smime.conf 檔案包括在 Messaging Server 中,位於目錄 msg-svr-base/config/ 中 (其中 msg-svr-base 是 Messaging Server 的安裝目錄)。該檔案中的所有文字和參數範例前均標有註釋字元 (#)。
可以將參數和值增加至 smime.conf 檔案,也可以編輯參數範例。如果使用範例,請將範例複製到檔案的其他部分,編輯參數值並移除行首的 # 字元。
安裝 Messaging Server 後,使用任何可用的文字編輯器編輯 smime.conf。表 20–3 中說明的參數不是大小寫相符的,且無需進行設定 (除非另有說明)。
表 20–3 smime.conf 檔案中的 S/MIME 配置參數
參數 |
用途 |
|
---|---|---|
控制是否為所有具有使用 S/MIME 許可權的 Communications Express Mail 使用者自動加密所有外寄郵件的初始設定。每個 Communications Express Mail 使用者可透過使用核取方塊 (如表 20–5 中所述) 置換其郵件的此參數值。 選擇其中一個值︰ 0 - 不加密郵件。Communications Express Mail 中的加密核取方塊顯示為未核取。這是預設。 1 - 始終加密郵件。Communications Express Mail 中的加密核取方塊顯示為核取。 範例: alwaysencrypt==1 |
||
控制是否為所有具有使用 S/MIME 許可權的 Communications Express Mail 使用者自動簽名所有外寄郵件的初始設定。每個 Communications Express Mail 使用者可透過使用核取方塊 (如表 20–5 中所述) 置換其郵件的此參數值。 選擇其中一個值︰ 0 - 不簽名郵件。Communications Express Mail 中的簽名核取方塊顯示為未核取。這是預設。 1 - 始終簽名郵件。Communications Express Mail 中的簽名核取方塊顯示為核取。 範例: alwaysensign==1 |
||
指定 LDAP 目錄資訊,以查找 Communications Express Mail 使用者的公開金鑰和憑證 (公開金鑰的 LDAP 屬性為 usercertificate;binary)。請參閱管理憑證,以取得有關憑證的更多資訊。 此參數必須指向 LDAP 目錄資訊樹狀結構 (DIT) 使用者群組中的最高節點 (此包括所有由 Messaging Server 提供服務的使用者)。這對於具有多個網域的網站尤其重要﹔辨別名稱必須為使用者群組樹狀結構 (而非包含單一網域使用者的子樹狀結構) 的根辨別名稱。 這是您必須設定的必要參數。 範例: certurl==ldap://mail.siroe.com:389/ou=people,o=siroe.com,o=ugroot |
||
控制在對照 CRL 檢查金鑰憑證時是否使用 SSL 通訊連結。請參閱使用 SSL 保護網際網路連結,以取得更多資訊。 選擇其中一個值︰ 0 - 不使用 SSL 通訊連結。 1 - 使用 SSL 通訊連結。這是預設。 執行 CRL 檢查時使用代理伺服器可能會發生問題。請參閱代理伺服器和 CRL 檢查 |
||
crlaccessfail |
指定 Messaging Server 多次嘗試但未能存取 CRL 後再次嘗試的等待時間。此參數無預設值。 語法︰ crlaccessfail==number_of_failures :time_period_for_failures: wait_time_before_retry 其中: number_of_failures 是 Messaging Server 在由 time_period_for_failures 指定的時間間隔期間存取 CRL 失敗的次數。該值必須大於零。 time_period_for_failures 是 Messaging Server 計算嘗試存取 CRL 失敗的秒數。此值必須大於零。 wait_time_before_retry 是偵測到指定的時間間隔內嘗試失敗的限制之後、再次嘗試存取 CRL 之前,Messaging Server 等待的秒數。此值必須大於零。 範例: crlaccessfail==10:60:300 在此範例中,Messaging Server 在一分鐘之內存取 CRL 失敗 10 次。然後在再次嘗試存取 CRL 之前等待了 5 分鐘。請參閱存取 CRL 的疑難 |
|
指定 Messaging Server 將 CRL 下載至磁碟的目錄資訊。預設為 msg-svr-base/data/store/mboxlist (其中,msg-svr-base 為 Messaging Server 的安裝目錄)。請參閱使用失時效的 CRL,以取得更多資訊。 |
||
控制是否對照 CRL 檢查憑證。如果符合,則視憑證為已被撤銷。smime.conf 檔案中的 send*revoked 參數值決定 Communications Express Mail 是否拒絕或使用已被撤銷憑證的金鑰。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。 選擇其中一個值︰ 0 - 不對照 CRL 檢查每個憑證。 1 - 對照 CRL 檢查每個憑證。這是預設。確定將 Messaging Server 的 local.webmail.cert.enable 選項設定為 1,否則即使 crlenable 設定為 1 也不會執行 CRL 檢查。 |
||
指定查找 CRL 對映定義的 LDAP 目錄資訊。僅當您具有對映定義時才需要此參數。請參閱存取 CRL,可選擇地增加可用於存取 URL 的 DN 和密碼。 語法: crlmappingurl URL [|URL_DN | URL_password ] 範例:
|
||
