Sun Java logo     上一個      目錄      索引      下一個     

Sun logo
Sun Java System Messaging Server 6 2005Q1 管理指南 

第 20 章
為 Communications Express Mail管理 S/MIME

在 Sun Java System Communications Express Mail 上可使用安全/多重目的網際網路郵件延伸 (S/MIME)。設置為使用 S/MIME 的 Communications Express Mail 使用者可以與 Communications Express Mail、Microsoft Outlook Express 和 Mozilla 郵件系統的其他使用者交換簽名郵件或加密郵件。

線上說明包含有關在 Communications Express Mail 中使用 S/MIME 的資訊。本章說明有關管理 S/MIME 的資訊。本章包含以下各節:


何為 S/MIME?

S/MIME 為 Communications Express Mail 使用者提供以下功能︰

需要瞭解的概念

若要正確管理 S/MIME,您需要熟悉以下概念︰


所需軟體和硬體元件

本小節描述將 Communications Express Mail 與 S/MIME 配合使用時所需的硬體和軟體。在嘗試配置 S/MIME 之前,請確定在伺服器和用戶端機器上安裝所有正確版本的軟體。

表 20-1 列示存取 Communications Express Mail 的用戶端機器所需的軟體和硬體。

表 20-1  用戶端機器所需的硬體和軟體

元件

描述

作業系統

  • Microsoft Windows 98、2000 或 XP

瀏覽器

  • Microsoft Internet Explorer 6 SP2 版 (對於 Windows)
  • Microsoft Internet Explorer 6 SP1 版 (具有最新即 2004 年 12 月 1 日的修補程式) (對於 Windows 2000 和 Windows 98)

Sun 軟體

Sun Java 2 Runtime Environment, Standard Edition,1.4.2_03 版或更高版本,但不能使用 1.5 版

具有憑證的私密-公開金鑰對

一個或多個具有憑證的私密-公開金鑰對。憑證是必需的,而且必須是標準的 X.509 v3 格式。從 CA 為每一個將使用 S/MIME 功能的 Communications Express Mail 使用者獲取金鑰和憑證。金鑰及其憑證儲存在用戶端機器或智慧卡上。公開金鑰及其憑證還同時儲存在可以透過 Directory Server 存取的 LDAP 目錄中。

如果您要對照憑證撤銷清單 (CRL) 檢查金鑰憑證以進一步確定金鑰是否有效,則由 CA 維護的 CRL 必須成為系統的一部分。請參閱何時對照 CRL 檢查憑證?

智慧卡軟體 (僅當金鑰和憑證
儲存在智慧卡上時才需要)

  • ActivCard Gold 2.1 或 3.0 版,或者
  • NetSign 3.1 版

智慧卡讀取裝置

用戶端機器和智慧卡軟體支援的所有智慧卡讀取裝置模型。

表 20-2 列示伺服器機器所需的 Sun Microsystems 軟體。

表 20-2  伺服器機器所需的軟體

Sun 元件

描述

郵件伺服器

Sun Java System Messaging Server 6 2005Q1 發行版本 (對於 Solaris 8 或 9 以及 Sun SPARC 機器)

LDAP 伺服器

Sun Java System Directory Server 5 2004Q2 或更高版本

Java

Java 2 Runtime Environment, Standard Edition,1.4.2 版或更高版本

Access Manager

(如果部署位於 Schema 2) - Sun Java System Access Manager 6 2005Q1 和 Communications Express (Sun Java System Communications Express 6 2005Q1)


S/MIME 使用要求

安裝 Messaging Server 之後,Communications Express Mail 使用者不能立即使用簽名功能和加密功能。必須符合本小節中所描述的要求,使用者方可使用 S/MIME。

私密金鑰和公開金鑰

必須向每位將使用 S/MIME 的 Communications Express Mail 使用者發放至少一個私密和公開金鑰對,包括標準 X.509 v3 格式的憑證。驗證程序中使用的憑證向其他郵件使用者保證金鑰確實屬於使用這些金鑰的人。一位使用者可以擁有多個金鑰對及其相關憑證。

金鑰及其憑證從您的組織內部發放,也可從協力廠商處購買。不論金鑰和憑證如何發放,發放組織均稱為憑證授權單位 (CA)。

金鑰對及其憑證的儲存方式有兩種︰

儲存在智慧卡上的金鑰

如果私密-公開金鑰對及其憑證儲存在智慧卡上,則必須將卡讀取裝置正確地連接至郵件使用者的電腦上。卡讀取裝置也需要軟體;購買此設備時供應商會提供該裝置及其軟體。

正確安裝後,郵件使用者需要在建立外寄的郵件之數位簽名時將智慧卡插入讀取裝置。驗證智慧卡密碼後,可透過 Communications Express Mail 存取私密金鑰以簽名郵件。請參閱所需軟體和硬體元件,以取得有關受支援的智慧卡和讀取裝置的資訊。

使用者電腦上需要智慧卡供應商提供的程式庫。請參閱用戶端機器的金鑰存取程式庫,以取得更多資訊。

儲存在用戶端機器上的金鑰

如果金鑰對及憑證未儲存在智慧卡上,則必須將它們保存在郵件使用者電腦 (用戶端機器) 上的本機金鑰存放區中。瀏覽器提供金鑰存放區,也提供下載金鑰對和憑證至金鑰存放區的指令。金鑰存放區可能會受密碼保護;這取決於瀏覽器。

使用者電腦上需要瀏覽器供應商提供的程式庫以支援本機金鑰存放區。請參閱用戶端機器的金鑰存取程式庫,以取得更多資訊。

發佈 LDAP 目錄中的公開金鑰

所有公開金鑰及憑證還必須儲存至可透過 Sun Java System Directory Server 存取的 LDAP 目錄。這稱為發佈公開金鑰,以便其他正在建立 S/MIME 郵件的郵件使用者可以使用這些金鑰。

寄件者和收件者的公開金鑰用於加密郵件的加密/解密程序。公開金鑰憑證用於驗證用於數位簽名的私密金鑰。

請參閱管理憑證,以取得有關使用 ldapmodify 發佈公開金鑰及憑證的更多資訊。

提供郵件使用者使用 S/MIME 的許可權

若要建立簽名郵件或加密郵件,有效的 Communications Express Mail 使用者必須擁有執行此類作業的許可權。這需要使用使用者 LDAP 項目的 mailAllowedServiceAccessmailDomainAllowedServiceAccess LDAP 屬性。這些屬性可以用於基於個人或網域從 S/MIME 中包括或排除郵件使用者。

請參閱授予使用 S/MIME 功能的許可權,以取得更多資訊。

多語言支援

在郵件中僅使用英文的 Communications Express Mail 使用者可能無法讀取包含非拉丁語字元 (如中文) 的 S/MIME 郵件。出現這種情況的原因之一是因為安裝在使用者機器上的 Java 2 Runtime Environment (JRE) 在 /lib 目錄中無 charsets.jar 檔案。

如果使用預設 JRE 安裝程序下載 JRE 的英文版,則不會安裝 charsets.jar 檔案。但是,對於選擇預設安裝所有其他語言版本,則均會安裝 charsets.jar 檔案。

若要確保在 /lib 目錄中安裝 charsets.jar 檔案,請警示使用者使用自訂安裝安裝 JRE 的英文版。在安裝程序中,使用者必須選取 [支援其他語言] 選項。


安裝 Messaging Server 之後的使用入門

本小節說明何為 S/MIME applet,並提供為 Communications Express Mail 設置 S/MIME 的基本配置程序。配置程序包括設定 S/MIME applet 參數和 Messaging Server 選項。

S/MIME Applet

特殊的 applet,稱為 S/MIME applet,處理簽名郵件、加密郵件或解密郵件程序以及驗證私密金鑰和公開金鑰的各種程序。使用 smime.conf 檔案中的參數和 Messaging Server 的選項配置 S/MIME 功能。圖 20-1 顯示 S/MIME applet 與其他系統元件的關係。

