Messaging Server 附带有 smime.conf 文件,该文件位于目录 msg-svr-base/config/ 中,其中 msg-svr-base 是安装 Messaging Server 的目录。该文件中的所有文本和参数示例前面都带有注释字符 (#)。
您可以将保存您设置的值的参数添加到 smime.conf 文件中,也可以编辑参数示例。如果要使用示例,请将示例复制到该文件的其他部分,编辑参数的值并删除示例行开头的 # 字符。
安装 Messaging Server 后,用任何可用的文本编辑器编辑 smime.conf。表 20–3 中所描述的参数不区分大小写,而且如果没有特殊说明,不需要进行设置。
表 20–3 smime.conf 文件中的 S/MIME 配置参数
参数 |
用途 |
|
---|---|---|
控制初始设置,以决定是否为有权使用 S/MIME 的所有 Communications Express Mail 用户自动加密所有外发邮件。每个 Communications Express Mail 用户都可以通过使用表 20–5 中所述的复选框来覆盖用于他们邮件的这一参数值。 选择以下值之一: 0—不对邮件进行加密。Communications Express Mail 中的加密复选框显示为未选中状态。该值为默认值。 1—始终对邮件进行加密。Communications Express Mail 中的加密复选框显示为选中状态。 示例: alwaysencrypt==1 |
||
控制初始设置,以决定是否为有权使用 S/MIME 的所有 Communications Express Mail 用户自动签名所有外发邮件。每个 Communications Express Mail 用户都可以通过使用表 20–5 中所述的复选框来覆盖用于他们邮件的这一参数值。 选择以下值之一: 0—不对消息进行签名。Communications Express Mail 中的签名复选框显示为未选中状态。该值为默认值。 1—始终对消息进行签名。Communications Express Mail 中的签名复选框显示为选中状态。 示例: alwaysensign==1 |
||
指定 LDAP 目录信息,以查找 Communications Express Mail 用户的公共密钥和证书(公共密钥的 LDAP 属性为 usercertificate;binary)。有关证书的更多信息,请参见管理证书。 该参数必须指向 LDAP 目录信息树 (DIT) 的用户/组中的最高节点,DIT 包括 Messaging Server 正在服务的所有用户。这对具有多个域的站点来说尤其重要;对于单域来说,标识名必须是用户/组树的根标识名而不是包含用户的子树的标识名。 您必须设置该参数。 示例: certurl==ldap://mail.siroe.com:389/ou=people,o=siroe.com,o=ugroot |
||
根据 CRL 检查密钥的证书时,控制是否使用 SSL 通信链路。有关更多信息,请参见使用 SSL 确保 Internet 链路的安全。 选择以下值之一: 0—不使用 SSL 通信链路。 1—使用 SSL 通信链路。该值为默认值。 如果将代理服务器与正在进行的 CRL 检查结合使用,则可能会出现问题。请参见代理服务器和 CRL 检查 |
||
crlaccessfail |
指定 Messaging Server 多次尝试访问 CRL 失败后等待下一次尝试访问 CRL 的时间。该参数没有默认值。 语法: crlaccessfail==number_of_failures:time_period_for_failures:wait_time_before_retry 其中: number_of_failures 是在 time_period_for_failures 指定的时间间隔中,允许 Messaging Server 访问 CRL 失败的次数。该值必须大于零。 time_period_for_failures 是 Messaging Server 对访问 CRL 的尝试的失败进行计数的时间段。该值必须大于零。 wait_time_before_retry 是 Messaging Server 在指定时间间隔内达到尝试访问失败次数的限制而要再次尝试访问 CRL 所需等待的秒数。该值必须大于零。 示例: crlaccessfail==10:60:300 在该示例中,Messaging Server 在 1 分钟内访问 CRL 时出现了 10 次失败。Messaging Server 在等待 5 分钟后再次尝试访问 CRL。请参见访问 CRL 时出现问题 |
|
指定 Messaging Server 将 CRL 下载到磁盘的目录信息。默认值为 msg-svr-base/data/store/mboxlist,其中 msg-svr-base 是安装 Messaging Server 的目录。有关更多信息,请参见使用过时 CRL。 |
||
控制是否根据 CRL 检查证书。如果存在匹配项,则证书将被视为已撤销。smime.conf 文件中的 send*revoked 参数的值确定 Communications Express Mail 是拒绝还是使用具有已撤销证书的密钥。有关更多信息,请参见验证专用密钥和公共密钥。 选择以下值之一: 0—不根据 CRL 检查每个证书。 1—根据 CRL 检查每个证书。该值为默认值。请确保将 Messaging Server 的 local.webmail.cert.enable 选项设置为 1,否则即使将 crlenable 设置为 1 也不会进行 CRL 检查。 |
||
指定 LDAP 目录信息以查找 CRL 映射定义。仅在具有映射定义时才需要该参数。有关更多信息,请参见访问 CRL。您可以选择添加能够访问该 URL 的 DN 和密码。 语法: crlmappingurl URL [|URL_DN | URL_password ] 示例:
|
||