指定對 CRL 對映定義擁有讀取權限的 LDAP 項目之辨別名稱 (如果項目直接來自憑證,請勿指定。請參閱第 904 頁的「存取 CRL」,以取得更多資訊)。 如果未指定 crllogindn 和 crlloginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄取得 LDAP 目錄項目。如果失敗,Messaging Server 則嘗試匿名存取 LDAP 目錄。 範例: crllogindn==cn=Directory Manager |
||
為 crllogindn 參數的辨別名稱指定 ASCII 文字形式的密碼。 如果未指定 crllogindn 和 crlloginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄取得 LDAP 目錄項目。如果失敗,Messaging Server 則嘗試匿名存取 LDAP 目錄。 範例: crlloginpw==zippy |
||
控制在目前日期超過 CRL 下次更新欄位中指定的日期時是否使用 CRL。請參閱使用失時效的 CRL,以取得更多資訊。 選擇其中一個值︰ 0 - 不使用失時效的 CRL。 1 - 使用失時效的 CRL。這是預設。 |
||
指定對位於 certurl 和 trustedurl 參數指定的 LDAP 目錄中的公開金鑰及其憑證,以及 CA 憑證擁有讀取權限的 LDAP 項目之辨別名稱。 如果未指定 logindn 和 loginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄取得 LDAP 目錄項目。如果失敗,Messaging Server 則嘗試匿名存取 LDAP 目錄。 範例: logindn==cn=Directory Manager |
||
為 logindn 參數的辨別名稱指定 ASCII 文字形式的密碼。 如果未指定 logindn 和 loginpw 的值,Messaging Server 會使用 HTTP 伺服器值中的記錄取得 LDAP 目錄項目。如果失敗,Messaging Server 則嘗試匿名存取 LDAP 目錄。 範例: loginpw==SkyKing |
||
指定在 Windows 平台上使用智慧卡或本機金鑰存放區所需的一個或多個程式庫名稱。僅當預設值在用戶端機器上不起作用時方可變更此參數。預設為: platformwin==CAPI:library=capibridge.dll; 請參閱用戶端機器的金鑰存取程式庫,以取得更多資訊。 |
||
控制讀取郵件時是否對照 CRL 檢查公開金鑰憑證,以驗證 S/MIME 數位簽名。(私密金鑰用於建立郵件的數位簽名,但無法對照 CRL 對其進行檢查,因此對照 CRL 檢查與該私密金鑰相關的公開金鑰之憑證。)請參閱驗證私密金鑰和公開金鑰 選擇其中一個值︰ 0 - 不對照 CRL 檢查憑證。 1 - 對照 CRL 檢查憑證。這是預設。 |
||
確定在對照 CRL 檢查憑證並傳回不明狀態時所要執行的動作。此時,不能確定憑證是有效還是處於已撤銷狀態。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。 選擇其中一個值︰ ok - 視憑證為有效。 revoked - 視憑證為已被撤銷。這是預設。 |
||
控制是否在使用用於加密外寄郵件的公開金鑰憑證之前對照 CRL 對其進行檢查。請參閱驗證私密金鑰和公開金鑰 選擇其中一個值︰ 0 - 不對照 CRL 檢查憑證。 1 - 對照 CRL 檢查憑證。這是預設。 |
||
確定用於加密外寄郵件的公開金鑰憑證被撤銷時所要執行的動作。請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。 選擇其中一個值︰ allow - 使用公開金鑰。 disallow - 不使用公開金鑰。這是預設。 |
||
sendsigncert |
控制是否對照 CRL 檢查公開金鑰憑證,以決定是否可以使用私密金鑰建立外寄郵件的數位簽名。(私密金鑰用於數位簽名,但無法對照 CRL 對其進行檢查,因此對照 CRL 檢查與該私密金鑰相關的公開金鑰之憑證。)請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。 選擇其中一個值︰ 0 - 不對照 CRL 檢查憑證。 1 - 對照 CRL 檢查憑證。這是預設。 |
|
決定在確定私密金鑰處於已被撤銷狀態時所要執行的動作。(私密金鑰用於建立郵件的數位簽名,但無法對照 CRL 對其進行檢查,因此對照 CRL 檢查與該私密金鑰相關的公開金鑰之憑證。)如果公開金鑰的憑證已被撤銷,則相應的私密金鑰也被撤銷。) 請參閱驗證私密金鑰和公開金鑰,以取得更多資訊。 選擇其中一個值︰ allow - 使用處於已撤銷狀態的私密金鑰。 disallow - 不使用處於已撤銷狀態的私密金鑰。這是預設。 |
||
指定辨別名稱和 LDAP 目錄資訊,以查找用於驗證 Messaging Server SSL 憑證的有效 CA 憑證。如果在 Messaging Server 中啟用了 SSL,則這是必要參數。請參閱使用 SSL 保護網際網路連結,以取得更多資訊。 如果您具有接收所有用戶端應用程式請求的代理伺服器之 SSL 憑證,則這些 SSL 憑證的 CA 憑證也必須位於此參數指向的 LDAP 目錄中。 您還可以選擇性地增加可存取 URL 的 DN 和密碼。 語法: crlmappingurl URL [|URL_DN | URL_password ] 範例:
|
||
指定時間間隔 (以秒為單位),用於決定對照 CRL 檢查公開金鑰憑證時是使用郵件的傳送時間還是接收時間。 該參數的預設值為零時,指示 Communications Express Mail 始終使用接收時間。請參閱確定要使用的郵件時間,以取得更多資訊。 範例: timestampdelta==360 |
||
指定辨別名稱和 LDAP 目錄資訊以查找有效 CA 憑證。這是必要參數。 您還可以選擇性地增加可存取 URL 的 DN 和密碼。 語法: crlmappingurl URL [|URL_DN | URL_password ] 範例:
|
||
為 Communications Express Mail 使用者的主要、替代和等效電子郵件位址指定篩選器定義,從而確保當金鑰對指定給不同的郵件位址時可以找到使用者所有的私密公開金鑰對。 這是必要參數,且無預設值。 |