圖 20-1  S/MIME applet

圖形顯示 S/MIME applet 與其他系統元件的關係。

首次登入

擁有使用 S/MIME 許可權的 Communications Express Mail 使用者首次登入 Messaging Server 時,螢幕上會顯示一系列有關 S/MIME applet 的特殊提示。對提示回答「是」或「自動」之後,S/MIME applet 被下載到這些使用者的電腦上。applet 會保留在這些使用者的機器上,直到他們登出 Communications Express Mail。

請參閱管理憑證,以取得更多資訊。

下載 S/MIME Applet

每次使用者登入 Communications Express Mail 時均會下載 S/MIME applet,除非為使用者機器上的 Java 2 Runtime Environment (JRE) 啟用快取。如果啟用快取,首次下載 S/MIME applet 後,該 applet 就會儲存在使用者的機器上,從而避免使用者每次登入時均要下載 applet。

快取可以提昇效能,您可以指導使用者執行以下步驟以便為 Java 2 Runtime Environment 1.4.x 版啟用快取︰

  1. 導覽至 Windows [控制台]。
  2. 連按連兩下 [Java Plug-in] 圖示 (Java 2 Runtime Environment)。
  3. 按一下 [快取] 標籤。
  4. 核取 [啟用快取] 核取方塊。
  5. 按一下 [套用]。

下載之後,使用者並不知曉 S/MIME applet。表面上,簽名郵件、加密郵件或解密郵件均由 Communications Express Mail 執行。除非快顯出錯誤訊息,否則使用者也不會知曉驗證私密或公開金鑰的程序。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

基本 S/MIME 配置

S/MIME 的配置檔案 smime.conf 包含對每個 S/MIME 參數的描述性註釋及其範例。smime.conf 檔案包括在 Messaging Server 中,位於目錄 msg-svr-base/config/ 中,其中 msg-svr-base 是安裝 Messaging Server 的目錄。

以下程序包含配置 S/MIME 功能的最少必要步驟︰

  1. 安裝 Messaging Server 之後,驗證 Communications Express Mail 的基本功能是否運作正常。
  2. 請為所有擁有使用 S/MIME 功能許可權的郵件使用者,建立或取得具有標準 X.509 v3 格式憑證的私密-公開金鑰對 (如果之前沒有)。
  3. 如果使用智慧卡儲存金鑰和憑證︰
    1. 將智慧卡分配給郵件使用者。
    2. 確定將智慧卡讀取裝置和軟體正確安裝在每台存取 Communications Express Mail 的用戶端機器上。
  4. 如果使用瀏覽器的本機金鑰存放區儲存金鑰和憑證,請指示郵件使用者如何將其金鑰對和憑證下載至本機金鑰存放區。
  5. 確定在用戶端機器上具有正確的程式庫以支援智慧卡或本機金鑰存放區。請參閱用戶端機器的金鑰存取程式庫,以取得更多資訊。
  6. 設置 LDAP 目錄以支援 S/MIME︰
    1. 將所有 CA 憑證儲存在可透過 Directory Server 存取的 LDAP 目錄中,並以憑證授權單位辨別名稱命名。這些憑證的 LDAP 屬性為 cacertificate;binary。請記下您用於儲存這些屬性的目錄之資訊。在後面的步驟中,您將需要此資訊。
    2. 請參閱 trustedurl,以取得指定 LDAP 目錄資訊的範例;請參閱管理憑證,以取得有關搜尋 LDAP 目錄的資訊。

    3. 將公開金鑰和憑證儲存在可透過 Directory Server 存取的 LDAP 目錄中。公開金鑰和憑證的 LDAP 屬性為 usercertificate;binary。請記下您用於儲存這些屬性的目錄之資訊。在後面的步驟中,您將需要此資訊。
    4. 請參閱 certurl,以取得指定 LDAP 目錄資訊的範例;請參閱管理憑證,以取得有關搜尋 LDAP 目錄的資訊。

    5. 確定為所有傳送或接收 S/MIME 郵件的使用者提供將 S/MIME 與這些使用者項目中的 LDAP 篩選器配合使用的許可權。使用 mailAllowedServiceAccessmailDomainAllowedServiceAccess LDAP 屬性定義篩選器。
    6. 備註:依預設,如果未使用 mailAllowedServiceAccessmailDomainAllowedServiceAccess,則允許所有服務 (包括 smime)。如果使用這些屬性明確指定服務,則必須指定服務 httpsmtpsmime,才能提供郵件使用者使用 S/MIME 功能的許可權。

      請參閱授予使用 S/MIME 功能的許可權,以取得更多資訊。

  7. 使用任何可用的文字編輯器編輯 smime.conf 檔案。請參閱檔案開始處的參數語法註釋。
  8. smime.conf 中的所有文字參數和範例參數前均標有註釋字元 (#)。您可以將所需的參數增加至 smime.conf,或將參數範例複製到檔案的其他部分並變更其值。如果複製和編輯範例,請確定移除其行首的 # 字元。

    將以下參數增加至檔案並使每個參數均在自己的行上︰

    1. trustedurl -- 設定為 LDAP 目錄資訊以查找 CA 憑證。使用執行步驟 6a 時儲存的資訊。
    2. certurl -- 設定為 LDAP 目錄資訊以查找公開金鑰和憑證。使用執行步驟 6b 時儲存的資訊。
    3. usercertfilter -- 設定為 smime.conf 檔案中範例的值。範例值通常就是所需的篩選器。複製範例並刪除行首的 # 字元。
    4. 此參數為 Communications Express Mail 使用者的主要、替代和等效電子郵件位址指定篩選器定義,從而確保當金鑰對指定給不同的郵件位址時,可以找到使用者所有的私密-公開金鑰對。

    5. sslrootcacertsurl -- 如果您要使用 SSL 作為 S/MIME applet 和 Messaging Server 之間的通訊連結,請使用 LDAP 目錄資訊設定 sslrootcacertsurl 以查找用於驗證 Messaging Server SSL 憑證的 CA 憑證。請參閱使用 SSL 保護網際網路連結,以取得更多資訊。
    6. checkoverssl -- 如果您不打算使用 SSL 作為 S/MIME applet 和 Messaging Server 之間的通訊連結,請設定為 0

    7. crlenable -- 設定為 0 以立即停用 CRL 檢查,因為執行 CRL 檢查可能需要將其他參數增加至 smime.conf 檔案。
    8. logindnloginpw -- 如果包含公開金鑰和 CA 憑證的 LDAP 目錄需要認證以對其進行存取,請將這兩個參數設定為具有讀取許可權的 LDAP 項目的辨別名稱和密碼。
    9. 備註:在使用透過 certurlcrlmappingurlsslrootcacertsurltrustedurl 參數指定的 LDAP 資訊存取 LDAP 目錄時,會使用 logindnloginpw 的值。請參閱使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP,以取得更多資訊。

      如果存取 LDAP 目錄不需要認證,請勿設定 logindnloginpw

  9. 設定具有 configutil 的 Messaging Server 選項︰
    1. local.webmail.smime.enable -- 設定為 1
    2. local.webmail.cert.enable -- 如果您要對照 CRL 驗證憑證,請設定為 1
    3. 請參閱Messaging Server 選項,以取得更多資訊。

  10. 現在 Communications Express Mail 配置為具有 S/MIME 功能。執行以下步驟以驗證 S/MIME 功能是否運作︰
    1. 重新啟動 Messaging Server。
    2. 檢查 Messaging Server 記錄檔 msg-svr-base/log/http,以取得有關 S/MIME 的診斷訊息。
    3. 如果偵測到 S/MIME 出現任何問題,診斷訊息會協助您確定如何使用配置參數校正問題。
    4. 校正必要的配置參數。
    5. 重複步驟 a. 至 d.,直到 Messaging Server 記錄檔中再無 S/MIME 的診斷訊息。
    6. 執行以下步驟以檢查 S/MIME 功能是否運作︰
      1. 從用戶端機器登入 Messaging Server。對 S/MIME applet 的特殊提示回答「是」或「自動」。請參閱管理憑證,以取得更多資訊。
      2. 撰寫一封簡短郵件,定址至自己。
      3. 透過核取在 [撰寫] 視窗底部的 [加密] 核取方塊 (如果未核取) 加密您的郵件。
      4. 按一下 [傳送] 以將加密郵件傳送給自己。這應該會行使金鑰和憑證的大多數機制。
      5. 如果您遇到有關加密郵件的問題,最大的可能是由用於 smime.conf 檔案中的 LDAP 目錄資訊的值和/或在 LDAP 目錄中儲存金鑰和憑證的方式引起的。檢查 Messaging Server 記錄是否有更多診斷訊息。

