この節では、S/MIME アプレットについて説明し、Communications Express メール用に S/MIME を設定するための基本設定手順を示します。設定手順では、S/MIME アプレットのパラメータと Messaging Server のオプションを設定します。
メッセージの署名、メッセージの暗号化、またはメッセージの復号化の処理は、非公開キーおよび公開キーの確認のためのさまざまな処理とともに、S/MIME アプレットと呼ばれる特別なアプレットで処理されます。S/MIME 機能の設定は、smime.conf ファイルに含まれるパラメータと Messaging Server のオプションを使って行います。図 20–1 に、S/MIME アプレットとほかのシステムコンポーネントとの関係を示します。
S/MIME の使用を許可された Communications Express メールユーザーが初めて Messaging Server にログインするときには、S/MIME アプレットについての一連の特別なプロンプトが表示されます。プロンプトに対して「はい」または「常に」で答えると、S/MIME アプレットがコンピュータにダウンロードされます。アプレットは、ユーザーが Communications Express メールからログアウトするまでマシンに残ります。
詳細については、「証明書の管理」を参照してください。
ユーザーのマシンで Java 2 Runtime Environment (JRE) に対してキャッシングが有効になっていない限り、ユーザーが Communications Express メールにログインするたびに S/MIME アプレットがダウンロードされます。キャッシングが有効な場合、初期のダウンロード後にユーザーのマシンに S/MIME アプレットのコピーが保存されるので、ユーザーがログインするたびに S/MIME アプレットをダウンロードしなくてすむようになります。
キャッシングはパフォーマンスを向上させるので、Java 2 Runtime Environment、バージョン 1.4.x のキャッシングを有効にするため、次の手順を実行するようにユーザーに指示できます。
Microsoft Windows の「コントロールパネル」に移動します。
Java Plug-in アイコン (Java 2 Runtime Environment) をダブルクリックします。
「キャッシュ」タブをクリックします。
「キャッシュを有効」チェックボックスにチェックマークを付けます。
「適用」をクリックします。
ダウンロード後は、ユーザーは S/MIME アプレットを意識することはありません。メッセージの署名、暗号化、または復号化は、Communications Express メールによって行われるようにみえます。エラーメッセージがポップアップ表示されないかぎり、ユーザーは非公開キーまたは公開キーを確認するプロセスにも気がつきません。詳細については、「非公開キーと公開キーの確認」を参照してください。
S/MIME の設定ファイルの smime.conf には、各パラメータの説明と例が含まれています。smime.conf ファイルは Messaging Server とともに組み込まれ、msg-svr-base /config/ ディレクトリに存在します。この msg-svr-base は、Messaging Server がインストールされるディレクトリです。
次の手順は、S/MIME の機能を設定するために最小限必要な手順です。
Messaging Server のインストール後、Communications Express メールの基本的な機能が有効であることを確認します。
まだの場合は、S/MIME の機能を使用することを許可されているすべてのメールユーザーのために、標準の X.509 v3 形式の証明書付きの非公開鍵と公開鍵のペアを作成または入手します。
スマートカードをキーおよび証明書に使用する場合は、次のようにします。
ブラウザのローカルキーストアを使用してキーおよび証明書を保存する場合は、キーのペアと証明書をローカルキーストアにダウンロードする方法をメールユーザーに指示します。
スマートカードまたはローカルキーストアをサポートするための正しいライブラリがクライアントマシンに存在するようにします。詳細については、「クライアントマシン用のキーアクセスライブラリ」を参照してください。
S/MIME をサポートするように LDAP ディレクトリを設定します。
Directory Server によってアクセス可能な LDAP ディレクトリに CA のすべての証明書を、認証局の識別名で保存します。これらの証明書の LDAP 属性は、cacertificate;binary です。公開キーと証明書を保存するディレクトリの情報を書き留めます。この手順のあとのほうでこの情報が必要になります。
LDAP ディレクトリ情報の指定例については表 20–3 の「trustedurl」を、LDAP ディレクトリの検索については 「証明書の管理」を参照してください。
Directory Server によってアクセス可能な LDAP ディレクトリに公開キーと証明書を保存します。公開キーと証明書の LDAP 属性は、usercertificate;binary です。公開キーと証明書を保存するディレクトリの情報を書き留めます。この手順のあとのほうでこの情報が必要になります。
LDAP ディレクトリ情報の指定例については表 20–3 の「certurl」を、LDAP ディレクトリの検索については 「証明書の管理」を参照してください。
S/MIME メッセージを送受信するすべてのユーザーは、ユーザーエントリで LDAP フィルタにより S/MIME を使用することを許可されるようにします。mailAllowedServiceAccess または mailDomainAllowedServiceAccess LDAP 属性でフィルタを定義します。
