安裝 Messaging Server 之後的使用入門

本小節說明何為 S/MIME applet 並為 Communications Express Mail 提供設置 S/MIME 的基本配置程序。配置程序包括設定 S/MIME applet 的參數和 Messaging Server 的選項。

S/MIME Applet

特殊的應用程序 (稱為 S/MIME applet) 處理簽名郵件、加密郵件或解密郵件程序以及驗證私密金鑰和公開金鑰的各種程序。使用 smime.conf 檔案中的參數和 Messaging Server 選項配置 S/MIME 功能。圖 20–1 顯示與其他系統元件相關的 S/MIME applet。

圖 20–1 S/MIME Applet

首次登入

擁有使用 S/MIME 許可權的 Communications Express Mail 使用者首次登入 Messaging Server 時，螢幕上會顯示一系列有關 S/MIME applet 的特殊提示。對提示回答「是」或「自動」之後，S/MIME applet 便可下載到這些使用者的電腦上。Applet 會保留在這些使用者的機器上，直到他們登出 Communications Express Mail。

請參閱管理憑證，以取得更多資訊。

下載 S/MIME Applet

每次使用者登入 Communications Express Mail 時均會下載 S/MIME applet，除非為使用者機器上的 Java 2 Runtime Environment (JRE) 啟用了快取。如果啟用了快取，則首次下載後該 S/MIME applet 的副本會儲存在使用者的機器上，從而避免使用者每次登入時均要下載 applet。

快取可以提昇效能，因此您可以指示使用者執行以下步驟，為 Java 2 Runtime Environment 1.4.x 版本啟用快取︰

為 Java 2 Runtime Environment 版本 1.4 啟用快取

步驟

1. 導覽至 Windows 控制台。

2. 連按兩下 Java Plug-in 圖示 (Java 2 Runtime Environment)。

3. 按一下 [快取] 標籤。

4. 核取 [啟用快取] 核取方塊。

5. 按一下 [套用]。

   下載之後，使用者並不知曉 S/MIME applet。表面上，簽名郵件、加密郵件或解密郵件均由 Communications Express Mail 執行。除非快顯錯誤訊息，否則使用者也不會知曉驗證私密或公開金鑰的程序。請參閱驗證私密金鑰和公開金鑰，以取得更多資訊。

基本 S/MIME 配置

S/MIME 的配置檔案 (smime.conf) 包含每個 S/MIME 參數的描述性註釋及範例。smime.conf 檔案隨附於 Messaging Server，位於目錄 msg-svr-base/config/ (其中，msg-svr-base 是 Messaging Server 的安裝目錄)。

以下程序包含配置 S/MIME 功能的最少必要步驟︰

配置 S/MIME

步驟

1. 安裝 Messaging Server 之後驗證 Communications Express Mail 的基本功能是否運作正常。

2. 請為所有擁有 S/MIME 功能使用權限的郵件使用者建立或取得具有標準 X.509 v3 格式憑證的私密-公開金鑰組 (如果之前沒有)。

3. 如果使用智慧卡儲存金鑰和憑證︰

   1. 將智慧卡分配給郵件使用者。

   2. 確定將智慧卡讀取裝置和軟體正確安裝在每台存取 Communications Express Mail 的用戶端機器上。

4. 如果使用瀏覽器的本機金鑰存放區儲存金鑰和憑證，請指示郵件使用者如何將其金鑰對和憑證下載至本機金鑰存放區。

5. 確定在用戶端機器上具有正確的程式庫以支援智慧卡或本機金鑰存放區。請參閱用戶端機器的金鑰存取程式庫

6. 設置 LDAP 目錄以支援 S/MIME︰

   1. 將 CA 的所有憑證儲存在可透過 Directory Server 存取的 LDAP 目錄中，並以憑證授權單位辨別名稱命名。這些憑證的 LDAP 屬性為 cacertificate;binary。請記下您用於儲存這些屬性的目錄之資訊。在後面的步驟中，您將需要此資訊。

      請參閱表 20–3 中的 trustedurl，以取得指定 LDAP 目錄資訊的範例，並請參閱管理憑證，以取得搜尋 LDAP 目錄的資訊。

   2. 將公開金鑰和憑證儲存在可透過 Directory Server 存取的 LDAP 目錄中。公開金鑰和憑證的 LDAP 屬性為 usercertificate;binary。請記下您用於儲存這些屬性的目錄之資訊。在後面的步驟中，您將需要此資訊。

