test

Sun Java System Messaging Server 6 2005Q4 관리 설명서

ProcedureS/MIME 구성 방법

단계

  1. Messaging Server를 설치한 후 Communications Express Mail의 기본 기능이 작동 하고 있는지 확인합니다.

  2. 아직 없는 경우, S/MIME 기능을 사용할 권한이 있는 모든 메일 사용자에 대해 표준 X.509 v3 형식의 인증서와 함께 개인 공개 키 쌍을 만들거나 얻습니다.

  3. 키와 인증서를 위해 스마트 카드를 사용할 경우

    1. 스마트 카드를 메일 사용자에게 배포합니다.

    2. Communications Express Mail에 액세스하는 각 클라이언트 시스템에 스마트 카드 판독 장치와 소프트웨어를 올바로 설치합니다.

  4. 브라우저의 로컬 키 저장소를 사용하여 키와 인증서를 저장할 경우 키 쌍과 인증서를 로컬 키 저장소에 다운로드하는 방법을 메일 사용자에게 알려줍니다.

  5. 스마트 카드나 로컬 키 저장소를 지원하려면 올바른 라이브러리가 클라이언트 시스 템에 있어야 합니다. 클라이언트 시스템의 키 액세스 라이브러리를 참조하십시오.

  6. S/MIME을 지원하도록 LDAP 디렉토리를 설정합니다.

    1. CA의 모든 인증서를 인증 기관의 고유 이름을 사용하여 Directory Server가 액세스할 수 있는 LDAP 디렉토리에 저장합니다. 이러한 인증서의 LDAP 속성은 cacertificate;binary입니다. 인증서를 저장한 디렉토리 정보를 기록해 둡니다. 이후의 단계에서 이 정보가 필요합니다.

      LDAP 디렉토리 정보를 지정하는 예는 표 20–3trustedurl을, LDAP 디렉토리 검색에 대한 자세한 내용은 인증서 관리를 참조하십시오.

    2. Directory Server가 액세스할 수 있는 LDAP 디렉토리에 공개 키와 인증서를 저장합니다. 공개 키와 인증서에 대한 LDAP 속성은 usercertificate;binary입니다. 인증서를 저장한 디렉토리 정보를 기록해 둡니다. 이후의 단계에서 이 정보가 필요합니다.

      LDAP 디렉토리 정보를 지정하는 예는 표 20–3certurl을, LDAP 디렉토리 검색에 대한 자세한 내용은 인증서 관리를 참조하십시오.

    3. S/MIME 메일을 주고 받는 모든 사용자에게 자신의 사용자 항목에서 LDAP 필터와 함께 S/MIME을 사용할 수 있는 권한이 주어졌는지 확인합니다. 필터는 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess LDAP 속성을 사용하여 정의합니다.

      주:기본적으로 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess를 사용하지 않은 경우 smime를 비롯한 모든 서비스가 허용됩니다. 이러한 속성에 서비스를 명시적으로 지정할 경우 메일 사용자에게 S/MIME 기능을 사용할 수 있는 권한을 제공하려면 smime뿐만 아니라 httpsmtp 서비스도 지정해야 합니다.

      자세한 내용은 S/MIME 기능을 사용할 수 있는 권한 부여를 참조하십시오.

  7. 사용 가능한 텍스트 편집기를 사용하여 smime.conf 파일을 편집합니다. 매개 변수 구문은 이 파일의 시작 부분에 있는 주석을 참조하십시오.

    smime.conf의 모든 텍스트와 매개 변수 예는 주석 문자(#)로 시작됩니다. 필요한 매개 변수를 smime.conf에 추가하거나 매개 변수 예를 파일의 다른 부분에 복사하고 해당 값을 변경할 수 있습니다. 예를 복사하여 편집할 경우 행의 시작 부분에 있는 # 문자를 제거해야 합니다.

    다음 매개 변수를 각각 하나의 행으로 파일에 추가합니다.

    1. trustedurl(표 20–3 참조) - CA의 인증서를 찾기 위한 LDAP 디렉토리 정보로 설정합니다. 단계 a에서 저장한 정보를 사용합니다.

    2. certurl(표 20–3) -- 공개 키와 인증서를 찾기 위한 LDAP 디렉토리 정보로 설정합니다. 단계 b에서 저장한 정보를 사용합니다.

    3. usersertfilter(표 20–3 참조) -- smime.conf 파일의 값 예로 설정합니다. 대부분의 경우 값 예를 사용하면 됩니다. 예를 복사하고 행의 시작 부분에서 # 문자를 삭제합니다.

      이 매개 변수는 키 쌍을 다른 메일 주소에 할당할 때 사용자의 모든 개인 공개 키 쌍을 찾을 수 있도록 Communications Express Mail 사용자의 주, 대체 및 이와 동일한 전자 메일 주소에 대한 필터 정의를 지정합니다.

