과입니다.


# more ca-cert.ldif
dn: cn=SMIME admin,ou=people,o=demo.siroe.com,o=demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: certificationAuthority
cn: RootCACerts
cn: SMIME admin
sn: CA
authorityRevocationList: novalue
certificateRevocationList: novalue
cacertificate;binary:: MFU01JTUUxEjAQBgNVBAsTCU1zZNlcnZlcjcMBoGA1UEAxMTydG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여러 공개 키 검색

다음 예에서 -b 옵션에 정의된 기본 DN o=demo.siroe.com,o=demo objectclass=*는 LDAP 디렉토리의 기본 DN과 그 아래에서 발견된 모든 공개 키와 인증서를 usergroup.ldif 파일로 반환하도록 합니다.


# ldapsearch -L -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd 
-b "o=demo.siroe.com,o=demo" "objectclass=*" > usergroup.ldif

하나의 공개 키 검색

다음 예에서 -b 옵션에 정의된 기본 DN uid=JohnDoe, ou=people,o=demo.siroe.com,o=demo objectclass=*는 LDAP 디렉토리에 있는 하나의 공개 키와 해당 인증서를 설명합니다.


# ldapsearch -L -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd -b 
"uid=JohnDoe, ou=people,o=demo.siroe.com,o=demo" "objectclass=*" > public-key.ldif

아래 예는 public-key.ldif 파일의 검색 결과를 보여 줍니다. 파일 내용의 형식은 ldapsearch-L 옵션을 사용한 결과입니다.


# more public-key.ldif
dn: uid=sdemo1, ou=people, o=demo.siroe.com, o=demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: siroe-am-managed-person
objectClass: inetOrgPerson
objectClass: inetUser
objectClass: ipUser
objectClass: userPresenceProfile
objectClass: inetMailUser
objectClass: inetLocalMailRecipient
objectClass: icsCalendarUser
objectClass: sunUCPreferences
mail: JohnDoe@demo.siroe.com
mailHost: demo.siroe.com
.
.
uid: JohnDoe
.
.
mailUserStatus: active
inetUserStatus: active
.
.
usercertificate;binary:: MFU01JTUUxEjAQBgNBAsTCU1zZ1NlcnZjcMBoGA1UEAxMTydG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.
.

네트워크 보안 서비스 인증서

네트워크 보안 서비스(NSS)에 사용되는 여러 인증서는 LDAP 데이터베이스가 아닌 자체 데이터베이스에 저장됩니다. 이러한 인증서와 관련 CRL을 데이터베이스에 저장하기 위해 Messaging Server에서는 certutilcrlutil의 두 가지 유틸리티를 제공합니다. 이러한 유틸리티를 사용하여 데이터베이스를 검색할 수도 있습니다.

certutil에 대한 자세한 내용은 Sun Java System Directory Server 관리 설명서(http://download.oracle.com/817-2012)를 참조하십시오. 또한 crlutil과 함께 제공되는 도움말 텍스트를 참조하십시오(유틸리티를 인수 없이 실행하면 유틸리티의 온라인 도움말을 볼 수 있음).

Communications Express S/MIME 최종 사용자 정보

이 절에서는 최종 사용자를 위한 정보를 제공합니다. 이 절은 다음 내용으로 구성되어 있습니다.

처음으로 로그인

메일 사용자가 Communications Express Mail에 처음으로 로그인하면 S/MIME 애플릿 과 관련된 특수한 프롬프트가 표시됩니다.

Windows용 프롬프트

Windows 98, 2000 또는 XP에서 Communications Express Mail에 처음 로그인하면 다음 프롬프트가 표시됩니다.

  1. JRE(Java 2 Runtime Environment)가 컴퓨터(클라이언트 시스템)에 설치되지 않은 경우 다음과 비슷한 프롬프트가 표시됩니다.

    Do you want to install and run “Java Plug-in 1.4.2_03 signed on 11/20/03 and distributed by Sun Microsystems, Inc.”?Publisher authenticity verified by: VeriSign Class 3 Code Signing 2001 CA

    Yes를 누르고 다음 프롬프트에 따라 JRE를 설치합니다.


    주 –

    영어 언어 지원을 원하지만 라틴어가 아닌 문자(예: 중국어)를 포함하는 S/MIME 메일도 읽고 싶은 경우에는 컴퓨터의 /lib 디렉토리에 charsets.jar 파일이 있어야 합니다.

    charsets.jar 파일이 /lib 디렉토리에 설치되도록 하려면 사용자 정의 설치를 사용하여 영어 버전의 JRE를 설치합니다. 설치 중에 "추가 언어 지원" 옵션을 선택합니다.

    자세한 내용은 여러 언어 지원을 참조하십시오.


    마지막 설치 프롬프트에서 Finish를 누릅니다. 컴퓨터를 다시 시작하고 Communications Express Mail에 다시 로그인합니다.

  2. 다음과 같은 프롬프트가 표시됩니다.

