Messaging Server 설치 후 시작

이 절에서는 S/MIME 애플릿이란 무엇이며 Communications Express Mail의 S/MIME 을 설정하는 기본 구성 절차에 대해 설명합니다. 구성 프로세스에는 S/MIME 애플릿의 매개 변수와 Messaging Server의 옵션을 설정하는 작업이 포함됩니다.

S/MIME 애플릿

개인 및 공개 키를 확인하는 여러 절차와 함께 메일에 서명하거나, 메일을 암호화하거나, 메일을 해독하는 프로세스는 S/MIME 애플릿이라고 부르는 특수한 애플릿에 의해 처리 됩니다. S/MIME 기능을 구성하려면 smime.conf 파일의 매개 변수와 Messaging Server 옵션을 사용합니다. 그림 20–1에서는 S/MIME 애플릿과 다른 시스템 구성 요소와의 관계를 보여 줍니다.

그림 20–1 S/MIME 애플릿

처음으로 로그인

S/MIME을 사용할 수 있는 권한을 가진 Communications Express Mail 사용자가 Messaging Server에 처음 로그인하면 S/MIME 애플릿에 대한 일련의 특수한 프롬프트 가 표시됩니다. 프롬프트에서 Yes 또는 Always를 선택하면 S/MIME 애플릿이 사용자의 컴퓨터에 다운로드됩니다. 사용자가 Communications Express Mail을 로그아웃할 때까지 S/MIME 애플릿이 컴퓨터에 남아 있습니다.

자세한 내용은 인증서 관리를 참조하십시오.

S/MIME 애플릿 다운로드

사용자 컴퓨터에서 JRE(Java 2 Runtime Environment)에 대한 캐싱이 활성화되어 있지 않은 경우 사용자가 Communications Express Mail에 로그인할 때마다 S/MIME 애플릿이 다운로드됩니다. 캐싱이 활성화되면 초기 다운로드 후에 S/MIME 애플릿의 복사본이 사용자의 시스템에 저장되므로 사용자가 로그인할 때마다 애플릿이 다운로드되지 않습니다.

캐싱은 성능을 향상시키므로 사용자에게 Java 2 Runtime Environment 버전 1.4.x에 대한 캐싱을 활성화하는 다음 단계를 수행하도록 지시할 수 있습니다.

Java 2 Runtime Environment, 버전 1.4에 대한 캐싱을 활성화하는 방법

단계

1. Windows 제어판으로 이동합니다.

2. Java 플러그인 아이콘(Java 2 Runtime Environment)을 두 번 누릅니다.

3. 캐시 탭을 누릅니다.

4. 캐싱 사용 확인란을 선택합니다.

5. 적용을 누릅니다.

   S/MIME 애플릿이 다운로드된 후에도 사용자는 이 애플릿을 인식하지 못합니다. 이 애플릿에는 Communications Express Mail에서 메일 서명, 암호화 또는 해독을 수행한다는 것이 표시됩니다. 또한 사용자는 오류 메시지가 나타나지 않는 한 개인 또는 공개 키 확인 프로세스를 인식하지 못합니다. 자세한 내용은 개인 및 공개 키 확인을 참조하십시오.

기본 S/MIME 구성

S/MIME의 구성 파일인 smime.conf에는 각 S/MIME 매개 변수에 대한 설명 주석과 예가 들어 있습니다. smime.conf 파일은 Messaging Server의 msg-svr-base/config/ 디렉토리에 있습니다. 여기서 msg-svr-base는 Messaging Server가 설치된 디렉토리입니다.

다음 절차에는 S/MIME 기능을 구성하는 데 필요한 최소한의 단계가 포함되어 있습니다.

S/MIME 구성 방법

단계

1. Messaging Server를 설치한 후 Communications Express Mail의 기본 기능이 작동 하고 있는지 확인합니다.

2. 아직 없는 경우, S/MIME 기능을 사용할 권한이 있는 모든 메일 사용자에 대해 표준 X.509 v3 형식의 인증서와 함께 개인 공개 키 쌍을 만들거나 얻습니다.

3. 키와 인증서를 위해 스마트 카드를 사용할 경우

   1. 스마트 카드를 메일 사용자에게 배포합니다.

   2. Communications Express Mail에 액세스하는 각 클라이언트 시스템에 스마트 카드 판독 장치와 소프트웨어를 올바로 설치합니다.

4. 브라우저의 로컬 키 저장소를 사용하여 키와 인증서를 저장할 경우 키 쌍과 인증서를 로컬 키 저장소에 다운로드하는 방법을 메일 사용자에게 알려줍니다.