表 20-3 中概述的其餘 S/MIME 參數為您提供用於進一步配置 S/MIME 環境的許多選項。請參閱 smime.conf 檔案的參數,以取得更多有關這些參數的資訊。

表 20-3  smime.conf 參數的摘要

S/MIME 所需的參數

用於智慧卡和本機金鑰存放區的參數

用於 CRL 檢查的參數

用於初始設定和安全連結的參數

certurl*

platformwin

checkoverssl

alwaysencrypt

logindn

 

crlaccessfail

alwayssign

loginpw

 

crldir

sslrootcacertsurl

trustedurl*

 

crlenable

 

usercertfilter*

 

crlmappingurl

 

 

 

crlurllogindn

 

 

 

crlurlloginpw

 

 

 

crlusepastnextupdate

 

 

 

readsigncert

 

 

 

revocationunknown

 

 

 

sendencryptcert

 

 

 

sendencryptcertrevoked

 

 

 

readsigncert

 

 

 

sendsigncertrevoked

 

 

 

timestampdelta

 

* 因為這些參數無預設值,所以您必須指定參數值。

使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP

S/MIME 所需的公開金鑰、CA 憑證和 CRL 可能儲存在 LDAP 目錄中 (請參閱上一小節)。可以從 LDAP 的單一 URL 或多個 URL 中存取金鑰、憑證和 CRL。例如,CRL 可能儲存在一個 URL 中,而公開金鑰和憑證可能儲存在其他 URL 中。Messaging Server 允許您指定包含所需 CRL 和憑證資訊的 URL,以及對這些 URL 具有存取權之項目的 DN 和密碼。這些 DN/密碼憑證是可選擇的;如果均未指定,LDAP 存取會首先嘗試 HTTP 伺服器憑證,如果失敗,會嘗試 anonymous 存取。

可以設定兩對 smime.conf 憑證參數以存取所需的 URL︰logindnloginpw,以及 crlurllogindncrlurlloginpw

logindnloginpw 是用於 smime.conf 中的所有 URL 的憑證。它們指定對公開金鑰、其憑證以及由 certurltrustedurl 參數指定的 CA 憑證具有讀取許可權的 LDAP 項目之 DN 和密碼。

crlurllogindncrlurlloginpw 指定對對映表 (請參閱存取 CRL,以取得更多資訊) 的結果 URL 具有讀取許可權的 LDAP 項目之 DN 和密碼。如果這些憑證不被接受,則 LDAP 存取會被拒絕,並且不再嘗試重試具有其他憑證的項目。必須同時指定這兩個參數,或者均為空缺。這些參數不適用於直接來自憑證的 URL。

設定特定 URL 的密碼

Messaging Server 可讓您特別定義用於存取以下 smime.conf URL 的 DN/ 密碼對︰certUrltrustedUrlcrlmappingUrlsslrootcacertsUrl

語法如下:

url_type        URL[|URL_DN | URL_password]

範例:

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | cn=Directory manager | boomshakalaka

使用 LDAP 憑證的摘要

本小節概述 LDAP 憑證的使用。


smime.conf 檔案的參數

smime.conf 檔案包括在 Messaging Server 中,位於目錄 msg-svr-base/config/ 中,其中 msg-svr-base 是安裝 Messaging Server 的目錄。該檔案中的所有文字參數和範例參數前均標有註釋字元 (#)。

您可以將參數和值增加至 smime.conf 檔案,也可以編輯參數範例。如果使用範例,請將範例複製到檔案的其他部分,編輯參數值並將行首的 # 字元移除。

安裝 Messaging Server 後,使用任何可用的文字編輯器編輯 smime.conf表 20-4 中描述的參數不區分字母大小寫,並且除非指明區分大小寫,否則無需設定。

表 20-4  smime.conf 檔案中的 S/MIME 配置參數 

參數

用途

alwaysencrypt

控制是否為所有具有使用 S/MIME 許可權的 Communications Express Mail 使用者自動加密所有外寄的郵件之初始設定。每個 Communications Express Mail 使用者均可以使用表 20-6 中描述的核取方塊為其郵件置換此參數的值。

選擇其中一個值︰

0 - 不加密郵件。Communications Express Mail 中的加密核取方塊顯示為未核取。這是預設。

1 - 自動加密郵件。Communications Express Mail 中的加密核取方塊顯示為已核取。

範例:

alwaysencrypt==1

alwayssign

控制是否為所有具有使用 S/MIME 許可權的 Communications Express Mail 使用者自動簽名所有外寄的郵件之初始設定。每個 Communications Express Mail 使用者均可以使用表 20-6 中描述的核取方塊為其郵件置換此參數的值。

選擇其中一個值︰

0 - 不簽名郵件。Communications Express Mail 中的簽名核取方塊顯示為未核取。這是預設。

1 - 自動簽名郵件。Communications Express Mail 中的簽名核取方塊顯示為已核取。

範例:

alwaysensign==1

certurl

指定 LDAP 目錄資訊以查找 Communications Express Mail 使用者的公開金鑰和憑證 (公開金鑰的 LDAP 屬性為 usercertificate;binary)。請參閱管理憑證,以取得更多有關憑證的資訊。

此參數必須指向 LDAP 目錄資訊樹 (DIT) 使用者/群組中的最高節點,此 DIT 包括所有由 Messaging Server 提供服務的使用者。這對於具有多個網域的網站尤其重要﹔辨別名稱必須為使用者/群組樹 (而非包含單一網域使用者的子樹) 的根辨別名稱。

這是您必須設定的必要參數。

範例:

certurl==ldap://mail.siroe.com:389/ou=people, o=siroe.com, o=ugroot

checkoverssl

控制在對照 CRL 檢查金鑰憑證時是否使用 SSL 通訊連結。請參閱使用 SSL 保護網際網路連結,以取得更多資訊。

選擇其中一個值︰

0 - 不使用 SSL 通訊連結。

1 - 使用 SSL 通訊連結。這是預設。

在執行 CRL 檢查時使用代理伺服器,可能會發生問題。請參閱代理伺服器和 CRL 檢查,以取得更多資訊。

crlaccessfail

指定 Messaging Server 多次嘗試但未能存取 CRL 後,再次嘗試的等待時間。此參數無預設值。

語法:

crlaccessfail==number_of_failures:time_period_for_failures:wait_time_before_retry

其中:

number_of_failures 為在由 time_period_for_failures 指定的時間間隔內,Messaging Server 可以存取 CRL 的失敗次數。此值必須大於零。

time_period_for_failures 為計數 Messaging Server 嘗試存取 CRL 失敗過程的秒數。此值必須大於零。

wait_time_before_retry 為偵測到指定的時間間隔內嘗試失敗的限制之後、再次嘗試存取 CRL 之前,Messaging Server 等待的秒數。此值必須大於零。

範例:

crlaccessfail==10:60:300

在此範例中,Messaging Server 在一分鐘之內存取 CRL 失敗 10 次。然後在再次嘗試存取 CRL 之前等待了 5 分鐘。請參閱存取 CRL 的疑難,以取得更多資訊。

crldir

指定 Messaging Server 將 CRL 下載至磁碟的目錄資訊。預設為 msg-svr-base/data/store/mboxlist,其中 msg-svr-base 為安裝 Messaging Server 的目錄。請參閱使用失時效的 CRL,以取得更多資訊。

crlenable

控制是否對照 CRL 檢查憑證。如果有匹配,則憑證視為已被撤銷。smime.conf 檔案中 send*revoked 參數的值決定 Communications Express Mail 是否拒絕或使用已被撤銷憑證的金鑰。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

