24.3 S/MIME を使用するための要件

Messaging Server のインストール後、Communications Express メールユーザーは署名および暗号化機能をただちに使用できるわけではありません。ユーザーが S/MIME を利用できるようになる前に、この節で説明する要件を満たしている必要があります。

24.3.1 非公開鍵と公開鍵

標準の X.509 v3 形式の証明書を含む、非公開鍵と公開鍵のペアを少なくとも 1 つ、S/MIME を使用する各 Communications Express メールユーザーに発行する必要があります。確認プロセスで使用される証明書は、キーが本当に使用者のものであることをほかのメールユーザーに対して保証します。1 人のユーザーに、複数のキーペアと関連する証明書を割り当てることができます。

キーおよびキーの証明書は、ユーザーの組織で発行するか、またはサードパーティーベンダーから購入できます。キーおよび証明書の発行方法に無関係に、発行する組織は認証局 (CA) と呼ばれます。

キーのペアとキーの証明書は、次の 2 とおりの方法で保存されます。

• スマートカードに保存

  スマートカードは、商用クレジットカードに似ていて、クレジットカードと同様にメールユーザーが使用および管理する必要があります。スマートカードには、非公開鍵情報を読むための、メールユーザーのコンピュータ (クライアントマシン) に接続された特別なカードリーダーが必要になります。詳細については、「24.3.2 スマートカードに保存されたキー」を参照してください。

• メールユーザーのコンピュータ (クライアントマシン) のローカルキーストアに保存

  メールユーザーのブラウザがキーストアを提供します。ブラウザは、キーのペアおよび証明書をキーストアにダウンロードするためのコマンドも提供します。詳細については、「24.3.3 クライアントマシンに保存されたキー」を参照してください。

24.3.2 スマートカードに保存されたキー

非公開鍵と公開鍵のペアが証明書とともに、スマートカードに保存される場合は、メールユーザーのコンピュータにカードリーダーが適切に接続されている必要があります。カード読み取り装置にはソフトウェアも必要であり、装置およびそのソフトウェアは装置の購入先のベンダーから供給されます。

カード読み取り機能を持つシステムには、実際には 2 つの部分があります。1 つ目の部分は、ハードウェアとしてのカードリーダーとそのドライバです。2 つ目の部分は、実際のカードです。通常、カードは異なるベンダーによって提供されますが、カードを読み取るためにはドライバが必要です。すべてのカードがサポートされているわけではありません。サポートされるスマートカード (ActiveCard (現在の名前は ActiveIdentity) および NetSign) の一覧については、表 24–1 を参照してください。

適切にインストールすると、メールユーザーは、送信するメッセージ用のデジタル署名を作成するときに、

スマートカードを読み取り装置に挿入します。スマートカードのパスワードの確認後、Communications Express メールがメッセージに署名するために非公開鍵にアクセスできるようになります。サポートされているスマートカードと読み取り装置については、「24.2 必要なソフトウェアおよびハードウェアコンポーネント」を参照してください。

スマートカードのベンダーからのライブラリが、ユーザーのコンピュータに必要です。詳細については、「24.8 クライアントマシン用のキーアクセスライブラリ」を参照してください。

24.3.3 クライアントマシンに保存されたキー

キーのペアおよび証明書をスマートカードに保存しない場合は、メールユーザーのコンピュータ (クライアントマシン) のローカルキーストアに保存する必要があります。クライアントマシンのブラウザがキーストアを提供し、キーのペアおよび証明書をキーストアにダウンロードするためのコマンドも提供します。キーストアはパスワードで保護される場合がありますが、これはブラウザによって異なります。

ローカルキーストアをサポートするには、ユーザーのコンピュータにはブラウザのベンダーからのライブラリが必要です。詳細については、「24.8 クライアントマシン用のキーアクセスライブラリ」を参照してください。

24.3.4 LDAP ディレクトリでの公開鍵の公開

すべての公開鍵および証明書は、Sun Java System Directory Server によってアクセス可能な、LDAP ディレクトリに保存する必要もあります。この行為は、S/MIME メッセージを作成するほかのメールユーザーが利用できるようにするための、公開鍵の公開と呼ばれます。

送信者および受信者の公開鍵は、暗号化されたメッセージの暗号化および復号化の処理で使用されます。公開鍵の証明書は、デジタル署名に使用された非公開鍵の検証に使用されます。

公開鍵および証明書を公開するために ldapmodify を使用する方法については、「24.11 証明書を管理する」を参照してください。

24.3.5 メールユーザーに S/MIME の使用を許可する

署名付きまたは暗号化されたメッセージを作成するには、正当な Communications Express メールユーザーが作成許可を持っている必要があります。このためには、ユーザーの LDAP エントリに mailAllowedServiceAccess または mailDomainAllowedServiceAccess LDAP 属性を使用します。これらの属性を使用して、個人またはドメインベースでメールユーザーに S/MIME の使用を許可または拒否できます。

詳細については、「24.10 S/MIME 機能の使用を許可する」を参照してください。

24.3.6 複数言語のサポート

メールメッセージに英語のみを使用する Communications Express メールユーザーは、中国語など Latin 以外の言語の文字を含む S/MIME メッセージを読めない場合があります。この理由の 1 つは、そのユーザーのマシンにインストールされた Java 2 Runtime Environment (JRE) には /lib ディレクトリに charsets.jar ファイルがないためです。

デフォルトの JRE インストールプロセスを使用して英語版の JRE をダウンロードした場合、charsets.jar ファイルはインストールされません。ただし、デフォルトインストールのすべてのその他の言語を選択した場合は、charsets.jar がインストールされます。

charsets.jar ファイルが /lib ディレクトリにインストールされるようにするには、カスタムインストールを使用して JRE の英語版をインストールするようにユーザーに警告します。インストールプロセス時に、ユーザーはその他の言語のサポートオプションを選択する必要があります。