注: デフォルトでは、mailAllowedServiceAccess または mailDomainAllowedServiceAccess を使用しない場合、smime を含むすべてのサービスが利用可能です。これらの属性でサービスを明示的に指定する場合は、サービスの http および smtp、また smime を指定して、メールユーザーに S/MIME 機能を使用する許可を与える必要があります。
詳細については、「S/MIME 機能の使用を許可する」を参照してください。
使用可能なテキストエディタで smime.conf ファイルを編集します。パラメータの構文についてはファイルの始めにあるコメントを参照してください。
smime.conf 内のすべてのテキストおよび例のパラメータの前には、コメント文字 (#) がついています。必要なパラメータを smime.conf に追加するか、パラメータの例をファイルの別の部分にコピーしてその値を変更できます。例をコピーして編集する場合は、その行の先頭の # 文字を必ず削除してください。
次のパラメータをファイルに追加する場合、各パラメータを別々の行に追加します。
trustedurl (表 20–3 を参照) -- CA の証明書の場所を特定するための LDAP ディレクトリ情報を設定します。手順 a で書き留めておいた情報を使用します。
certurl (表 20–3) -- 公開キーと証明書の場所を特定するための LDAP ディレクトリ情報を設定します。手順 b で書き留めておいた情報を使用します。
usersertfilter (表 20–3 を参照) -- smime.conf ファイルに含まれる例の値を設定します。例の値は、ほとんどの場合、必要なフィルタです。例をコピーし、行の先頭の # 文字を削除します。
このパラメータは、Communications Express メールユーザーのプライマリ、代替、および同等の電子メールアドレスのフィルタ定義を指定し、キーのペアが異なるメールアドレスに割り当てられるときにユーザーの非公開キーと公開キーのペアのすべてが見つかるようにします。
sslrootcacertsurl (表 20–3 を参照) -- S/MIME アプレットと Messaging Server 間の通信リンクに SSL を使用する場合、sslrootcacertsurl に Messaging Server の SSL 証明書の確認に使用する CA の証明書の場所を特定するための LDAP ディレクトリ情報を設定します。詳細については、「SSL でインターネットリンクを保護する」を参照してください。
checkoverssl (表 20–3 を参照) -- S/MIME アプレットと Messaging Server 間の通信リンクに SSL を使用しない場合は、0 に設定します。
crlenable (表 20–3 を参照) -- CRL チェックを行うと、smime.conf ファイルにほかのパラメータを追加する必要がある場合があるため、一時的に CRL チェックを無効にするには 0 に設定します。
logindn および loginpw (表 20–3) -- 公開キーと CA 証明書が含まれる LDAP ディレクトリにアクセスするための認証が必要な場合は、これらのパラメータには読み取り権限を持つ LDAP エントリの識別名とパスワードを設定します。
注: crlmappingurl、sslrootcacertsurl、または trustedurl パラメータによって指定された LDAP 情報で LDAP ディレクトリがアクセスされるたびに、logindn および loginpw の値が使用されます。詳細については、「smime.conf ファイルのパラメータ」および 「公開キー、CA 証明書、および CRL にアクセスするための、資格情報を使用した LDAP へのアクセス」を参照してください。
認証で LDAP ディレクトリにアクセスする必要がない場合は、logindn および loginpw を設定してはなりません。
次のように configutil で Messaging Server オプションを設定します。
local.webmail.smime.enable -- 1 に設定します。
local.webmail.cert.enable -- 証明書を CRL でチェックする場合は、1 に設定します。
詳細については、「Messaging Server オプション」を参照してください。
これで Communications Express メールが S/MIME 機能対応に設定されました。次の手順に従って S/MIME 機能が有効であることを確認します。
Messaging Server を再起動します。
S/MIME に関連する診断メッセージを、Messaging Server ログファイルの msg-svr-base/log/http で確認します。
S/MIME の問題が検出された場合は、設定パラメータでどのように問題を修正すべきか判断するのに診断メッセージが役立ちます。
必要な設定パラメータを訂正します。
Messaging Server のログファイルに S/MIME の診断メッセージがなくなるまで手順 a. 〜 d. を繰り返します。
次の手順に従って S/MIME 機能が有効であることを確認します。
クライアントマシンから Messaging Server にログインします。S/MIME アプレット用の特別なプロンプトに対して「はい」または「常に」で答えます。詳細については、「証明書の管理」を参照してください。
自分宛の短いメッセージを作成します。
「作成」ウィンドウの下部の「暗号化」チェックボックスのチェックマークがまだ付いていない場合は付けて、メッセージを暗号化します。
「送信」をクリックして、暗号化したメッセージを自分自身に送信します。これは、キーおよび証明書のほとんどのメカニズムを実際に使用します。
暗号化されたメッセージの問題が検出された場合、もっともよくある原因は smime.conf ファイル内の LDAP ディレクトリに使用した値や LDAP ディレクトリへのキーおよび証明書の保存方法に関するものです。診断メッセージの詳細については、Messaging Server ログを確認してください。
