test

Sun Java System Messaging Server 6 2005Q4 管理ガイド

基本的な S/MIME の設定

S/MIME の設定ファイルの smime.conf には、各パラメータの説明と例が含まれています。smime.conf ファイルは Messaging Server とともに組み込まれ、msg-svr-base /config/ ディレクトリに存在します。この msg-svr-base は、Messaging Server がインストールされるディレクトリです。

次の手順は、S/MIME の機能を設定するために最小限必要な手順です。

ProcedureS/MIME を設定するには

手順

  1. Messaging Server のインストール後、Communications Express メールの基本的な機能が有効であることを確認します。

  2. まだの場合は、S/MIME の機能を使用することを許可されているすべてのメールユーザーのために、標準の X.509 v3 形式の証明書付きの非公開鍵と公開鍵のペアを作成または入手します。

  3. スマートカードをキーおよび証明書に使用する場合は、次のようにします。

    1. スマートカードをメールユーザーに配布します。

    2. Communications Express メールがアクセスされる、各クライアントマシンにスマートカードの読み取り装置とソフトウェアが適切にインストールされているようにします。

  4. ブラウザのローカルキーストアを使用してキーおよび証明書を保存する場合は、キーのペアと証明書をローカルキーストアにダウンロードする方法をメールユーザーに指示します。

  5. スマートカードまたはローカルキーストアをサポートするための正しいライブラリがクライアントマシンに存在するようにします。詳細については、「クライアントマシン用のキーアクセスライブラリ」を参照してください。

  6. S/MIME をサポートするように LDAP ディレクトリを設定します。

    1. Directory Server によってアクセス可能な LDAP ディレクトリに CA のすべての証明書を、認証局の識別名で保存します。これらの証明書の LDAP 属性は、cacertificate;binary です。公開キーと証明書を保存するディレクトリの情報を書き留めます。この手順のあとのほうでこの情報が必要になります。

      LDAP ディレクトリ情報の指定例については表 20–3 の「trustedurl」を、LDAP ディレクトリの検索については 「証明書の管理」を参照してください。

    2. Directory Server によってアクセス可能な LDAP ディレクトリに公開キーと証明書を保存します。公開キーと証明書の LDAP 属性は、usercertificate;binary です。公開キーと証明書を保存するディレクトリの情報を書き留めます。この手順のあとのほうでこの情報が必要になります。

      LDAP ディレクトリ情報の指定例については表 20–3 の「certurl」を、LDAP ディレクトリの検索については 「証明書の管理」を参照してください。

    3. S/MIME メッセージを送受信するすべてのユーザーは、ユーザーエントリで LDAP フィルタにより S/MIME を使用することを許可されるようにします。mailAllowedServiceAccess または mailDomainAllowedServiceAccess LDAP 属性でフィルタを定義します。

      注: デフォルトでは、mailAllowedServiceAccess または mailDomainAllowedServiceAccess を使用しない場合、smime を含むすべてのサービスが利用可能です。これらの属性でサービスを明示的に指定する場合は、サービスの http および smtp、また smime を指定して、メールユーザーに S/MIME 機能を使用する許可を与える必要があります。

      詳細については、「S/MIME 機能の使用を許可する」を参照してください。

  7. 使用可能なテキストエディタで smime.conf ファイルを編集します。パラメータの構文についてはファイルの始めにあるコメントを参照してください。

    smime.conf 内のすべてのテキストおよび例のパラメータの前には、コメント文字 (#) がついています。必要なパラメータを smime.conf に追加するか、パラメータの例をファイルの別の部分にコピーしてその値を変更できます。例をコピーして編集する場合は、その行の先頭の # 文字を必ず削除してください。

    次のパラメータをファイルに追加する場合、各パラメータを別々の行に追加します。

    1. trustedurl (表 20–3 を参照) -- CA の証明書の場所を特定するための LDAP ディレクトリ情報を設定します。手順 a で書き留めておいた情報を使用します。

    2. certurl (表 20–3) -- 公開キーと証明書の場所を特定するための LDAP ディレクトリ情報を設定します。手順 b で書き留めておいた情報を使用します。

    3. usersertfilter (表 20–3 を参照) -- smime.conf ファイルに含まれる例の値を設定します。例の値は、ほとんどの場合、必要なフィルタです。例をコピーし、行の先頭の # 文字を削除します。

      このパラメータは、Communications Express メールユーザーのプライマリ、代替、および同等の電子メールアドレスのフィルタ定義を指定し、キーのペアが異なるメールアドレスに割り当てられるときにユーザーの非公開キーと公開キーのペアのすべてが見つかるようにします。

