smime.conf ファイルは Messaging Server とともに組み込まれ、msg-svr-base/config/ ディレクトリに存在します。この msg-svr-base は、Messaging Server がインストールされるディレクトリです。ファイルに含まれるすべてのテキストおよびパラメータの例の前には、コメント文字 (#) がついています。
値を指定したパラメータを smime.conf ファイルに追加するか、またはパラメータの例を編集できます。例を使用する場合、例をファイルの別の部分にコピーし、パラメータの値を編集し、行の先頭の # 文字を削除します。
Messaging Server をインストールしたあとに、使用可能なテキストエディタで smime.conf を編集します。表 24–3 に説明があるパラメータには、大文字と小文字の区別がなく、特に指定されていないかぎり、設定する必要はありません。
表 24–3 smime.conf ファイルの S/MIME 設定パラメータ
パラメータ |
目的 |
|
---|---|---|
S/MIME を使用する許可が与えられているすべての Communications Express メールユーザーのためにすべての送信メッセージを自動的に暗号化するかどうかの初期設定を制御します。各 Communications Express メールユーザーは、表 24–5 に説明があるチェックボックスを使用して、各自のメッセージに対してこのパラメータの値を無効にできます。 次の値のいずれかを選択します。 0 - メッセージを暗号化しません。Communications Express メールでは暗号化チェックボックスのチェックマークが付いていない状態で表示されます。これがデフォルトです。 1 - メッセージを常に暗号化します。Communications Express メールでは暗号化チェックボックスのチェックマークが付いている状態で表示されます。 例: alwaysencrypt==1 |
||
S/MIME を使用する許可が与えられているすべての Communications Express メールユーザーのためにすべての送信メッセージに自動的に署名を付けるかどうかの初期設定を制御します。各 Communications Express メールユーザーは、表 24–5 に説明があるチェックボックスを使用して、各自のメッセージに対してこのパラメータの値を無効にできます。 次の値のいずれかを選択します。 0 - メッセージに署名しません。Communications Express メールでは署名チェックボックスのチェックマークが付いていない状態で表示されます。これがデフォルトです。 1 - メッセージに常に署名します。Communications Express メールでは署名チェックボックスのチェックマークが付いている状態で表示されます。 例: alwaysensign==1 |
||
Communications Express メールユーザーの公開鍵および証明書の場所を特定するための LDAP ディレクトリ情報を指定します。公開鍵の LDAP 属性は、usercertificate;binary です。証明書については、「24.11 証明書を管理する」を参照してください。 このパラメータは、Messaging Server がサービスを提供するすべてのユーザーが含まれる LDAP ディレクトリ情報ツリーのユーザー/グループの最上位のノードを指す必要があります。これは、複数のドメインがあるサイトでは特に重要になります。識別名は、1 つのドメインのユーザーが含まれるサブツリーではなく、ユーザー/グループツリーのルートの識別名である必要があります。 このパラメータの設定は必須です。 例: certurl==ldap://mail.siroe.com:389/ou=people,o=siroe.com,o=ugroot |
||
キーの証明書を CRL でチェックするときに SSL 通信リンクを使用するかどうかを制御します。詳細については、「24.7 SSL でインターネットリンクを保護する」を参照してください。 次の値のいずれかを選択します。 0 - SSL 通信リンクを使用しません。 1 - SSL 通信リンクを使用します。これがデフォルトです。 CRL チェックが有効な場合に、プロキシサーバーを使用すると、問題が発生する場合があります。詳細については、「24.9.4 プロキシサーバーと CRL チェック」を参照してください。 |
||
crlaccessfail |