    4. sslrootcacertsurl(표 20–3 참조) -- S/MIME 애플릿과 Messaging Server 사이의 통신 연결에 SSL을 사용하는 경우 Messaging Server의 SSL 인증서를 확인하는 데 사용되는 CA의 인증서를 찾기 위해 LDAP 디렉토리 정보와 함께 sslrootcacertsurl을 설정합니다. 자세한 내용은 SSL을 사용하여 인터넷 연결 보안을 참조하십시오.

      checkoverssl(표 20–3 참조) -- S/MIME 애플릿과 Messaging Server 사이의 통신 연결에 SSL을 사용하지 않을 경우 0으로 설정합니다.

    5. crlenable(표 20–3 참조) -- CRL 확인을 수행하려면 smime.conf 파일에 다른 매개 변수를 추가해야 하므로 지금은 0으로 설정하여 CRL 확인을 비활성화합니다.

    6. logindnloginpw(표 20–3 참조) -- 공개 키 및 CA 인증서가 포함된 LDAP 디렉토리에 액세스하기 위해 인증이 필요한 경우 이러한 매개 변수를 읽기 권한을 가진 LDAP 항목의 고유 이름과 비밀번호로 설정합니다.

      주:crlmappingurl, sslrootcacertsurl 또는 trustedurl 매개 변수에 지정된 LDAP 정보를 사용하여 LDAP 디렉토리에 액세스할 때마다 logindnloginpw의 값이 사용됩니다. 자세한 내용은 smime.conf 파일의 매개 변수 자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스를 참조하십시오.

      LDAP 디렉토리에 액세스하는 데 인증이 필요하지 않은 경우 logindnloginpw를 설정하지 마십시오.

  8. configutil을 사용하여 Messaging Server 옵션을 설정합니다.

    1. local.webmail.smime.enable -- 1로 설정합니다.

    2. local.webmail.cert.enable -- CRL에 대해 인증서를 확인하려는 경우 1로 설정합니다.

      자세한 내용은 Messaging Server 옵션을 참조하십시오.

  9. 이제 Communications Express Mail이 S/MIME 기능을 사용하도록 구성되었습니다. 다음 단계를 수행하여 S/MIME 기능이 작동하는지 확인합니다.

    1. Messaging Server를 다시 시작합니다.

    2. Messaging Server 로그 파일 msg-svr-base /log/http에서 S/MIME과 관련된 진단 메시지를 확인합니다.

    3. S/MIME에 대한 문제가 감지된 경우 진단 메시지를 통해 구성 매개 변수의 문제를 수정하는 방법을 확인할 수 있습니다.

    4. 필요한 구성 매개 변수를 수정합니다.

    5. Messaging Server의 로그 파일에 S/MIME에 대한 진단 메시지가 더 이상 존재하지 않을 때까지 단계 a - d까지 반복합니다.

    6. 다음 단계를 수행하여 S/MIME 기능이 작동하는지 확인합니다.

      1. 클라이언트 시스템에서 Messaging Server에 로그인합니다. S/MIME 애플릿에 대한 특수 프롬프트에 Yes 또는 Always로 대답합니다. 인증서 관리를 참조하십시오.

      2. 자신에게 보내는 짧은 메일을 작성합니다.

      3. 작성 창의 맨 아래에서 암호화 확인란을 선택하여(선택되어 있지 않은 경우) 메일을 암호화합니다.

      4. 보내기를 눌러 암호화된 메일을 자신에게 보냅니다. 이때 키와 인증서 기법이 대부분 작동해야 합니다.

      5. 암호화된 메일에 문제가 있을 경우 대개 smime.conf 파일의 LDAP 디렉토리 정보에 사용한 값이나 LDAP 디렉토리에 키와 인증서가 저장된 방법에 문제의 원인이 있을 수 있습니다. Messaging Server 로그에서 추가 진단 메시지를 확인합니다.

        아래 표에 요약되어 있는 나머지 S/MIME 매개 변수는 S/MIME 환경을 추가로 구성하는 데 사용할 수 있는 여러 옵션을 제공합니다. 매개 변수에 대한 자세한 내용은 smime.conf 파일의 매개 변수를 참조하십시오.

        S/MIME의 필수 매개 변수 

        스마트 카드 및 로컬 키 저장소를 위한 매개 변수 

        CRL 확인을 위한 매개 변수 

        초기 설정 및 보안 연결을 위한 매개 변수 

        certurl* 

        -p pattern 

        checkoverssl 

        alwaysencrypt 

        logindn 

        		 

        crlaccessfail 

        alwayssign 

        loginpw 

        		 

        crldir 

        sslrootcacertsurl 

        trustedurl* 

        		 

        crlenable 

        		 

        usercertfilter* 

        		 

        crlmappingurl 

        		 
           

        crlurllogindn 

        		 
           

        crlurlloginpw 

        		 
           

        crlusepastnextupdate 

        		 
           

        readsigncert 

        		 
           

        revocationunknown 

        		 
           

        sendencryptcert 

        		 
           

        sendencryptcertrevoked 

        		 
           

        readsigncert 

        		 
           

        sendsigncertrevoked 

        		 
           

        timestampdelta 

        		 

        * 이러한 매개 변수에는 기본값이 없기 때문에 값을 지정해야 합니다.