0 - 不對照 CRL 檢查每個憑證。

1 - 對照 CRL 檢查每個憑證。這是預設。確定將 Messaging Server 的 local.webmail.cert.enable 選項設定為 1,否則即使 crlenable 設定為 1 也不會執行 CRL 檢查。

crlmappingurl

指定查找 CRL 對映定義的 LDAP 目錄資訊。僅當您具有對映定義時,才需要此參數。請參閱存取 CRL,以取得更多資訊。此參數無預設值。您還可以選擇性地增加具有對 URL 存取權的 DN 和密碼。

語法:

crlmappingurl        URL[|URL_DN | URL_password]

範例:

crlmappingurl==ldap://mail.siroe.com:389/cn=XYZ Messaging, ou=people, o=mail.siroe.com,o=isp?msgCRLMappingRecord?sub?(objectclass=msgCRLMappingTable)|cn=Directory Manager | pAsSwOrD

crlurllogindn

指定對 CRL 對映定義具有讀取許可權的 LDAP 項目的辨別名稱 (如果項目直接來自憑證,請勿指定。請參閱「存取 CRL」,以取得更多資訊)。

如果未指定 crllogindncrlloginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄以取得 LDAP 目錄項目。如果失敗,則 Messaging Server 嘗試匿名存取 LDAP 目錄。

範例:

crllogindn==cn=Directory Manager

crlurlloginpw

crllogindn 參數的辨別名稱指定 ASCII 文字形式的密碼。

如果未指定 crllogindncrlloginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄以取得 LDAP 目錄項目。如果失敗,則 Messaging Server 嘗試匿名存取 LDAP 目錄。

範例:

crlloginpw==zippy

crlusepastnextupdate

控制在目前日期超過 CRL [下次更新] 欄位中指定的日期時是否使用 CRL。請參閱使用失時效的 CRL,以取得更多資訊。

選擇其中一個值︰

0 - 不使用失時效的 CRL。

1 - 使用失時效的 CRL。這是預設。

logindn

指定對公開金鑰及其憑證,以及位於 certurl trustedurl 參數指定的 LDAP 目錄中的 CA 憑證具有讀取許可權的 LDAP 項目的辨別名稱。

如果未指定 logindnloginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄以取得 LDAP 目錄項目。如果失敗,則 Messaging Server 嘗試匿名存取 LDAP 目錄。

範例:

logindn==cn=Directory Manager

loginpw

logindn 參數的辨別名稱指定 ASCII 文字形式的密碼。

如果未指定 logindnloginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄以取得 LDAP 目錄項目。如果失敗,則 Messaging Server 嘗試匿名存取 LDAP 目錄。

範例:

loginpw==SkyKing

platformwin

指定在 Windows 平台上使用智慧卡或本機金鑰存放區所需的一個或多個程式庫名稱。僅當預設值在用戶端機器上不起作用時方可變更此參數。預設為:

platformwin==CAPI:library=capibridge.dll;

請參閱用戶端機器的金鑰存取程式庫,以取得更多資訊。

readsigncert

控制讀取郵件時是否對照 CRL 檢查公開金鑰憑證以驗證 S/MIME 數位簽名。(私密金鑰用於建立郵件的數位簽名,但無法對照 CRL 對其進行檢查,因此對照 CRL 檢查與該私密金鑰相關的公開金鑰之憑證。)請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

0 - 不對照 CRL 檢查憑證。

1 - 對照 CRL 檢查憑證。這是預設。

revocationunknown

確定在對照 CRL 檢查憑證並傳回不明狀態時所要執行的動作。此時,不能確定憑證是否有效或處於已被撤銷狀態。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

ok - 視憑證為有效。

revoked - 視憑證為已被撤銷。這是預設。

sendencryptcert

控制是否在使用用於加密外寄的郵件之公開金鑰憑證之前對照 CRL 對其進行檢查。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

0 - 不對照 CRL 檢查憑證。

1 - 對照 CRL 檢查憑證。這是預設。

sendencryptcertrevoked

確定用於加密外寄的郵件之公開金鑰憑證已被撤銷時所要執行的動作。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

allow - 使用公開金鑰。

disallow - 不使用公開金鑰。這是預設。

sendsigncert

控制是否對照 CRL 檢查公開金鑰憑證,以確定是否可以使用私密金鑰建立外寄的郵件之數位簽名。(私密金鑰用於數位簽名,但無法對照 CRL 對其進行檢查,因此對照 CRL 檢查與該私密金鑰相關的公開金鑰之憑證。)請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

0 - 不對照 CRL 檢查憑證。

1 - 對照 CRL 檢查憑證。這是預設。

sendsigncertrevoked

確定在確定私密金鑰處於已被撤銷狀態時所要執行的動作。(私密金鑰用於建立郵件的數位簽名,但無法對照 CRL 對其進行檢查,因此對照 CRL 檢查與該私密金鑰相關的公開金鑰之憑證。如果公開金鑰的憑證已被撤銷,則相應的私密金鑰也被撤銷。)請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。

選擇其中一個值︰

allow - 使用處於已被撤銷狀態的私密金鑰。

disallow - 不使用處於已被撤銷狀態的私密金鑰。這是預設。

sslrootcacertsurl

指定辨別名稱和 LDAP 目錄資訊,以查找有效的用於驗證 Messaging Server 之 SSL 憑證的 CA 憑證。如果在 Messaging Server 中啟用了 SSL,這是必要參數。請參閱使用 SSL 保護網際網路連結,以取得更多資訊。

如果您具有接收所有用戶端應用程式請求的代理伺服器之 SSL 憑證,這些 SSL 憑證的 CA 憑證也必須位於此參數指向的 LDAP 目錄中。

您還可以選擇性地增加具有對 URL 存取權的 DN 和密碼。

語法:

crlmappingurl        URL[|URL_DN | URL_password]

範例:

sslrootcacertsurl==ldap://mail.siroe.com:389/cn=SSL Root CA Certs, ou=people, o=siroe.com, o=isp? cacertificate;binary?base?
(objectclass=certificationauthority)|
cn=Directory Manager | pAsSwOrD

timestampdelta

指定時間間隔 (以秒為單位),用於確定對照 CRL 檢查公開金鑰憑證時是否使用郵件的傳送時間和接收時間。

參數的預設值為零時指示 Communications Express Mail 自動使用接收時間。請參閱確定要使用的郵件時間,以取得更多資訊。

範例:

timestampdelta==360

trustedurl

指定辨別名稱和 LDAP 目錄以查找有效 CA 憑證。這是必要參數。

您還可以選擇性地增加具有對 URL 存取權的 DN 和密碼。

語法:

crlmappingurl        URL[|URL_DN | URL_password]

範例:

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority)|cn=Directory Manager | pAsSwOrD

usercertfilter

為 Communications Express Mail 使用者的主要、替代和等效電子郵件位址指定篩選器定義,從而確保當金鑰對指定給不同的郵件位址時,可以找到使用者所有的私密-公開金鑰對。