      請參閱表 20–3 中的 certurl，以取得指定 LDAP 目錄資訊的範例，並請參閱管理憑證，以取得搜尋 LDAP 目錄的資訊。

   3. 確定為所有傳送或接收 S/MIME 郵件的使用者提供將這些使用者項目中的 LDAP 篩選器與 S/MIME 配合使用的許可權。使用 mailAllowedServiceAccess 或 mailDomainAllowedServiceAccess LDAP 屬性定義篩選器。

      注意：依預設，如果未使用 mailAllowedServiceAccess 或 mailDomainAllowedServiceAccess，則允許所有服務 (包括 smime)。如果使用這些屬性明確指定服務，則必須指定服務 http、smtp 和 smime，才能提供郵件使用者 S/MIME 功能使用權限。

      請參閱授予使用 S/MIME 功能的許可權，以取得更多資訊。

7. 使用任何可用的文字編輯器編輯 smime.conf 檔案。請參閱檔案開始處的參數語法註釋。

   smime.conf 中的所有文字參數和範例參數前均標有註釋字元 (#)。可以將所需的參數增加至 smime.conf，或將參數範例複製到該檔案的其他部分並變更其值。如果複製和編輯範例，請務必移除其行首的 # 字元。

   將以下參數增加至檔案，並使每個參數均在自己的行上︰

   1. trustedurl (請參閱表 20–3) - 設定為 LDAP 目錄資訊，以查找 CA 的憑證。使用執行步驟 a 時儲存的資訊。

   2. certurl (表 20–3) - 設定為 LDAP 目錄資訊，以查找公開金鑰和憑證。使用執行步驟 b 時儲存的資訊。

   3. usersertfilter (請參閱表 20–3) - 設定為 smime.conf 檔案中範例的值。範例值通常就是所需的篩選器。複製範例並刪除行首的 # 字元。

      此參數為 Communications Express Mail 使用者的主要、替代和等效電子郵件位址指定篩選器定義，從而確保當金鑰對指定給不同的郵件位址時可以找到使用者所有的私密公開金鑰對。

   4. sslrootcacertsurl (請參閱表 20–3) - 如果要使用 SSL 進行 S/MIME applet 和 Messaging Server 之間的通訊連結，請使用 LDAP 目錄資訊設定 sslrootcacertsurl，以查找用於驗證 Messaging Server SSL 憑證的 CA 憑證。請參閱使用 SSL 保護網際網路連結，以取得更多資訊。

      checkoverssl (請參閱表 20–3) - 如果不使用 SSL 進行 S/MIME applet 和 Messaging Server 之間的通訊連結，則設定為 0。

   5. crlenable (請參閱表 20–3) - 設定為 0，以立即停用 CRL 檢查，因為執行 CRL 檢查可能需要增加其他參數至 smime.conf 檔案。

   6. logindn 和 loginpw (表 20–3) - 如果包含公開金鑰和 CA 憑證的 LDAP 目錄需要存取認證，請將這些參數設定為擁有讀取權限的 LDAP 項目之辨別名稱和密碼。

      注意：每次使用由 crlmappingurl、sslrootcacertsurl 或 trustedurl 參數指定的 LDAP 資訊存取 LDAP 目錄時，會使用 logindn 和 loginpw 的值。請參閱smime.conf 檔案的參數和使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP，以取得更多資訊。

      如果存取 LDAP 目錄不需要認證，則請勿設定 logindn 和 loginpw。

8. 使用 configutil 設定 Messaging Server 選項︰

   1. local.webmail.smime.enable - 設定為 1。

   2. local.webmail.cert.enable - 設定為 1 (如果要驗證 CRL 憑證)。

      請參閱Messaging Server 選項，以取得更多資訊。

9. Communications Express Mail 目前配置為具有 S/MIME 功能。執行以下步驟以驗證 S/MIME 功能是否運作︰

   1. 重新啟動 Messaging Server。

   2. 檢查 Messaging Server 記錄檔 msg-svr-base/log/http，以取得有關 S/MIME 的診斷訊息。

   3. 如果偵測到 S/MIME 出現任何問題，診斷訊息會協助您決定如何使用配置參數校正問題。

   4. 校正必要的配置參數。

   5. 重複步驟 a. 至 d.，直到 Messaging Server 的記錄檔中再無 S/MIME 的診斷訊息。

   6. 執行以下步驟以檢查 S/MIME 功能是否運作︰

      1. 從用戶端機器登入 Messaging Server 。對 S/MIME applet 的特殊提示回答「是」或「自動」。請參閱管理憑證

      2. 撰寫一封簡短郵件，收件人為自己。

      3. 透過核取在 [撰寫] 視窗底部的 [加密] 核取方塊 (如果未核取) 來加密您的郵件。

      4. 按一下 [傳送] 以將加密郵件傳送給自己。這應該會行使金鑰和憑證的大多數機制。

      5. 如果遇到有關加密郵件的問題，最大的可能性是由用於 smime.conf 檔案中的 LDAP 目錄資訊的值和/或在 LDAP 目錄中儲存金鑰和憑證的方式引起的。檢查 Messaging Server 記錄以取得更多診斷訊息。

