使用证书访问 LDAP 中的公共密钥、CA 证书和 CRL

S/MIME 所需的公共密钥、CA 证书和 CRL 可能存储在 LDAP 目录中（请参见上一节）。可以通过单个 URL 或多个 URL 访问 LDAP 中的密钥、证书和 CRL。例如，CRL 可能存储在某个 URL 中，而公共密钥和证书则存储在另一个 URL 中。Messaging Server 允许您指定哪个 URL 包含所需的 CRL 或证书信息，以及有权访问这些 URL 的条目的 DN 和密码。这些 DN/密码凭证都是可选的；如果未指定任何一个证书，则将首先尝试使用 HTTP 服务器证书访问 LDAP；如果失败，将尝试以 anonymous 访问 LDAP。

要访问所需的 URL，需要设置两对 smime.conf 凭证参数：logindn 和 loginpw，以及 crlurllogindn 和 crlurlloginpw。

在 smime.conf 中，logindn 和 loginpw 是用于所有 URL 的凭证。它们指定对公共密钥、公共密钥的证书和 CA 证书具有读权限的 LDAP 条目的 DN 和密码。这些密钥、密钥证书和 CA 证书由 certurl 和 trustedurl 参数指定。

crlurllogindn 和 crlurlloginpw 指定对映射表中的结果 URL 具有读权限的 LDAP 条目的 DN 和密码（有关更多信息，请参见访问 CRL）。如果这些证书未被接受，将拒绝 LDAP 访问并且不再尝试其他证书。要么同时指定这两个参数，要么两者都保留为空。这些参数不适用于直接来自证书的 URL。

设置特定 URL 的密码

Messaging Server 允许对 DN/密码对进行专门定义，以访问以下 smime.conf URL：certUrl、trustedUrl、crlmappingUrl、sslrootcacertsUrl。

语法如下：

url_type URL[ |URL_DN | URL_password]

示例：

trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, 
o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | 
cn=Directory manager | boomshakalaka

LDAP 证书用法总结

本节总结了 LDAP 证书的用法。

• 所有 LDAP 凭证都是可选的；如果未指定任何一个凭证，将首先尝试使用 HTTP 服务器证书访问 LDAP；如果失败，将尝试以 anonymous 访问 LDAP。

  可以将以下两对 smime.conf 参数用作指定的两组 URL 的证书：

  logindn 和 loginpw—smime.conf 中的所有 URL

  crlurllogindn 和 crlurlloginpw—映射表中的所有 URL

  它们都是默认的 LDAP 证书对。

• 可以为 smime.conf 中指定的或通过映射 CRL URL 而得到的任何 URL 指定可选的本地 LDAP 凭证对。

• 将按照指定证书时的顺序来检查每个证书：

  1) 本地 LDAP 证书对—如果指定，则只进行一次尝试

  2) 默认 LDAP 证书对—如果指定并且没有本地 LDAP 证书对，则只进行一次尝试

  3) 服务器—如果既没有指定本地 LDAP 证书对也没有指定默认 LDAP 证书对，则首先尝试服务器

  4) anonymous—仅在服务器失败或没有指定任何证书的情况下才尝试使用 anonymous

• 如果为 URL 指定了本地 LDAP 证书对，则首先使用该证书对；如果访问失败，将拒绝访问。

• 如果没有为 URL 指定本地 LDAP 证书对，则使用对应的默认 LDAP 证书对；如果访问失败，将拒绝访问。