次の表に要約された残りの S/MIME パラメータは、S/MIME 環境をさらに設定するために使用できる多くのオプションを提供します。パラメータについては、「smime.conf ファイルのパラメータ」を参照してください。
S/MIME の必須パラメータ |
スマートカードおよびローカルキーストアのパラメータ |
CRL チェックのパラメータ |
初期設定とセキュリティー保護されたリンクのパラメータ |
---|---|---|---|
certurl* |
platformwin |
checkoverssl |
alwaysencrypt |
logindn |
crlaccessfail |
alwayssign |
|
loginpw |
crldir |
sslrootcacertsurl |
|
trustedurl* |
crlenable | ||
usercertfilter* |
crlmappingurl | ||
crlurllogindn | |||
crlurlloginpw | |||
crlusepastnextupdate | |||
readsigncert | |||
revocationunknown | |||
sendencryptcert | |||
sendencryptcertrevoked | |||
readsigncert | |||
sendsigncertrevoked | |||
timestampdelta |
* これらのパラメータにはデフォルト値がないので、値を指定する必要があります。
S/MIME に必要な公開キー、CA 証明書、および CRL は、LDAP ディレクトリに保存されます (前の節を参照)。キー、証明書、および CRL には、LDAP の 1 つの URL または複数の URL からアクセスできます。たとえば、CRL を 1 つのURL に、公開キーと証明書を別の URL に保存できます。Messaging Server では、必要な CRL または証明書情報をどの URL に含めるか、またそれらの URL へアクセスできるエントリの DN およびパスワードも指定できます。それらの DN/パスワードの資格情報はオプションです。いずれも指定しない場合、LDAP はまず HTTP サーバーの資格情報でアクセスを試み、それが失敗した場合は、anonymous でのアクセスを試みます。
次の smime.conf の資格情報パラメータの 2 つのペアを設定して、必要な URL にアクセスできます。logindn と loginpw、および crlurllogindn と crlurlloginpw。
logindn と loginpw は、smime.conf に含まれるすべての URL に使用される資格情報です。certurl および trustedurl パラメータによって指定された公開キー、公開キーの証明書、および CA 証明書の読み取り権限がある LDAP エントリの DN およびパスワードを指定します。
crlurllogindn および crlurlloginpw は、マッピングテーブルから得られる URL に対する読み取り権限がある LDAP エントリの DN およびパスワードを指定します (詳細は、「CRL へのアクセス」を参照)。それらの資格情報が受け入れられない場合、LDAP アクセスは拒否され、その他の資格情報での再試行は行われません。パラメータは両方とも指定するか、または両方とも空である必要があります。これらのパラメータは、証明書から直接得られる URL には適用されません。
Messaging Server では、次の smime.conf URL にアクセスするための DN とパスワードのペアを具体的に定義することができます。certUrl、trustedUrl、crlmappingUrl、sslrootcacertsUrl。
構文は次のとおりです。
url_type URL[ |URL_DN | URL_password]
次に例を示します。
trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | cn=Directory manager | boomshakalaka |
この節では、LDAP 資格情報の使用について簡単に説明します。
すべての LDAP 資格情報はオプションです。いずれも指定しない場合、LDAP はまず HTTP サーバーの資格情報でアクセスを試み、それが失敗した場合は、anonymous でのアクセスを試みます。
次のように、指定できる 2 組の URL に対する資格情報として smime.conf パラメータの 2 つのペアが使用されます。
logindn & loginpw - smime.conf 内のすべての URL
crlurllogindn & crlurlloginpw - マッピングテーブルからのすべての URL
これらは、デフォルトの LDAP 資格情報ペアと呼ばれます。
smime.conf に、または対応する CRL URL を介して指定された URL には、オプションのローカル LDAP 資格情報ペアが指定されます。
資格情報は、それぞれ次のように指定された順序でチェックされます。
1) ローカル LDAP 資格情報ペア - 指定された場合、1 つのみが試みられます
2) デフォルトの LDAP 資格情報ペア - 指定された際に、ローカル LDAP 資格情報ペアがない場合は、1 つのみが試みられます
3) サーバー - ローカル LDAP 資格情報ペアもデフォルトの LDAP 資格情報ペアも指定されない場合、最初に試みられます
4) anonymous - サーバーに障害が発生するか、またはいずれも指定されない場合にのみ、最後に試みられます
URL にローカル LDAP 資格情報のペアが指定された場合、それがまず使用され、アクセスが失敗した場合は、アクセスが拒否されます。
URL にローカル LDAP 資格情報ペアが指定されない場合、対応するデフォルトの LDAP 資格情報ペアが使用されます。アクセスが失敗した場合は、アクセスが拒否されます。