S/MIME 所需的公開金鑰、CA 憑證和 CRL 可能儲存在 LDAP 目錄中 (請參閱前一小節)。可以從 LDAP 的單一 URL 或多個 URL 中存取金鑰、憑證和 CRL。例如,CRL 可能儲存在某個 URL 中,而公開金鑰和憑證可能儲存在其他 URL 中。Messaging Server 可讓您指定哪個 URL 包含所需的 CRL 或憑證資訊,以及對這些 URL 擁有存取權限的項目之 DN 和密碼。這些 DN/密碼憑證是可選擇的;如果均未指定,LDAP 存取會首先嘗試 HTTP 伺服器憑證,如果失敗,會嘗試 anonymous 存取。
可以設定兩對 smime.conf 憑證參數以存取所需的 URL︰logindn 與 loginpw 以及 crlurllogindn 與 crlurlloginpw。
logindn 和 loginpw 為用於 smime.conf 中所有 URL 的憑證。它們指定對由 certurl 和 trustedurl 參數指定的公開金鑰、其憑證以及 CA 憑證擁有讀取權限的 LDAP 項目之 DN 和密碼。
crlurllogindn 和 crlurlloginpw 指定對對映表 (請參閱存取 CRL,以取得更多資訊) 的結果 URL 擁有讀取權限的 LDAP 項目之 DN 和密碼。如果這些憑證不被接受,則 LDAP 存取會被拒絕,並且不再嘗試重試具有其他憑證的項目。必須同時指定這兩個參數,或者均為空缺。這些參數不適用於直接來自憑證的 URL。
Messaging Server 可讓您具體定義 DN/密碼對,以存取以下 smime.conf URL︰certUrl、trustedUrl、crlmappingUrl 和 sslrootcacertsUrl。
語法如下:
url_type URL[ |URL_DN | URL_password]
範例:
trustedurl==ldap://mail.siroe.com:389/cn=Directory Manager, ou=people, o=siroe.com,o=ugroot?cacertificate?sub?(objectclass=certificationauthority) | cn=Directory manager | boomshakalaka |
本小節概述 LDAP 憑證的使用。
所有 LDAP 憑證均是可選擇的;如果均未指定,LDAP 存取首先嘗試 HTTP 伺服器憑證,如果失敗,會嘗試 anonymous。
兩對 smime.conf 參數用作兩組可以被指定 URL 的憑證︰
logindn 和 loginpw - smime.conf 中的所有 URL。
crlurllogindn 和 crlurlloginpw - 對映表中的所有 URL
這些稱為預設 LDAP 憑證對。
在 smime.conf 中或透過對映 CRL URL 指定的所有 URL 均可具有指定的可選擇本機 LDAP 憑證對。
按照指定憑證的順序檢查憑證︰
1) 本機 LDAP 憑證對 - 如果指定,則僅嘗試一個
2) 預設 LDAP 憑證對 - 如果指定且無本機憑證對,則僅嘗試一個
3) 伺服器 - 如果未指定本機 LDAP 憑證對和預設 LDAP 憑證對,則首先嘗試
4) anonymous - 僅在伺服器失敗或未指定任何憑證時進行的最後嘗試
如果 URL 具有指定的本機 LDAP 憑證對,則首先使用該憑證對;如果該存取失敗,則會拒絕存取。
如果 URL 無指定的本機 LDAP 憑證對,則使用相應的預設 LDAP 憑證對;如果該存取失敗,則拒絕存取。