5. 스마트 카드나 로컬 키 저장소를 지원하려면 올바른 라이브러리가 클라이언트 시스 템에 있어야 합니다. 클라이언트 시스템의 키 액세스 라이브러리를 참조하십시오.

6. S/MIME을 지원하도록 LDAP 디렉토리를 설정합니다.

   1. CA의 모든 인증서를 인증 기관의 고유 이름을 사용하여 Directory Server가 액세스할 수 있는 LDAP 디렉토리에 저장합니다. 이러한 인증서의 LDAP 속성은 cacertificate;binary입니다. 인증서를 저장한 디렉토리 정보를 기록해 둡니다. 이후의 단계에서 이 정보가 필요합니다.

      LDAP 디렉토리 정보를 지정하는 예는 표 20–3의 trustedurl을, LDAP 디렉토리 검색에 대한 자세한 내용은 인증서 관리를 참조하십시오.

   2. Directory Server가 액세스할 수 있는 LDAP 디렉토리에 공개 키와 인증서를 저장합니다. 공개 키와 인증서에 대한 LDAP 속성은 usercertificate;binary입니다. 인증서를 저장한 디렉토리 정보를 기록해 둡니다. 이후의 단계에서 이 정보가 필요합니다.

      LDAP 디렉토리 정보를 지정하는 예는 표 20–3의 certurl을, LDAP 디렉토리 검색에 대한 자세한 내용은 인증서 관리를 참조하십시오.

   3. S/MIME 메일을 주고 받는 모든 사용자에게 자신의 사용자 항목에서 LDAP 필터와 함께 S/MIME을 사용할 수 있는 권한이 주어졌는지 확인합니다. 필터는 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess LDAP 속성을 사용하여 정의합니다.

      주:기본적으로 mailAllowedServiceAccess 또는 mailDomainAllowedServiceAccess를 사용하지 않은 경우 smime를 비롯한 모든 서비스가 허용됩니다. 이러한 속성에 서비스를 명시적으로 지정할 경우 메일 사용자에게 S/MIME 기능을 사용할 수 있는 권한을 제공하려면 smime뿐만 아니라 http 및 smtp 서비스도 지정해야 합니다.

      자세한 내용은 S/MIME 기능을 사용할 수 있는 권한 부여를 참조하십시오.

7. 사용 가능한 텍스트 편집기를 사용하여 smime.conf 파일을 편집합니다. 매개 변수 구문은 이 파일의 시작 부분에 있는 주석을 참조하십시오.

   smime.conf의 모든 텍스트와 매개 변수 예는 주석 문자(#)로 시작됩니다. 필요한 매개 변수를 smime.conf에 추가하거나 매개 변수 예를 파일의 다른 부분에 복사하고 해당 값을 변경할 수 있습니다. 예를 복사하여 편집할 경우 행의 시작 부분에 있는 # 문자를 제거해야 합니다.

   다음 매개 변수를 각각 하나의 행으로 파일에 추가합니다.

   1. trustedurl(표 20–3 참조) - CA의 인증서를 찾기 위한 LDAP 디렉토리 정보로 설정합니다. 단계 a에서 저장한 정보를 사용합니다.

   2. certurl(표 20–3) -- 공개 키와 인증서를 찾기 위한 LDAP 디렉토리 정보로 설정합니다. 단계 b에서 저장한 정보를 사용합니다.

   3. usersertfilter(표 20–3 참조) -- smime.conf 파일의 값 예로 설정합니다. 대부분의 경우 값 예를 사용하면 됩니다. 예를 복사하고 행의 시작 부분에서 # 문자를 삭제합니다.

      이 매개 변수는 키 쌍을 다른 메일 주소에 할당할 때 사용자의 모든 개인 공개 키 쌍을 찾을 수 있도록 Communications Express Mail 사용자의 주, 대체 및 이와 동일한 전자 메일 주소에 대한 필터 정의를 지정합니다.

   4. sslrootcacertsurl(표 20–3 참조) -- S/MIME 애플릿과 Messaging Server 사이의 통신 연결에 SSL을 사용하는 경우 Messaging Server의 SSL 인증서를 확인하는 데 사용되는 CA의 인증서를 찾기 위해 LDAP 디렉토리 정보와 함께 sslrootcacertsurl을 설정합니다. 자세한 내용은 SSL을 사용하여 인터넷 연결 보안을 참조하십시오.

      checkoverssl(표 20–3 참조) -- S/MIME 애플릿과 Messaging Server 사이의 통신 연결에 SSL을 사용하지 않을 경우 0으로 설정합니다.