    Do you want to trust the signed applet distributed by “Sun Microsystems, Inc.”?Publisher authenticity verified by: Thawte Consulting cc

    다음 응답 중 하나를 누릅니다.

    • Communications Express Mail 세션에 S/MIME 애플릿을 허용하려면 Yes를 누릅니다. 로그인할 때마다 프롬프트가 표시됩니다.

      • S/MIME 애플릿을 거부하려면 No를 누릅니다. S/MIME 기능을 사용할 수 없습니다.

      • 현재 및 이후의 모든 Communications Express Mail 세션에 S/MIME 애플릿을 허용하려면 Always를 누릅니다. 프롬프트가 다시 표시되지 않습니다.

  3. 다음과 같은 프롬프트가 표시됩니다.

    Do you want to trust the signed applet distributed by “sun microsystems, inc.”?Publisher authenticity verified by: VeriSign, Inc.

    다음 응답 중 하나를 누릅니다.

    • Communications Express Mail 세션에 S/MIME 애플릿을 허용하려면 Yes를 누릅니다. 로그인할 때마다 프롬프트가 표시됩니다.

    • S/MIME 애플릿을 거부하려면 No를 누릅니다. S/MIME 기능을 사용할 수 없습니다.

    • 현재 및 이후의 모든 Communications Express Mail 세션에 S/MIME 애플릿을 허용하려면 Always를 누릅니다. 프롬프트가 다시 표시되지 않습니다.

서명 및 암호화 설정

모든 사용자의 보내는 메일을 다음 중 어떤 방법으로 처리할지 제어하기 위해 설정할 수 있는 초기 서명 및 암호화 설정이 있습니다.

또한 초기 설정은 Communications Express Mail 창의 맨 아래와 옵션 - 설정 창에 있는 서명 및 암호화 확인란을 선택한(기능 설정) 또는 선택하지 않은(기능 해제) 상태로 표시 할지 여부를 제어합니다. smime.conf 파일에서 alwaysencryptalwayssign 매개 변수를 사용하여 이러한 초기 설정을 지정합니다.

메일 사용자에게 메일의 초기 설정을 변경할 수 있다고 알려주십시오. Communications Express Mail에 로그인한 후 사용자는 하나의 메일에 대한 설정을 임시로 대체하거나 모든 메일에 대한 설정을 지속적으로 대체할 수 있습니다.

표 20–5에는 확인란 사용에 대해 요약되어 있습니다.

표 20–5 Communications Express Mail의 서명 및 암호화 확인란

확인란 텍스트 

위치 

Communications Express Mail 사용자가 수행하는 작업 

메시지에 서명 

메일 작성, 전달 또는 회신에 사용되는 Communications Express Mail 창의 맨 아래에 있습니다. 

  • 현재 메일에 서명하려면 선택합니다.

  • 현재 메일에 서명하지 않으려면 선택 취소합니다.

메시지 암호화 

메일 작성, 전달 또는 회신에 사용되는 Communications Express Mail 창의 맨 아래에 있습니다. 

  • 현재 메일을 암호화하려면 선택합니다.

  • 현재 메일을 암호화하지 않으려면 선택 취소합니다.

보내는 모든 메시지에 서명 

Communications Express Mail 옵션 설정 창에서 보안 메일 옵션 아래에 있습니다. 

  • 모든 메일에 자동으로 서명하려면 선택합니다.

  • 모든 메일에 자동으로 서명하지 않으려면 선택 취소합니다.

    주: "메시지에 서명" 확인란을 사용하여 "보내는 모든 메시지에 서명" 설정을 메일별로 대체할 수 있습니다.

보내는 모든 메시지 암호화 

Communications Express Mail 옵션 설정 창에서 보안 메일 옵션 아래에 있습니다. 

  • 모든 메일을 자동으로 암호화하려면 선택합니다.

  • 모든 메일을 자동으로 암호화하지 않으려면 선택 취소합니다.

    주: "메시지 암호화" 확인란을 사용하여 "보내는 모든 메시지 암호화" 설정을 메일별로 대체할 수 있습니다.

Java 콘솔 활성화

Communications Express Mail 사용자가 서명된 메일과 암호화된 메일을 처리할 때 S/MIME 애플릿에서 다양한 작업 메시지를 Java 콘솔에 기록할 수 있습니다. Java 콘솔 메시지는 메일 사용자가 보고한 문제를 해결하는 데 도움이 될 수 있습니다. 그러나 사용자의 LDAP 항목의 inetMailUser 객체 클래스에 nswmExtendedUserPrefs 속성을 추가하여 사용자에 대해 Java 콘솔을 활성화한 경우에만 작업 메시지가 생성됩니다. 예를 들면 다음과 같습니다.

nswmExtendedUserPrefs: meSMIMEDebug=on

이렇게 하면 Communications Express Mail의 성능이 크게 저하될 수 있으므로 모든 메일 사용자에 대해 Java 콘솔을 항상 활성화하지는 마십시오.