CRL へのアクセスを複数回試行し、アクセスに失敗したあとに、Messaging Server が再びアクセスを試みるまでの待機時間を指定します。このパラメータにはデフォルト値がありません。 構文: crlaccessfail==number_of_failures :time_period_for_failures: wait_time_before_retry ここで使用されているオプション、変数は次のとおりです。 number_of_failures は、time_period_for_failures によって指定された時間間隔の間に Messaging Server が CRL へのアクセスを失敗できる回数です。値は、0 よりも大きくする必要があります。 time_period_for_failures は、Messaging Server が失敗した CRL へのアクセス試行を数える秒単位の期間です。値は 0 より大きくなければなりません。 wait_time_before_retry は、指定された時間間隔に、失敗した試行回数が限度に達したことを検出してから、Messaging Server が再度 CRL へのアクセスを試みる前に、待つ秒数です。値は 0 より大きくなければなりません。 例: crlaccessfail==10:60:300 この例では、Messaging Server は CRL へのアクセスを 1 分以内に 10 回失敗します。その後、5 分待ってから、再び CRL へのアクセスを試みます。詳細については、「24.9.7 CRL へのアクセスの問題」を参照してください。 |
|
Messaging Server が CRL をダウンロードするディスク上のディレクトリ情報を指定します。デフォルトは、msg-svr-base/data/store/mboxlist であり、ここの msg-svr-base は Messaging Server がインストールされたディレクトリです。詳細については、「24.9.5 古い CRL の使用」を参照してください。 |
||
証明書を CRL でチェックするかどうかを制御します。一致するものがある場合は、証明書は失効したとみなされます。smime.conf ファイルの send*revoked パラメータの値は、証明書が失効したキーを Communications Express メールが拒否するか、または使用するかどうかを決定します。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 0 - 各証明書を CRL でチェックしません。 1 - 各証明書を CRL でチェックします。これがデフォルトです。Messaging Server の local.webmail.cert.enable オプションを 1 に設定するようにします。そのようにしないと、crlenable が 1 に設定されても CRL チェックは行われません。 |
||
CRL マッピング定義の場所を特定するための LDAP ディレクトリ情報を指定します。このパラメータは、マッピング定義がある場合にのみ必要です。詳細については、「24.9.3 CRL へのアクセス」を参照してください。URL へアクセスするための DN およびパスワードを追加することもできます。 構文: crlmappingurl URL[|URL_DN | URL_password] 例:
|
||
CRL マッピング定義に対する読み取り権限がある LDAP エントリの識別名を指定します (エントリが証明書から直接のものでない場合の詳細は、904 ページの「CRL へのアクセス」を参照)。 crllogindn および crlloginpw の値を指定しない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。 例: crllogindn==cn=Directory Manager |
||
crllogindn パラメータの識別名に対するパスワードを ASCII テキストで指定します。 crllogindn および crlloginpw の値を指定しない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。 例: crlloginpw==zippy |
||
現在の日付が CRL の次の更新日フィールドに指定された日付を過ぎたときに CRL を使用するかどうかを制御します。詳細については、「24.9.5 古い CRL の使用」を参照してください。 次の値のいずれかを選択します。 0 - 古い CRL を使用しません。 1 - 古い CRL を使用します。これがデフォルトです。 |
||
certurl および trustedurl パラメータによって指定された LDAP ディレクトリにある公開鍵および公開鍵の証明書、また CA 証明書の読み取り権限がある LDAP エントリの識別名を指定します。 logindn および loginpw の値が指定されない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。 例: logindn==cn=Directory Manager |
||
logindn パラメータの識別名に対するパスワードを ASCII テキストで指定します。 logindn および loginpw の値が指定されない場合は、Messaging Server は LDAP ディレクトリにアクセスするために HTTP サーバーに対するログイン値を使用します。それが失敗した場合、Messaging Server は匿名で LDAP ディレクトリへのアクセスを試みます。 例: loginpw==SkyKing |
||
Microsoft Windows プラットフォームでスマートカードまたはローカルキーストアを使用するときに必要なライブラリ名を 1 つ以上指定します。クライアントマシンでデフォルト値ではうまくいかない場合にのみこのパラメータを変更します。デフォルトは次のとおりです。 platformwin==CAPI:library=capibridge.dll; 詳細については、「24.8 クライアントマシン用のキーアクセスライブラリ」を参照してください。 |