   5. crlenable(표 20–3 참조) -- CRL 확인을 수행하려면 smime.conf 파일에 다른 매개 변수를 추가해야 하므로 지금은 0으로 설정하여 CRL 확인을 비활성화합니다.

   6. logindn 및 loginpw(표 20–3 참조) -- 공개 키 및 CA 인증서가 포함된 LDAP 디렉토리에 액세스하기 위해 인증이 필요한 경우 이러한 매개 변수를 읽기 권한을 가진 LDAP 항목의 고유 이름과 비밀번호로 설정합니다.

      주:crlmappingurl, sslrootcacertsurl 또는 trustedurl 매개 변수에 지정된 LDAP 정보를 사용하여 LDAP 디렉토리에 액세스할 때마다 logindn 및 loginpw의 값이 사용됩니다. 자세한 내용은 smime.conf 파일의 매개 변수 및 자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스를 참조하십시오.

      LDAP 디렉토리에 액세스하는 데 인증이 필요하지 않은 경우 logindn 및 loginpw를 설정하지 마십시오.

8. configutil을 사용하여 Messaging Server 옵션을 설정합니다.

   1. local.webmail.smime.enable -- 1로 설정합니다.

   2. local.webmail.cert.enable -- CRL에 대해 인증서를 확인하려는 경우 1로 설정합니다.

      자세한 내용은 Messaging Server 옵션을 참조하십시오.

9. 이제 Communications Express Mail이 S/MIME 기능을 사용하도록 구성되었습니다. 다음 단계를 수행하여 S/MIME 기능이 작동하는지 확인합니다.

   1. Messaging Server를 다시 시작합니다.

   2. Messaging Server 로그 파일 msg-svr-base /log/http에서 S/MIME과 관련된 진단 메시지를 확인합니다.

   3. S/MIME에 대한 문제가 감지된 경우 진단 메시지를 통해 구성 매개 변수의 문제를 수정하는 방법을 확인할 수 있습니다.

   4. 필요한 구성 매개 변수를 수정합니다.

   5. Messaging Server의 로그 파일에 S/MIME에 대한 진단 메시지가 더 이상 존재하지 않을 때까지 단계 a - d까지 반복합니다.

   6. 다음 단계를 수행하여 S/MIME 기능이 작동하는지 확인합니다.

      1. 클라이언트 시스템에서 Messaging Server에 로그인합니다. S/MIME 애플릿에 대한 특수 프롬프트에 Yes 또는 Always로 대답합니다. 인증서 관리를 참조하십시오.

      2. 자신에게 보내는 짧은 메일을 작성합니다.

      3. 작성 창의 맨 아래에서 암호화 확인란을 선택하여(선택되어 있지 않은 경우) 메일을 암호화합니다.

      4. 보내기를 눌러 암호화된 메일을 자신에게 보냅니다. 이때 키와 인증서 기법이 대부분 작동해야 합니다.

      5. 암호화된 메일에 문제가 있을 경우 대개 smime.conf 파일의 LDAP 디렉토리 정보에 사용한 값이나 LDAP 디렉토리에 키와 인증서가 저장된 방법에 문제의 원인이 있을 수 있습니다. Messaging Server 로그에서 추가 진단 메시지를 확인합니다.

         아래 표에 요약되어 있는 나머지 S/MIME 매개 변수는 S/MIME 환경을 추가로 구성하는 데 사용할 수 있는 여러 옵션을 제공합니다. 매개 변수에 대한 자세한 내용은 smime.conf 파일의 매개 변수를 참조하십시오.

         S/MIME의 필수 매개 변수	스마트 카드 및 로컬 키 저장소를 위한 매개 변수	CRL 확인을 위한 매개 변수	초기 설정 및 보안 연결을 위한 매개 변수
         certurl*	-p pattern	checkoverssl	alwaysencrypt
         logindn		crlaccessfail	alwayssign
         loginpw		crldir	sslrootcacertsurl
         trustedurl*		crlenable
         usercertfilter*		crlmappingurl
         		crlurllogindn
         		crlurlloginpw
         		crlusepastnextupdate
         		readsigncert
         		revocationunknown
         		sendencryptcert
         		sendencryptcertrevoked
         		readsigncert
         		sendsigncertrevoked
         		timestampdelta

         * 이러한 매개 변수에는 기본값이 없기 때문에 값을 지정해야 합니다.

