S/MIME 所需的公共密钥、CA 证书和 CRL 可能存储在 LDAP 目录中(请参见上一节)。可以通过单个 URL 或多个 URL 访问 LDAP 中的密钥、证书和 CRL。例如,CRL 可能存储在某个 URL 中,而公共密钥和证书则存储在另一个 URL 中。Messaging Server 允许您指定哪个 URL 包含所需的 CRL 或证书信息,以及有权访问这些 URL 的条目的 DN 和密码。这些 DN/密码凭证都是可选的;如果未指定任何一个证书,则将首先尝试使用 HTTP 服务器证书访问 LDAP;如果失败,将尝试以 anonymous 访问 LDAP。
要访问所需的 URL,需要设置两对 smime.conf 凭证参数:logindn 和 loginpw,以及 crlurllogindn 和 crlurlloginpw。
在 smime.conf 中,logindn 和 loginpw 是用于所有 URL 的凭证。它们指定对公共密钥、公共密钥的证书和 CA 证书具有读权限的 LDAP 条目的 DN 和密码。这些密钥、密钥证书和 CA 证书由 certurl 和 trustedurl 参数指定。
crlurllogindn 和 crlurlloginpw 指定对映射表中的结果 URL 具有读权限的 LDAP 条目的 DN 和密码(有关更多信息,请参见访问 CRL)。如果这些证书未被接受,将拒绝 LDAP 访问并且不再尝试其他证书。要么同时指定这两个参数,要么两者都保留为空。这些参数不适用于直接来自证书的 URL。
Messaging Server 允许对 DN/密码对进行专门定义,以访问以下 smime.conf URL:certUrl、trustedUrl、crlmappingUrl、sslrootcacertsUrl。
语法如下:
url_type URL[ |URL_DN | URL_password]
示例:
trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | cn=Directory manager | boomshakalaka |
本节总结了 LDAP 证书的用法。
所有 LDAP 凭证都是可选的;如果未指定任何一个凭证,将首先尝试使用 HTTP 服务器证书访问 LDAP;如果失败,将尝试以 anonymous 访问 LDAP。
可以将以下两对 smime.conf 参数用作指定的两组 URL 的证书:
logindn 和 loginpw—smime.conf 中的所有 URL
crlurllogindn 和 crlurlloginpw—映射表中的所有 URL
它们都是默认的 LDAP 证书对。
可以为 smime.conf 中指定的或通过映射 CRL URL 而得到的任何 URL 指定可选的本地 LDAP 凭证对。
将按照指定证书时的顺序来检查每个证书:
1) 本地 LDAP 证书对—如果指定,则只进行一次尝试
2) 默认 LDAP 证书对—如果指定并且没有本地 LDAP 证书对,则只进行一次尝试
3) 服务器—如果既没有指定本地 LDAP 证书对也没有指定默认 LDAP 证书对,则首先尝试服务器
4) anonymous—仅在服务器失败或没有指定任何证书的情况下才尝试使用 anonymous
如果为 URL 指定了本地 LDAP 证书对,则首先使用该证书对;如果访问失败,将拒绝访问。
如果没有为 URL 指定本地 LDAP 证书对,则使用对应的默认 LDAP 证书对;如果访问失败,将拒绝访问。