Sun Java System Messaging Server 6 2005Q4 管理指南

基本 S/MIME 配置

S/MIME 的配置檔案 (smime.conf) 包含每個 S/MIME 參數的描述性註釋及範例。smime.conf 檔案隨附於 Messaging Server,位於目錄 msg-svr-base/config/ (其中,msg-svr-base 是 Messaging Server 的安裝目錄)。

以下程序包含配置 S/MIME 功能的最少必要步驟︰

Procedure配置 S/MIME

步驟
  1. 安裝 Messaging Server 之後驗證 Communications Express Mail 的基本功能是否運作正常。

  2. 請為所有擁有 S/MIME 功能使用權限的郵件使用者建立或取得具有標準 X.509 v3 格式憑證的私密-公開金鑰組 (如果之前沒有)。

  3. 如果使用智慧卡儲存金鑰和憑證︰

    1. 將智慧卡分配給郵件使用者。

    2. 確定將智慧卡讀取裝置和軟體正確安裝在每台存取 Communications Express Mail 的用戶端機器上。

  4. 如果使用瀏覽器的本機金鑰存放區儲存金鑰和憑證,請指示郵件使用者如何將其金鑰對和憑證下載至本機金鑰存放區。

  5. 確定在用戶端機器上具有正確的程式庫以支援智慧卡或本機金鑰存放區。請參閱用戶端機器的金鑰存取程式庫

  6. 設置 LDAP 目錄以支援 S/MIME︰

    1. 將 CA 的所有憑證儲存在可透過 Directory Server 存取的 LDAP 目錄中,並以憑證授權單位辨別名稱命名。這些憑證的 LDAP 屬性為 cacertificate;binary。請記下您用於儲存這些屬性的目錄之資訊。在後面的步驟中,您將需要此資訊。

      請參閱表 20–3 中的 trustedurl,以取得指定 LDAP 目錄資訊的範例,並請參閱管理憑證,以取得搜尋 LDAP 目錄的資訊。

    2. 將公開金鑰和憑證儲存在可透過 Directory Server 存取的 LDAP 目錄中。公開金鑰和憑證的 LDAP 屬性為 usercertificate;binary。請記下您用於儲存這些屬性的目錄之資訊。在後面的步驟中,您將需要此資訊。

      請參閱表 20–3 中的 certurl,以取得指定 LDAP 目錄資訊的範例,並請參閱管理憑證,以取得搜尋 LDAP 目錄的資訊。

    3. 確定為所有傳送或接收 S/MIME 郵件的使用者提供將這些使用者項目中的 LDAP 篩選器與 S/MIME 配合使用的許可權。使用 mailAllowedServiceAccessmailDomainAllowedServiceAccess LDAP 屬性定義篩選器。

      注意:依預設,如果未使用 mailAllowedServiceAccessmailDomainAllowedServiceAccess,則允許所有服務 (包括 smime)。如果使用這些屬性明確指定服務,則必須指定服務 httpsmtpsmime,才能提供郵件使用者 S/MIME 功能使用權限。

      請參閱授予使用 S/MIME 功能的許可權,以取得更多資訊。

  7. 使用任何可用的文字編輯器編輯 smime.conf 檔案。請參閱檔案開始處的參數語法註釋。

    smime.conf 中的所有文字參數和範例參數前均標有註釋字元 (#)。可以將所需的參數增加至 smime.conf,或將參數範例複製到該檔案的其他部分並變更其值。如果複製和編輯範例,請務必移除其行首的 # 字元。

    將以下參數增加至檔案,並使每個參數均在自己的行上︰

    1. trustedurl (請參閱表 20–3) - 設定為 LDAP 目錄資訊,以查找 CA 的憑證。使用執行步驟 a 時儲存的資訊。

    2. certurl (表 20–3) - 設定為 LDAP 目錄資訊,以查找公開金鑰和憑證。使用執行步驟 b 時儲存的資訊。

    3. usersertfilter (請參閱表 20–3) - 設定為 smime.conf 檔案中範例的值。範例值通常就是所需的篩選器。複製範例並刪除行首的 # 字元。

      此參數為 Communications Express Mail 使用者的主要、替代和等效電子郵件位址指定篩選器定義,從而確保當金鑰對指定給不同的郵件位址時可以找到使用者所有的私密公開金鑰對。