這是必要參數,且無預設值。


Messaging Server 選項

若要設定適用於 S/MIME 的三個 Messaging Server 選項,請在安裝 Messaging Server 的機器上執行以下步驟︰

  1. 以超級使用者身份登入。然後輸入︰
  2. # cd msg-svr-base/sbin

    其中 msg-svr-base 為安裝 Messaging Server 的目錄。

  3. 依系統需要設定下表中描述的 Messaging Server 選項。使用 configutil 公用程式設定這些選項。除非聲明需要設定,否則無需設定選項。

    參數

    用途

    local.webmail.cert.enable

    控制處理 CRL 檢查的程序是否應該執行 CRL 檢查。

    0 - 程序不對照 CRL 檢查憑證。這是預設。

    1 - 程序對照 CRL 檢查憑證。如果設定為 1,請確保將 smime.conf 檔案中的 crlenable 參數設定為 1

    local.webmail.cert.port

    在執行 Messaging Server 的機器上指定用於 CRL 通訊的連接埠號碼。此連接埠僅供該機器在本機上使用。值必須大於 1024。預設為 55443

    如果已經使用預設連接埠號碼,這是必要選項。

    local.webmail.smime.enable

    控制 Communications Express Mail 使用者是否可使用 S/MIME 功能。選擇其中一個值︰

    0 - 即使系統配置了正確的軟體和硬體元件,Communications Express Mail 使用者仍不可使用 S/MIME 功能。這是預設。

    1 - 擁有使用 S/MIME 的許可權之 Communications Express Mail 使用者可使用 S/MIME 功能。

    範例:

    configutil -o local.webmail.smime.enable -v 1


使用 SSL 保護網際網路連結

Messaging Server 支援將安全套接層 (SSL) 用於影響 Communications Express Mail 的網路網際連結,如下表概述。

連結︰

描述

Messaging Server 和 Communications Express Mail

使用 SSL 保護此連結需要對 Messaging Server 執行管理工作。Communications Express Mail 使用者在其瀏覽器中輸入 Messaging Server 的 URL 資訊時必須使用 HTTPS 協定,而非 HTTP。

請參閱保護 Messaging Server 與 Communications Express Mail 之間的連結,以取得更多資訊。

Messaging Server 和 S/MIME applet

對照 CRL 檢查公開金鑰憑證時,S/MIME applet 必須直接與 Messaging Server 通訊。除設定 smime.conf 檔案中的 sslrootcacertsurl checkoverssl 外,使用 SSL 保護此連結還需要對 Messaging Server 執行管理工作。

請參閱保護 Messaging Server 和 S/MIME applet 之間的連結,以取得更多資訊。

保護 Messaging Server 與 Communications Express Mail 之間的連結

Messaging Server 支援將安全套接層 (SSL) 用於其與 Communications Express Mail 之間的網際網路連結。為 SSL 設定 Messaging Server 後,請參閱 Communications Express 管理指南 (http://docs.sun.com/doc/819-1068) 為 SSL 配置 Communications Express。Communications Express Mail 使用者使用 HTTPS 協定在其瀏覽器中指定 Communications Express URL︰

HTTPS://hostname.domain:secured_port

而非 HTTP 協定 (HTTP://hostname.domain:unsecure_port)。顯示 Communications Express 登入視窗時,使用者會在視窗底部之鎖定的位置看到一個鎖形圖示以表示具有安全連結。

請參閱「配置加密和基於憑證的認證」,以獲取 Messaging Server 的 SSL 配置資訊以及 Communications Express 管理指南 (http://docs.sun.com/doc/819-1068)。

保護 Messaging Server 和 S/MIME applet 之間的連結

對照 CRL 檢查公開金鑰憑證時,S/MIME applet 必須直接與 Messaging Server 通訊。若要保護此使用 SSL 的通訊連結,請︰

  1. 執行管理作業以對 Messaging Server 進行 SSL 配置。請參閱「配置加密和基於憑證的認證」。
  2. 設定 smime.conf 檔案中的 sslrootcacertsurl 參數以指定查找根 SSL CA 憑證的資訊。這些 CA 憑證用於在 Messaging Server 和 S/MIME applet 之間建立 SSL 連結時驗證 Messaging Server 的 SSL 憑證。
  3. smime.conf 檔案中的 checkoverssl 參數設定為 1。此 Messaging Server 選項確定是否使用 SSL 作為 Messaging Server 和 S/MIME applet 之間的連結。不論 Communications Express Mail 使用者如何為 Messenger Server 指定 URL (HTTPHTTPS),當 checkoverssl 設定為 1 時,使用 SSL 保護 Messaging Server 和 S/MIME applet 之間的連結。

  4. 注意

    代理伺服器可以在 Messaging Server 和用戶端應用程式 (如 Communications Express Mail) 之間使用。請參閱代理伺服器和 CRL 檢查,以取得有關使用具有或不具有安全通訊連結的代理伺服器的更多資訊。



用戶端機器的金鑰存取程式庫

不論郵件使用者將其私密-公開金鑰對和憑證保存在智慧卡上還是其瀏覽器的本機金鑰存放區中,用戶端機器上均必須存在金鑰存取程式庫以支援儲存方法。

這些程式庫由智慧卡和瀏覽器的供應商提供。您必須確保在用戶端機器上存在正確的程式庫,並使用 smime.conf 檔案中適當的平台參數來指定程式庫名稱。可以選擇以下參數︰

您可以僅指定安裝在用戶端機器上的程式庫,或者如果您不確定安裝了哪些程式庫,則可以指定給定的平台和供應商的所有程式庫名稱。如果 S/MIME applet 未能在指定的名稱中找到其需要的程式庫,則 S/MIME 功能不會運作。

指定一個或多個程式庫檔案名稱的語法為︰

platform_parameter==vendor:library=library_name;...

其中:

platorm_parameter 為用於存取 Communications Express Mail 的用戶端機器之平台的參數名稱。選擇其中一個名稱︰platformwin

vendor 指定智慧卡或瀏覽器的供應商。選擇以下文字列之一︰
cac (用於 ActivCard 或 NetSign 智慧卡)
capi (用於具有 CAPI 的 Internet Explorer)
mozilla (用於具有網路安全性服務的 Mozilla)

library_name 指定程式庫檔案名稱。請參閱表 20-5,以取得供應商和作業系統的程式庫名稱。

表 20-5  用戶端機器的特殊程式庫 

智慧卡或瀏覽器供應商

作業系統

程式庫檔案名稱

 

Windows

acpkcs211.dll

具有加密應用程式介面 (CAPI) 的 Internet Explorer

Windows

capibridge.dll

 

Windows

softokn3.dll

 

Windows

core32.dll

範例

以下範例為 Windows 平台指定了一個智慧卡程式庫、一個 Internet Explorer 程式庫和一個 Mozilla 程式庫︰

platformwin==CAC:library=acpkcs211.dll;CAPI:library=capibridge.dll;
MOZILLA:library=softokn3.dll;


驗證私密金鑰和公開金鑰

Communications Express Mail 使用私密或公開金鑰之前必須通過圖 20-2 所示的驗證測試。本小節其餘部分將描述對照 CRL 檢查公開金鑰憑證的詳細資訊。

圖 20-2  驗證私密金鑰和公開金鑰

圖形顯示驗證私密金鑰和公開金鑰的流程圖。

尋找使用者的私密金鑰或公開金鑰

如果 Communications Express Mail 使用者具有多個私密-公開金鑰對和多個電子郵件位址 (主要、替代或別名位址),則這些使用者的金鑰可能在其位址中相關。此時,S/MIME applet 必須為了驗證而尋找所有金鑰。使用 smime.conf 檔案中的 usercertfilter 參數定義在對照 CRL 檢查公開金鑰憑證時為金鑰所有者建立郵件位址清單的篩選器。請參閱 usercertfilter,以取得更多資訊。

何時對照 CRL 檢查憑證?