         下表中概述的其餘 S/MIME 參數為您提供用於進一步配置 S/MIME 環境的多個選項。請參閱smime.conf 檔案的參數，以取得有關參數的更多資訊。

         S/MIME 所需的參數	用於智慧卡和本機金鑰存放區的參數	用於檢查 CRL 的參數	用於初始設定和安全連結的參數
         certurl*	platformwin	checkoverssl	alwaysencrypt
         logindn		crlaccessfail	alwayssign
         loginpw		crldir	sslrootcacertsurl
         trustedurl*		crlenable
         usercertfilter*		crlmappingurl
         		crlurllogindn
         		crlurlloginpw
         		crlusepastnextupdate
         		readsigncert
         		revocationunknown
         		sendencryptcert
         		sendencryptcertrevoked
         		readsigncert
         		sendsigncertrevoked
         		timestampdelta

         * 因為這些參數無預設值，所以您必須指定參數值。

使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP

S/MIME 所需的公開金鑰、CA 憑證和 CRL 可能儲存在 LDAP 目錄中 (請參閱前一小節)。可以從 LDAP 的單一 URL 或多個 URL 中存取金鑰、憑證和 CRL。例如，CRL 可能儲存在某個 URL 中，而公開金鑰和憑證可能儲存在其他 URL 中。Messaging Server 可讓您指定哪個 URL 包含所需的 CRL 或憑證資訊，以及對這些 URL 擁有存取權限的項目之 DN 和密碼。這些 DN/密碼憑證是可選擇的；如果均未指定，LDAP 存取會首先嘗試 HTTP 伺服器憑證，如果失敗，會嘗試 anonymous 存取。

可以設定兩對 smime.conf 憑證參數以存取所需的 URL︰logindn 與 loginpw 以及 crlurllogindn 與 crlurlloginpw。

logindn 和 loginpw 為用於 smime.conf 中所有 URL 的憑證。它們指定對由 certurl 和 trustedurl 參數指定的公開金鑰、其憑證以及 CA 憑證擁有讀取權限的 LDAP 項目之 DN 和密碼。

crlurllogindn 和 crlurlloginpw 指定對對映表 (請參閱存取 CRL，以取得更多資訊) 的結果 URL 擁有讀取權限的 LDAP 項目之 DN 和密碼。如果這些憑證不被接受，則 LDAP 存取會被拒絕，並且不再嘗試重試具有其他憑證的項目。必須同時指定這兩個參數，或者均為空缺。這些參數不適用於直接來自憑證的 URL。

設定特定 URL 的密碼

Messaging Server 可讓您具體定義 DN/密碼對，以存取以下 smime.conf URL︰certUrl、trustedUrl、crlmappingUrl 和 sslrootcacertsUrl。

語法如下：

url_type URL[ |URL_DN | URL_password]

範例：

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, 
o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | 
cn=Directory manager | boomshakalaka

使用 LDAP 憑證的摘要

本小節概述 LDAP 憑證的使用。

• 所有 LDAP 憑證均是可選擇的；如果均未指定，LDAP 存取首先嘗試 HTTP 伺服器憑證，如果失敗，會嘗試 anonymous。

  兩對 smime.conf 參數用作兩組可以被指定 URL 的憑證︰

  logindn 和 loginpw - smime.conf 中的所有 URL。

  crlurllogindn 和 crlurlloginpw - 對映表中的所有 URL

  這些稱為預設 LDAP 憑證對。

• 在 smime.conf 中或透過對映 CRL URL 指定的所有 URL 均可具有指定的可選擇本機 LDAP 憑證對。

• 按照指定憑證的順序檢查憑證︰

  1) 本機 LDAP 憑證對 - 如果指定，則僅嘗試一個

  2) 預設 LDAP 憑證對 - 如果指定且無本機憑證對，則僅嘗試一個

  3) 伺服器 - 如果未指定本機 LDAP 憑證對和預設 LDAP 憑證對，則首先嘗試

  4) anonymous - 僅在伺服器失敗或未指定任何憑證時進行的最後嘗試

• 如果 URL 具有指定的本機 LDAP 憑證對，則首先使用該憑證對；如果該存取失敗，則會拒絕存取。

• 如果 URL 無指定的本機 LDAP 憑證對，則使用相應的預設 LDAP 憑證對；如果該存取失敗，則拒絕存取。