||
メッセージを読むときに S/MIME デジタル署名を確認するために、公開鍵の証明書を CRL でチェックするかどうかを制御します。非公開鍵を使用してメッセージのデジタル署名を作成しますが、非公開鍵を CRL でチェックすることはできないので、非公開鍵に関連付けられた公開鍵の証明書が CRL でチェックされます。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 0 - 証明書を CRL でチェックしません。 1 - 証明書を CRL でチェックします。これがデフォルトです。 |
||
証明書を CRL でチェックしたときに、あいまいなステータスが返された場合に実行するアクションを決定します。この場合、証明書のステータスが有効または失効のどちらであるかは確かでありません。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 ok - 証明書が有効であるとして扱います。 revoked - 証明書が失効しているとして扱います。これがデフォルトです。 |
||
送信メッセージの暗号化に使用する公開鍵の証明書を使用する前に CRL でチェックするかどうかを制御します。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 0 - 証明書を CRL でチェックしません。 1 - 証明書を CRL でチェックします。これがデフォルトです。 |
||
送信メッセージの暗号化に使用した公開鍵の証明書が失効した場合に実行するアクションを決定します。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 allow - 公開鍵を使用します。 disallow - 公開鍵を使用しません。これがデフォルトです。 |
||
sendsigncert |
送信メッセージのデジタル署名の作成に非公開鍵を使用できるかどうかを判断するために、公開鍵の証明書を CRL でチェックするかどうかを制御します。デジタル署名に非公開鍵使用をしますが、非公開鍵を CRL でチェックすることはできないので、非公開鍵に関連付けられた公開鍵の証明書が CRL でチェックされます。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 0 - 証明書を CRL でチェックしません。 1 - 証明書を CRL でチェックします。これがデフォルトです。 |
|
非公開鍵のステータスが失効であると判断されたときに実行するアクションを決定します。非公開鍵を使用してメッセージのデジタル署名を作成しますが、非公開鍵を CRL でチェックすることはできないので、非公開鍵に関連付けられた公開鍵の証明書が CRL でチェックされます。公開鍵の証明書が失効すると、対応する非公開鍵も失効します。詳細については、「24.9 非公開鍵と公開鍵の確認」を参照してください。 次の値のいずれかを選択します。 allow - 失効ステータスの非公開鍵を使用します。 disallow - 失効ステータスの非公開鍵を使用しません。これがデフォルトです。 |
||
Messaging Server の SSL 証明書を確認するために使用される有効な CA の証明書の場所を特定するための識別名と LDAP ディレクトリ情報を指定します。Messaging Server で SSL が有効である場合には、これは必須のパラメータです。詳細については、「24.7 SSL でインターネットリンクを保護する」を参照してください。 クライアントアプリケーションからすべての要求を受信するプロキシサーバーに対する SSL 証明書を持っている場合、それらの SSL 証明書の CA 証明書もこのパラメータが指す LDAP ディレクトリに存在する必要があります。 URL へアクセスするための DN およびパスワードを追加することもできます。 構文: crlmappingurl URL[|URL_DN | URL_password] 例:
|
||
公開鍵の証明書を CRL でチェックするときにメッセージの送信時間または受信時間のどちらを使用するかを決定するために使用する秒単位の時間間隔を指定します。 このパラメータのデフォルト値の 0 は、常に受信時間を使用するように Communications Express メールに指示します。詳細については、「24.9.6 使用するメッセージ時刻の判断」を参照してください。 例: timestampdelta==360 |
||
有効な CA の証明書の場所を特定するための識別名と LDAP ディレクトリ情報を指定します。これは、必須のパラメータです。 URL へアクセスするための DN およびパスワードを追加することもできます。 構文: crlmappingurl URL[|URL_DN | URL_password] 例:
|
||
Communications Express メールユーザーのプライマリ、代替、および同等の電子メールアドレスのフィルタ定義を指定し、キーのペアが異なるメールアドレスに割り当てられるときにユーザーの非公開鍵と公開鍵のペアのすべてが見つかるようにします。 このパラメータは必須であり、デフォルト値がありません。 |