憑證撤銷清單或 CRL 是已被撤銷的憑證清單,由發放金鑰對和憑證的 CA 維護。啟用 CRL 檢查時,只要憑證請求查看是否已被撤銷,系統就會檢查 CRL。

如果 smime.conf 檔案中的 crlenable 設定為 1,則在找到未過期的金鑰之後執行 CRL 測試。對照 CRL 檢查公開金鑰憑證。每個 CA 僅有一個 CRL,但是同一 CRL 可以位於不同的地方。

S/MIME applet 向 Messaging Server 傳送請求之後,Messaging Server 會對照 CRL 檢查憑證。公開金鑰憑證用於驗證公開金鑰。由於私密金鑰是秘密保存的且只有所有者才能使用,因此無法直接對照 CRL 檢查私密金鑰。若要確定私密金鑰是否正常,需要使用金鑰對的公開金鑰憑證。如果公開金鑰憑證通過 CRL 測試,則相關的私密金鑰也通過測試。

憑證的撤銷可能是由於多種原因,例如該憑證的所有者離開了組織或遺失了智慧卡。

在以下三種情況下會對照 CRL 檢查憑證︰

存取 CRL

憑證不包含 URL 或包含多個 URL (亦稱為發行點),Messaging Server 使用這些 URL 來查找 CRL。如果憑證無 CRL URL,則無法對照 CRL 檢查該憑證,且在不知道該金鑰的真實狀態下使用私密金鑰或公開金鑰來簽名或加密郵件時。

如果嘗試所有可用的 URL 後,Messaging Server 仍找不到或無法獲得 CRL 存取權,則視憑證狀態為未知。revocationunknown 的設定確定是否使用處於未知狀態的私密金鑰或公開金鑰。

當每個 CA 僅支援一個 CRL 時,位於不同位置的同一 CRL 可能會產生多個副本,並反映在使用者的公開金鑰憑證的不同 URL 中。Messaging Server 會嘗試憑證的所有 URL 位置直到獲得 CRL 存取權。

透過定期從 CA 下載目前 CRL 至需要的位置,您可以管理 CRL 的多個副本以獲得最佳存取。無法變更憑證內嵌的 URL 時,您可以重新導向 Messaging Server,以透過將憑證中的 URL 對映至新的包含 CRL 資訊的 URL 來使用新的 CRL 位置。使用此語法在 LDAP 目錄中建立含有一個或多個對映定義的清單 (請參閱 crlmappingurl)︰

msgCRLMappingRecord=url_in_certificate==new_url[|url_login_DN|url_login_password]

url_in_certificate 為憑證中包含查找 CRL 舊資訊的 URL。new_url 為包含新的 CRL 資訊的新 URL。url_login_DNurl_login_password 為允許存取 new_url 項目的 DN 和密碼。這兩項均具有可選擇性,並且指定後將僅用於新的 URL 存取。

如果 DN 和密碼無效,則 LDAP 存取會被拒絕,並且不再嘗試重試具有其他憑證的項目。這些登入憑證僅對 LDAP URL 有效。如果您使用 smmime.conf 中的 crlurllogindncrlurlloginpw,則無需在對映記錄中指定登入 DN 和密碼。請參閱使用憑證存取公開金鑰、CA 憑證和 CRL 的 LDAP

僅允許一個對映層。可以將憑證中不同的 URL 對映至同一個新的 URL,但不能將一個憑證 URL 指定給多個新的 URL。例如,以下對映清單無效︰

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL12==URL66
msgCRLMappingRecord=URL12==URL88
msgCRLMappingRecord=URL20==URL90
msgCRLMappingRecord=URL20==URL93

以下範例為正確的對映清單︰

msgCRLMappingRecord=URL12==URL45
msgCRLMappingRecord=URL14==URL66
msgCRLMappingRecord=URL88==URL66
msgCRLMappingRecord=URL201==URL90
msgCRLMappingRecord=URL202==URL93

在 LDAP 目錄中建立對映定義後,請使用 smime.conf 檔案中的 crlmappingurl,以指定查找這些對映定義的目錄資訊。請參閱 crlmappingurl

代理伺服器和 CRL 檢查

如果系統在用戶端應用程式與 Messaging Server 之間使用代理伺服器,則可能封鎖 CRL 檢查,儘管已經正確配置了 S/MIME applet 以執行 CRL 檢查。如果發生這種問題,Communications Express Mail 使用者將收到警示有效金鑰憑證處於已被撤銷或未知狀態的錯誤訊息。

以下條件會導致這種問題的發生︰

若要解決此問題,您可以執行以下動作︰

  1. 將用戶端機器和代理伺服器之間的通訊連結設置為具有 SSL 的安全連結,並保持所有配置值不變。
  2. 或者,

  3. 不保護通訊連結,而將 checkoverssl 設定為 0

如需更多資訊,請參閱使用 SSL 保護網際網路連結

使用失時效的 CRL

S/MIME applet 向 Messaging Server 傳送請求之後,Messaging Server 會對照 CRL 檢查憑證。Messaging Server 將 CRL 的副本下載至磁碟並使用該副本檢查憑證,而非在每次檢查憑證時都將 CRL 下載至記憶體。每個 CRL 都具有 [下次更新] 欄位,用於指定應該使用的較新版本 CRL 的日期。可以將下次更新的日期視為使用中 CRL 的過期日期或時間限制。超過其下次更新日期的 CRL 均被視為舊的或失時效的 URL,並會觸發 Messaging Server 在下次檢查憑證時下載 CRL 的最新版本。

每次 S/MIME applet 請求對照 CRL 檢查憑證時,Messaging Server 均會執行以下動作︰

  1. 將目前日期與 CRL 的下次更新日期相比較。
  2. 如果 CRL 已失時效,Messaging Server 會下載 CRL 的最新版本以替代磁碟上失時效的 CRL,然後繼續進行檢查。但是,如果找不到或無法下載較新的 CRL,則使用 smime.conf 檔案中的 crlusepastnextupdate 值確定下一步。
  3. 如果 crlusepastnextupdate 被設定為 0,則不使用失時效的 CRL,且問題憑證處於不明狀態。S/MIME applet 使用 smime.conf 中的 revocationunknown 值確定下一步︰
    1. 如果 revocationunknown 被設定為 ok,則視憑證為有效,且使用私密金鑰或公開金鑰簽名或加密郵件。
    2. 如果 revocationunknown 被設定為 revoked,則視憑證為無效,且不使用私密金鑰或公開金鑰簽名或加密郵件,同時快顯式錯誤訊息會警示郵件使用者不能使用該金鑰。
    3. 如果 crlusepastnextupdate 被設定為 1,則 S/MIME applet 繼續使用此失時效的 CRL,這樣做不會中斷 Communications Express Mail 內的處理,但將會寫入一條訊息至 Messaging Server 記錄檔以警示此情況。

對照 CRL 檢查憑證時,此系列的事件會繼續發生。只要 Messaging Server 可以及時下載較新版本的 CRL,並且視 smime.conf 檔案中的設定而定,郵件處理會不中斷地進行。定期檢查 Messaging Server 記錄中是否存在表示在使用失時效 CRL 的重複訊息。如果無法下載較新的 CRL,需要研究無法存取的原因。

確定要使用的郵件時間

timestampdelta 參數主要有以下用途︰

  1. 處理郵件耗時甚久才到達目標的情況。這種情況下,寄件者的金鑰可能被視為無效金鑰,儘管傳送郵件時該金鑰是有效的。
  2. 限制郵件的傳送時間的可信度,因為傳送時間可以偽造。

與郵件相關的時間有兩個︰


注意

透過按一下郵件 [寄件者] 欄位右側的三角形圖示,檢視郵件標頭詳細資訊。


憑證在傳送郵件時為有效,但在郵件到達目標時可能已被撤銷或過期。如果發生這種情況,在檢查憑證有效性時,應該使用傳送時間還是接收時間?使用傳送時間驗證傳送郵件時憑證是否有效。但自動使用傳送時間不會將郵件耗時甚久才到達目標這一事實納入考量,在這種情況下,最好使用接收時間。

透過使用 smime.conf 檔案中的 timestampdelta 參數可以影響 CRL 檢查使用哪個時間。將此參數設定為正整數,表示秒數。如果接收時間減去 timestampdelta 值為傳送時間之前的時間,則使用傳送時間。否則,使用接收時間。timestampdelta 值越小,使用接收時間的機會越多。如果未設定 timestampdelta,則自動使用接收時間。請參閱 timestampdelta

存取 CRL 的疑難

由於多種原因 (如網路或伺服器問題),當 Messaging Server 嘗試對照 CRL 檢查憑證時,CRL 可能不可用。您可以使用 smime.conf 檔案中的 crlaccessfail 參數管理 Messaging Server 嘗試存取該 CRL 的頻率,讓它可以有時間做其他工作,而不是讓 Messaging Server 不停地嘗試存取 CRL。