指定对 CRL 映射定义具有读权限的 LDAP 条目的标识名(如果条目直接来自证书,则不需要指定。有关更多信息,请参见第 904 页中的“访问 CRL”)。 如果未指定 crllogindn 和 crlloginpw 的值,则 Messaging Server 将使用 HTTP 服务器的登录值来访问 LDAP 目录。如果失败,Messaging Server 将尝试匿名访问 LDAP 目录。 示例: crllogindn==cn=Directory Manager |
||
针对 crllogindn 参数的标识名指定 ASCII 文本格式的密码。 如果未指定 crllogindn 和 crlloginpw 的值,则 Messaging Server 将使用 HTTP 服务器的登录值来访问 LDAP 目录。如果失败,Messaging Server 将尝试匿名访问 LDAP 目录。 示例: crlloginpw==zippy |
||
控制在当前日期超过了 CRL 的“下一次更新”字段中指定的日期时是否使用 CRL。有关更多信息,请参见使用过时 CRL。 选择以下值之一: 0—不使用过时的 CRL。 1—使用过时的 CRL。该值为默认值。 |
||
指定对 LDAP 目录中的公共密钥、公共密钥的证书和 CA 证书具有读权限的 LDAP 条目的标识名。这些密钥、密钥证书和 CA 证书位于由 certurl 和 trustedurl 参数指定的 LDAP 目录中。 如果未指定 logindn 和 loginpw 的值,则 Messaging Server 将使用 HTTP 服务器的登录值来访问 LDAP 目录。如果失败,Messaging Server 将尝试匿名访问 LDAP 目录。 示例: logindn==cn=Directory Manager |
||
针对 logindn 参数的标识名指定 ASCII 文本格式的密码。 如果未指定 logindn 和 loginpw 的值,则 Messaging Server 将使用 HTTP 服务器的登录值来访问 LDAP 目录。如果失败,Messaging Server 将尝试匿名访问 LDAP 目录。 示例: loginpw==SkyKing |
||
指定在 Windows 平台上使用智能卡或本地密钥库时必需的一个或多个库名称。仅在默认值不适用于您的客户机时才更改该参数。默认值为: platformwin==CAPI:library=capibridge.dll; 有关更多信息,请参见客户机的密钥访问库。 |
||
控制在阅读邮件时是否根据 CRL 检查公共密钥的证书以验证 S/MIME 数字签名。(专用密钥用于创建邮件的数字签名,但是不能根据 CRL 对其进行检查,因而要根据 CRL 检查与专用密钥相关联的公共密钥的证书。)请参见验证专用密钥和公共密钥 选择以下值之一: 0—不根据 CRL 检查证书。 1—根据 CRL 检查证书。该值为默认值。 |
||
确定在根据 CRL 检查证书时返回模糊状态的情况下应采取的措施。在这种情况下,无法确定证书的状态为有效还是已撤销。有关更多信息,请参见验证专用密钥和公共密钥。 选择以下值之一: ok—将证书视为有效证书。 revoked—将证书视为撤销证书。该值为默认值。 |
||
控制用于加密外发邮件的公共密钥的证书在使用之前是否根据 CRL 进行检查。请参见验证专用密钥和公共密钥 选择以下值之一: 0—不根据 CRL 检查证书。 1—根据 CRL 检查证书。该值为默认值。 |
||
确定当用于加密外发邮件的公共密钥证书已撤销时应采取的措施。有关更多信息,请参见验证专用密钥和公共密钥。 选择以下值之一: allow—使用公共密钥。 disallow—不使用公共密钥。该值为默认值。 |
||
sendsigncert |
控制是否根据 CRL 检查公共密钥证书,从而确定是否可以将专用密钥用于为传出邮件创建数字签名。(专用密钥用于数字签名,但是不能根据 CRL 对其进行检查,因而要根据 CRL 检查与专用密钥相关联的公共密钥的证书。)有关更多信息,请参见验证专用密钥和公共密钥。 选择以下值之一: 0—不根据 CRL 检查证书。 1—根据 CRL 检查证书。该值为默认值。 |
|
确定专用密钥已撤销时应采取的措施。(专用密钥用于创建邮件的数字签名,但是不能根据 CRL 对其进行检查,因而要根据 CRL 检查与专用密钥相关的公共密钥的证书。如果公共密钥证书已撤销,则其对应的专用密钥也将撤销。)有关更多信息,请参见验证专用密钥和公共密钥。 选择以下值之一: allow—使用撤销的专用密钥。 disallow—不使用撤销的专用密钥。该值为默认值。 |
||
指定标识名和 LDAP 目录信息以查找有效 CA 的证书,这些证书用于验证 Messaging Server 的 SSL 证书。如果在 Messaging Server 中启用了 SSL,则该参数为必需参数。有关更多信息,请参见使用 SSL 确保 Internet 链路的安全。 如果具有接收来自客户机应用程序的所有请求的代理服务器的 SSL 证书,则这些 SSL 证书的 CA 证书也必须位于该参数所指向的 LDAP 目录中。 您也可以选择添加能够访问该 URL 的 DN 和密码。 语法: crlmappingurl URL [|URL_DN | URL_password ] 示例:
|
||
以秒为单位指定时间间隔,该时间间隔用于确定根据 CRL 检查公共密钥的证书时是使用邮件的发送时间还是接收时间。 该参数的默认值为零,这将使 Communications Express Mail 始终使用接收时间。有关更多信息,请参见确定要使用的邮件发送时间。 示例: timestampdelta==360 |
||
指定标识名和 LDAP 目录信息以查找有效 CA 的证书。该参数为必需参数。 您也可以选择添加能够访问该 URL 的 DN 和密码。 语法: crlmappingurl URL [|URL_DN | URL_password ] 示例:
|
||
指定 Communications Express Mail 用户的主、备用和等效电子邮件地址的过滤器定义,以确保将用户的专用-公共密钥对分配给其他邮件地址时可以找到这些密钥对。 该参数为必需参数,并且没有默认值。 |