    4. sslrootcacertsurl (請參閱表 20–3) - 如果要使用 SSL 進行 S/MIME applet 和 Messaging Server 之間的通訊連結,請使用 LDAP 目錄資訊設定 sslrootcacertsurl,以查找用於驗證 Messaging Server SSL 憑證的 CA 憑證。請參閱使用 SSL 保護網際網路連結,以取得更多資訊。

      checkoverssl (請參閱表 20–3) - 如果不使用 SSL 進行 S/MIME applet 和 Messaging Server 之間的通訊連結,則設定為 0

    5. crlenable (請參閱表 20–3) - 設定為 0,以立即停用 CRL 檢查,因為執行 CRL 檢查可能需要增加其他參數至 smime.conf 檔案。

    6. logindnloginpw (表 20–3) - 如果包含公開金鑰和 CA 憑證的 LDAP 目錄需要存取認證,請將這些參數設定為擁有讀取權限的 LDAP 項目之辨別名稱和密碼。

      注意:每次使用由 crlmappingurlsslrootcacertsurltrustedurl 參數指定的 LDAP 資訊存取 LDAP 目錄時,會使用 logindnloginpw 的值。請參閱smime.conf 檔案的參數使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP,以取得更多資訊。

      如果存取 LDAP 目錄不需要認證,則請勿設定 logindnloginpw

  8. 使用 configutil 設定 Messaging Server 選項︰

    1. local.webmail.smime.enable - 設定為 1

    2. local.webmail.cert.enable - 設定為 1 (如果要驗證 CRL 憑證)。

      請參閱Messaging Server 選項,以取得更多資訊。

  9. Communications Express Mail 目前配置為具有 S/MIME 功能。執行以下步驟以驗證 S/MIME 功能是否運作︰

    1. 重新啟動 Messaging Server。

    2. 檢查 Messaging Server 記錄檔 msg-svr-base/log/http,以取得有關 S/MIME 的診斷訊息。

    3. 如果偵測到 S/MIME 出現任何問題,診斷訊息會協助您決定如何使用配置參數校正問題。

    4. 校正必要的配置參數。

    5. 重複步驟 a. 至 d.,直到 Messaging Server 的記錄檔中再無 S/MIME 的診斷訊息。

    6. 執行以下步驟以檢查 S/MIME 功能是否運作︰

      1. 從用戶端機器登入 Messaging Server 。對 S/MIME applet 的特殊提示回答「是」或「自動」。請參閱管理憑證

      2. 撰寫一封簡短郵件,收件人為自己。

      3. 透過核取在 [撰寫] 視窗底部的 [加密] 核取方塊 (如果未核取) 來加密您的郵件。

      4. 按一下 [傳送] 以將加密郵件傳送給自己。這應該會行使金鑰和憑證的大多數機制。

      5. 如果遇到有關加密郵件的問題,最大的可能性是由用於 smime.conf 檔案中的 LDAP 目錄資訊的值和/或在 LDAP 目錄中儲存金鑰和憑證的方式引起的。檢查 Messaging Server 記錄以取得更多診斷訊息。

        下表中概述的其餘 S/MIME 參數為您提供用於進一步配置 S/MIME 環境的多個選項。請參閱smime.conf 檔案的參數,以取得有關參數的更多資訊。

        S/MIME 所需的參數 

        用於智慧卡和本機金鑰存放區的參數 

        用於檢查 CRL 的參數 

        用於初始設定和安全連結的參數 

        certurl* 

        platformwin 

        checkoverssl 

        alwaysencrypt 

        logindn 

         

        crlaccessfail 

        alwayssign 

        loginpw 

         

        crldir 

        sslrootcacertsurl 

        trustedurl* 

         

        crlenable 

         

        usercertfilter* 

         

        crlmappingurl 

         
           

        crlurllogindn 

         
           

        crlurlloginpw 

         
           

        crlusepastnextupdate 

         
           

        readsigncert 

         
           

        revocationunknown 

         
           

        sendencryptcert 

         
           

        sendencryptcertrevoked 

         
           

        readsigncert 

         
           

        sendsigncertrevoked 

         
           

        timestampdelta 

         

        * 因為這些參數無預設值,所以您必須指定參數值。