使用 crlaccessfail 定義以下各項︰

請參閱 crlaccessfail,以取得該參數的語法和範例。

憑證已被撤銷時

如果公開金鑰的憑證與 CRL 上的任何項目均不匹配,則使用私密金鑰或公開金鑰簽名或加密外寄的郵件。如果憑證與 CRL 上的某個項目匹配或者憑證處於未知狀態,則視私密金鑰或公開金鑰為已被撤銷。依預設,Communications Express Mail 不使用具有已被撤銷憑證的金鑰簽名或加密外寄的郵件。如果收件者讀取郵件時,簽名郵件的私密金鑰已被撤銷,則收件者會接收到表明此簽名不受信任的警告訊息。

如果需要,您可以使用 smime.conf 檔案中的以下參數變更用於所有已被撤銷憑證的各種預設策略︰


授予使用 S/MIME 功能的許可權

可以使用 LDAP 篩選器給予或拒絕使用透過 Communications Express Mail 可用的各種郵件服務的許可權。使用 mailAllowedServiceAccessmailDomainAllowedServiceAccess LDAP 屬性定義篩選器。一般而言,篩選器工作的方式有三種︰

S/MIME 所需的服務名稱為 httpsmimesmtp。如果您需要在 Communications Express Mail 使用者中限制 S/MIME 的使用,請使用適當的 LDAP 屬性語法和服務名稱建立篩選器。使用 LDAP 指令建立或修改屬性。

S/MIME 許可權範例

1. 以下範例封鎖一個 Communications Express Mail 使用者對 S/MIME 功能的存取權︰

mailAllowedServiceAccess: -smime:*$+imap,pop,http,smtp:*

mailAllowedServiceAccess: +imap,pop,http,smtp:*

2. 以下範例封鎖網域中所有 Communications Express Mail 使用者對 S/MIME 功能的存取權︰

mailDomainAllowedServiceAccess: -smime:*$+imap:*$+pop:*$+smtp:*$+http:*

mailDomainAllowedServiceAccess: +imap:*$+pop:*$+smtp:*$+http:*

請參閱「篩選器語法」,以取得更多資訊。


管理憑證

以下大多數範例使用 ldapsearchldapmodify 指令搜尋使用者金鑰和憑證的 LDAP 目錄。這些指令由 Directory Server 提供。請參閱「Sun ONE Directory Server Resource Kit Tools Reference」5.2 發行版本,以取得有關這些指令的更多資訊。

LDAP 目錄中的 CA 憑證

此範例將憑證授權單位憑證增加到 LDAP 目錄。這些憑證的目錄結構已經存在。將憑證及其所屬的 LDAP 項目輸入名為 add-root-CA-cert.ldif.ldif 檔案中。除憑證資訊必須以 Base64 編碼文字輸入該檔案外,所有文字都必須以 ASCII 文字輸入︰

dn: cn=SMIME Admin,ou=people,o=demo.siroe.com,o=demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: certificationAuthority
cn: RootCACerts
sn: CA
authorityRevocationList: novalue
certificateRevocationList: novalue
cacertificate;binary:: MFU01JTUUEjAQBgNVBAsTCU1zZ1NlcnZlcjcMBoGA1UEAxMTydG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使用 ldapmodify 指令將 CA 憑證增加至 LDAP 目錄︰

# ldapmodify -a -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd -v
-f add-root-CA-cert.ldif

smime.conf 中的 trustedurl 參數值指定 CA 憑證在 LDAP 目錄中的位置。範例 1,將 trustedurl 設定為︰

trustedurl==ldap://demo.siroe.com:389/cn=SMIME Admin, ou=people, o=demo.siroe.com,o=demo?cacertificate;binary?sub?(objectclass=certificationAuthority)

LDAP 目錄中的公開金鑰和憑證

此範例展示了將郵件使用者的公開金鑰和憑證增加至 LDAP 目錄。假設 LDAP 目錄中已經存在該郵件使用者。將金鑰和憑證及其所屬的 LDAP 項目輸入名為 add-public-cert.ldif.ldif 檔案中。除金鑰和憑證資訊必須以 Base64 編碼文字輸入該檔案外,所有文字都必須以 ASCII 文字輸入。

dn: uid=JohnDoe,ou=People, o=demo.siroe.com,o=demo
changetype: modify
replace: usercertificate
usercertificate;binary:: MFU01JTUUxEjAQBgNVBAsT1zZ1NlcnZlcjMBoGA1UEAxMTydG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使用 ldapmodify 指令將公開金鑰和憑證增加至 LDAP 目錄︰

# ldapmodify -a -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd -v
-f add-public-cert.ldif

smime.conf 中的 certurl 參數值指定公開金鑰及其憑證在 LDAP 目錄中的位置。範例 2,將 certurl 設定為︰

certurl==ldap://demo.siroe.com:389/ou=people, o=demo.siroe.com, o=demo?userCertificate;binary?sub?

驗證 LDAP 目錄中是否存在金鑰和憑證

以下範例展示搜尋 LDAP 目錄以取得 CA 憑證、公開金鑰及其憑證。

搜尋一個 CA 憑證

在以下範例中,-b 選項定義基底 DN,cn=SMIME admin, ou=people,o=demo.siroe.com,o=demo objectclass=* 描述 LDAP 目錄中的一個 CA 憑證。如果在目錄中找到,ldapsearch 會將有關憑證的資訊傳回至 ca-cert.lidf 檔案。

# ldapsearch -L -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd
-b "cn=SMIME admin, ou=people,o=demo.siroe.com,o=demo"
"objectclass=*" > ca-cert.ldif

以下範例顯示 ca-cert.ldif 檔案中的搜尋結果。該檔案內容的格式為使用 ldapsearch -L 選項的結果。

# more ca-cert.ldif
dn: cn=SMIME admin,ou=people,o=demo.siroe.com,o=demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: certificationAuthority
cn: RootCACerts
cn: SMIME admin
sn: CA
authorityRevocationList: novalue
certificateRevocationList: novalue
cacertificate;binary:: MFU01JTUUxEjAQBgNVBAsTCU1zZNlcnZlcjcMBoGA1UEAxMTydG
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搜尋數個公開金鑰

在以下範例中,-b 選項定義基底 DN,o=demo.siroe.com,o=demo objectclass=* 將在 LDAP 目錄中的基底 DN (或其下) 找到的所有公開金鑰和憑證傳回至 usergroup.ldif 檔案︰

# ldapsearch -L -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd
-b "o=demo.siroe.com,o=demo" "objectclass=*" > usergroup.ldif

搜尋一個公開金鑰

在以下範例中,-b 選項定義基底 DN,uid=JohnDoe, ou=people,o=demo.siroe.com,o=demo objectclass=* 描述 LDAP 目錄中的一個公開金鑰及其憑證︰

# ldapsearch -L -h demo.siroe.com -D "cn=Directory Manager" -w mypasswd
-b "uid=JohnDoe, ou=people,o=demo.siroe.com,o=demo" "objectclass=*" > public-key.ldif

以下範例顯示 public-key.ldif 檔案中的搜尋結果。該檔案內容的格式為使用 ldapsearch -L 選項的結果。

# more public-key.ldif
dn: uid=sdemo1, ou=people, o=demo.siroe.com, o=demo
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: siroe-am-managed-person
objectClass: inetOrgPerson
objectClass: inetUser
objectClass: ipUser
objectClass: userPresenceProfile
objectClass: inetMailUser
objectClass: inetLocalMailRecipient
objectClass: icsCalendarUser
objectClass: sunUCPreferences
mail: JohnDoe@demo.siroe.com
mailHost: demo.siroe.com

.

uid: JohnDoe

.

mailUserStatus: active
inetUserStatus: active

.