    4. sslrootcacertsurl (表 20–3 を参照) -- S/MIME アプレットと Messaging Server 間の通信リンクに SSL を使用する場合、sslrootcacertsurl に Messaging Server の SSL 証明書の確認に使用する CA の証明書の場所を特定するための LDAP ディレクトリ情報を設定します。詳細については、「SSL でインターネットリンクを保護する」を参照してください。

      checkoverssl (表 20–3 を参照) -- S/MIME アプレットと Messaging Server 間の通信リンクに SSL を使用しない場合は、0 に設定します。

    5. crlenable (表 20–3 を参照) -- CRL チェックを行うと、smime.conf ファイルにほかのパラメータを追加する必要がある場合があるため、一時的に CRL チェックを無効にするには 0 に設定します。

    6. logindn および loginpw (表 20–3) -- 公開キーと CA 証明書が含まれる LDAP ディレクトリにアクセスするための認証が必要な場合は、これらのパラメータには読み取り権限を持つ LDAP エントリの識別名とパスワードを設定します。

      注: crlmappingurlsslrootcacertsurl、または trustedurl パラメータによって指定された LDAP 情報で LDAP ディレクトリがアクセスされるたびに、logindn および loginpw の値が使用されます。詳細については、「smime.conf ファイルのパラメータ」および 「公開キー、CA 証明書、および CRL にアクセスするための、資格情報を使用した LDAP へのアクセス」を参照してください。

      認証で LDAP ディレクトリにアクセスする必要がない場合は、logindn および loginpw を設定してはなりません。

  8. 次のように configutil で Messaging Server オプションを設定します。

    1. local.webmail.smime.enable -- 1 に設定します。

    2. local.webmail.cert.enable -- 証明書を CRL でチェックする場合は、1 に設定します。

      詳細については、「Messaging Server オプション」を参照してください。

  9. これで Communications Express メールが S/MIME 機能対応に設定されました。次の手順に従って S/MIME 機能が有効であることを確認します。

    1. Messaging Server を再起動します。

    2. S/MIME に関連する診断メッセージを、Messaging Server ログファイルの msg-svr-base/log/http で確認します。

    3. S/MIME の問題が検出された場合は、設定パラメータでどのように問題を修正すべきか判断するのに診断メッセージが役立ちます。

    4. 必要な設定パラメータを訂正します。

    5. Messaging Server のログファイルに S/MIME の診断メッセージがなくなるまで手順 a. 〜 d. を繰り返します。

    6. 次の手順に従って S/MIME 機能が有効であることを確認します。

      1. クライアントマシンから Messaging Server にログインします。S/MIME アプレット用の特別なプロンプトに対して「はい」または「常に」で答えます。詳細については、「証明書の管理」を参照してください。

      2. 自分宛の短いメッセージを作成します。

      3. 「作成」ウィンドウの下部の「暗号化」チェックボックスのチェックマークがまだ付いていない場合は付けて、メッセージを暗号化します。

      4. 「送信」をクリックして、暗号化したメッセージを自分自身に送信します。これは、キーおよび証明書のほとんどのメカニズムを実際に使用します。

      5. 暗号化されたメッセージの問題が検出された場合、もっともよくある原因は smime.conf ファイル内の LDAP ディレクトリに使用した値や LDAP ディレクトリへのキーおよび証明書の保存方法に関するものです。診断メッセージの詳細については、Messaging Server ログを確認してください。

        次の表に要約された残りの S/MIME パラメータは、S/MIME 環境をさらに設定するために使用できる多くのオプションを提供します。パラメータについては、「smime.conf ファイルのパラメータ」を参照してください。

        S/MIME の必須パラメータ 

        スマートカードおよびローカルキーストアのパラメータ 

        CRL チェックのパラメータ 

        初期設定とセキュリティー保護されたリンクのパラメータ 

        certurl* 

        platformwin 

        checkoverssl 

        alwaysencrypt 

        logindn 

        		 

        crlaccessfail 

        alwayssign 

        loginpw 

        		 

        crldir 

        sslrootcacertsurl 

        trustedurl* 

        		 

        crlenable 

        		 

        usercertfilter* 

        		 

        crlmappingurl 

        		 
           

        crlurllogindn 

        		 
           

        crlurlloginpw 

        		 
           

        crlusepastnextupdate 

        		 
           

        readsigncert 

        		 
           

        revocationunknown 

        		 
           

        sendencryptcert 

        		 
           

        sendencryptcertrevoked 

        		 
           

        readsigncert 

        		 
           

        sendsigncertrevoked 

        		 
           

        timestampdelta 

        		 

        * これらのパラメータにはデフォルト値がないので、値を指定する必要があります。