자격 증명을 사용하여 LDAP에서 공개 키, CA 인증서 및 CRL 액세스

S/MIME에 필요한 공개 키, CA 인증서 및 CRL을 LDAP 디렉토리에 저장할 수 있습니다(앞의 절 참조). 키, 인증서 및 CRL은 LDAP의 단일 URL 또는 여러 URL에서 액세스할 수 있습니다. 예를 들어, CRL을 하나의 URL에 저장하고 공개 키와 인증서를 다른 URL에 저장할 수 있습니다. Messaging Server에서는 원하는 CRL이나 인증서 정보를 포함하는 URL과 이러한 URL에 액세스할 수 있는 항목의 DN 및 비밀번호를 지정할 수 있습니다. 이러한 DN/비밀번호 자격 증명은 선택 사항입니다. 아무 것도 지정하지 않을 경우 먼저 HTTP 서버 자격 증명으로 LDAP 액세스를 시도하고 이것이 실패할 경우 anonymous로 액세스를 시도합니다.

두 쌍의 smime.conf 자격 증명 매개 변수, 즉 logindn 및 loginpw와 crlurllogindn 및 crlurlloginpw를 설정하여 원하는 URL에 액세스할 수 있습니다.

logindn 및 loginpw는 smime.conf의 모든 URL에 사용되는 자격 증명입니다. 이러한 매개 변수는 certurl 및 trustedurl 매개 변수에 지정된 공개 키, 해당 인증서 및 CA 인증서에 대한 읽기 권한이 있는 LDAP 항목의 DN과 비밀번호를 지정합니다.

crlurllogindn 및 crlurlloginpw는 매핑 테이블의 결과 URL에 대한 읽기 권한이 있는 LDAP 항목의 DN과 비밀번호를 지정합니다(자세한 내용은 CRL 액세스 참조). 이러한 자격 증명이 허용되지 않을 경우 LDAP 액세스가 거부되며 다른 자격 증명으로 다시 시도되지 않습니다. 두 매개 변수를 모두 지정하거나 둘 다 비워두어야 합니다. 이러한 매개 변수는 인증서로부터 직접 가져온 URL에는 적용되지 않습니다.

특정 URL의 비밀번호 설정

Messaging Server에서는 다음과 같은 smime.conf에 액세스하기 위한 DN/비밀번호 쌍을 명시적으로 정의할 수 있습니다. certUrl, trustedUrl, crlmappingUrl, sslrootcacertsUrl.

구문은 다음과 같습니다.

url_type URL[ |URL_DN | URL_password]

예:

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, 
o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | 
cn=Directory manager | boomshakalaka

LDAP 자격 증명 사용 요약

이 절에서는 LDAP 자격 증명의 사용에 대해 요약합니다.

• 모든 LDAP 자격 증명은 선택 사항입니다. 아무 것도 지정하지 않을 경우 먼저 HTTP 서버 자격 증명으로 LDAP 액세스를 시도하고 이것이 실패할 경우 anonymous 액세스를 시도합니다.

  두 쌍의 smime.conf 매개 변수를 지정할 수 있는 두 개의 URL 집합에 대한 자격 증명으로 사용합니다.

  logindn 및 loginpw - smime.conf의 모든 URL

  crlurllogindn 및 crlurlloginpw - 매핑 테이블의 모든 URL

  이것들을 기본 LDAP 자격 증명 쌍이라고 합니다.

• smime.conf 또는 매핑 CRL URL을 통해 지정된 모든 URL에 선택적 로컬 LDAP 자격 증명 쌍을 지정할 수 있습니다.

• 자격 증명은 지정된 순서대로 확인됩니다.

  로컬 LDAP 자격 증명 쌍 - 지정된 경우 한 번만 시도됩니다.

  기본 LDAP 자격 증명 쌍 - 지정된 경우 로컬 LDAP 자격 증명 쌍이 없으면 한 번만 시도됩니다.

  서버 - 로컬 LDAP 자격 증명 쌍과 기본 LDAP 자격 증명 쌍이 모두 지정되지 않은 경우 처음으로 시도됩니다.

  4) anonymous - 서버가 실패하거나 아무 것도 지정하지 않은 경우에만 마지막에 시도됩니다.

• URL에 로컬 LDAP 자격 증명 쌍이 지정된 경우 이 자격 증명 쌍이 처음에 사용됩니다. 액세스에 실패하면 액세스가 거부됩니다.

• URL에 로컬 LDAP 자격 증명 쌍이 지정되지 않은 경우 해당하는 기본 LDAP 자격 증명 쌍이 사용됩니다. 액세스에 실패하면 액세스가 거부됩니다.