usercertificate;binary:: MFU01JTUUxEjAQBgNBAsTCU1zZ1NlcnZjcMBoGA1UEAxMTydG
QGEwJEOwGA1UEChMFU01JTUUxEjAQBgNVBAsTCU1zZ1NlcnZlcjEcMBoGA1UEAxMTQ2VydG
aFw0MTIwODAwMDBaM267hgbX9FExCzAJBgwyrjgNVBAk9STklBMQwwCgYDVQQVHR8EgaQwg
YTAlVEQYDVQQIEwpDQUxJRk9STklBMQwwCgYDVQQKEwww3ltgoOYz11lzAdBgNVBpYSE9Vc
5yZWQdWlm899XBsYW5ldC5jb20wgZ8wDQYJoGBAK1mUTy8vvO2nOFg4mlHjkghytQUR1k8l
5mvgc7ntm5mGXRD3XMU4OciUq6zUfIg3ngvxlLKLyERTIqjUS8HQU4R5pvj+rrVgsAGjggE
+FG9NmV2A3wMyghqkVPNDP3Aqq2BYfkcn4va3C5nRNAYxNNVE84JJ0H3jyPDXhMBlQU6vQn
1NAgMAgEXMIIBEzARBglghkgBhvhCAQEEBApqlSai4mfuvjh02SQkoPMNDAgTwMB8GA1UdI
QYMBaEdK05AHreiU9OYc6v+ENMOwZMIGsBgNVHR8EgaQwgaEwb6BtoGuGaWxkYXA6Lyht74
tpbucmVkwbGFuZXQuY29tL1VJRD1DZXJ0aWZpY2F0ZSBNYW5hZ2VyLE9VPVBlb3BsZSxPPW
1haxYT9jZaWZpY2jdu2medXRllHjkghytQURYFNrkuoCygKoYoaHR0cDovL3Bla2kghytQU
luZyZWQuaYW5ldC5jb20vcGVraW5nLmNybDAeBgNVHREEFzAVgRNwb3J0aWEuc2hhb0BzdW
4u9tMA0GC78UfreCxS3Pp078jyTaDv2ci1AudBL8+RrRUQvxsMJfZeFED+Uuf10Ilt6kwhm
Tc6W5UekbirfEZGAVQIzlt6DQJfgpifGLvtQ60Kw==

.

.

網路安全性服務憑證

用於網路安全性服務 (NSS) 的各種憑證儲存在其各自的資料庫 (非 LDAP 資料庫) 中。Messaging Server 提供 certutilcrlutil 這兩個公用程式以將憑證和相關 CRL 儲存在資料庫中。您還可以使用這兩個公用程式搜尋資料庫。

請參閱「Sun Java System Directory Server 管理指南 (http://docs.sun.com/doc/817-2014) 以取得有關 certutil 的更多資訊)。請使用 crlutil 隨附的說明文字,以取得有關該公用程式的更多資訊 (透過不帶引數地執行兩個公用程式,檢視線上說明)。


Communications Express S/MIME 一般使用者
資訊

本小節包含面向一般使用者的資訊。包含以下小節:

首次登入

郵件使用者首次登入 Communications Express Mail 時會遇到關於 S/MIME applet 的特殊提示。

適用於 Windows 的提示

在 Windows 98、2000 或 XP 平台上首次登入 Communications Express Mail 時,會顯示以下提示︰

  1. 如果未在電腦 (用戶端機器) 上安裝 Java 2 Runtime Environment (JRE),會接收到類似以下內容的提示︰
  2. Do you want to install and run "Java Plug-in 1.4.2_03 signed on 11/20/03 and distributed by Sun Microsystems, Inc."?
    Publisher authenticity verified by:
    VeriSign Class 3 Code Signing 2001 CA

    按一下 [是] 並按照後續提示安裝 JRE。


    注意

    如果您需要英文支援並希望讀取包含非拉丁字元 (如中文) 的內送的 S/MIME 郵件,則在電腦上的 /lib 目錄中必須存在 charsets.jar 檔案。

    若要確定在 /lib 目錄中安裝 charsets.jar 檔案,請使用自訂安裝來安裝 JRE 的英文版。在安裝程序中,選取 [支援其他語言] 選項。

    請參閱多語言支援,以取得更多資訊。


    在最後的安裝提示中,按一下 [完成]。重新啟動電腦並再次登入 Communications Express Mail。

  3. 提示詢問︰
  4. Do you want to trust the signed applet distributed by "Sun Microsystems, Inc."?
    Publisher authenticity verified by:
    Thawte Consulting cc

    按一下以下回應之一:

    • 是,以接受此 Communications Express Mail 階段作業的 S/MIME applet。每次登入時顯示此提示。
    • 否,拒絕 S/MIME applet。您不能使用 S/MIME 功能。
    • 自動,接受此及後續 Communications Express Mail 階段作業的 S/MIME applet。您將不會再看到此提示。
  5. 提示詢問︰
  6. Do you want to trust the signed applet distributed by "sun microsystems, inc."?
    Publisher authenticity verified by:
    VeriSign, Inc.

    按一下以下回應之一:

    • 是,以接受此 Communications Express Mail 階段作業的 S/MIME applet。每次登入時顯示此提示。
    • 否,拒絕 S/MIME applet。您不能使用 S/MIME 功能。
    • 自動,接受此及後續 Communications Express Mail 階段作業的 S/MIME applet。您將不會再看到此提示。

簽名和加密設定

有您可以設定的初始簽名和加密設定,以控制所有使用者的外寄的郵件是否︰

初始設定還控制位於 Communications Express Mail 視窗底部和 [選項] - [設定] 視窗中的簽名和加密核取方塊是否顯示為已核取 (啟用功能) 或未核取 (關閉功能)。使用 smime.conf 檔案中的 alwaysencryptalwayssign 參數指定初始設定。

讓郵件使用者瞭解他們可以變更其郵件的初始設定。登入 Communications Express Mail 之後,使用者可以暫時置換一個郵件的設定,或者置換所有進行中的郵件的設定。

表 20-6 概述核取方塊的使用。

表 20-6  Communications Express Mail 的簽名和加密核取方塊 

核取方塊的文字

位置

Communications Express Mail 使用者執行的動作

簽名郵件

用於撰寫、轉寄或回覆郵件的 Communications Express Mail 視窗的
底部。

  • 核取此方塊以簽名目前郵件。
  • 取消核取此方塊,不簽名目前郵件。

加密郵件

用於撰寫、轉寄或回覆郵件的 Communications Express Mail 視窗的
底部。

  • 核取此方塊以加密目前郵件。
  • 取消核取此方塊,不加密目前郵件。

簽名所有外寄的郵件

在 Communications Express Mail [選項] - [設定] 視窗中的 [安全郵件傳送] 選項下。

  • 核取此方塊以自動簽名所有郵件。
  • 取消核取此方塊,不自動簽名所有郵件。

備註:您可以使用 [簽名郵件] 核取方塊對郵件逐一簽名以置換 [簽名所有外寄的郵件] 設定。

加密所有外寄的郵件

在 Communications Express Mail [選項] - [設定] 視窗中的 [安全郵件傳送] 選項下。

  • 核取此方塊以自動加密所有郵件。
  • 取消核取此方塊,不自動加密所有郵件。

備註:您可以使用 [加密郵件] 核取方塊對郵件逐一加密以置換 [加密所有外寄的郵件] 設定。

啟用 Java 主控台

Communications Express Mail 使用者處理簽名郵件和加密郵件時,S/MIME applet 將各種作業訊息寫入至 Java 主控台。Java 主控台訊息有助於排除郵件使用者報告的問題。但是,僅當透過將 nswmExtendedUserPrefs 屬性增加至 LDAP 項目的 inetMailUser 物件類別而為使用者啟用 Java 主控台時,才會產生作業訊息。例如:

nswmExtendedUserPrefs: meSMIMEDebug=on

請勿一直為所有郵件使用者啟用 Java 主控台,因為這會明顯降低 Communications Express Mail 的效能。



上一個      目錄      索引      下一個     


Copyright 2005 Sun Microsystems, Inc. 版權所有。