24.3 使用 S/MIME 的要求

安装 Messaging Server 后，Communications Express Mail 用户并不能立即使用签名和加密功能。用户必须满足本节所说明的要求才能使用 S/MIME。

24.3.1 私钥和公钥

必须为将要使用 S/MIME 的每个 Communications Express Mail 用户至少发布一个包括标准 X.509 v3 格式证书的私钥和公钥对。验证过程所使用的证书可以向其他邮件用户保证密钥确实属于使用密钥的用户。用户可以拥有多个密钥对及相关证书。

密钥及其证书可以由您的组织发布，也可以从第三方供应商处购买。无论密钥和证书是如何发布的，发布组织均被称为证书授权机构 (CA)。

密钥对及其证书以两种方式进行存储：

• 存储在智能卡中

  这些卡与商业信用卡相似，邮件用户应像使用和保护自己的信用卡那样来使用和保护智能卡。智能卡需要使用连接至邮件用户计算机（客户机）的特殊读卡器才能阅读私钥信息。

  有关更多信息，请参见24.3.2 存储在智能卡中的密钥。

• 存储在邮件用户计算机（客户机）的本地密钥库中

  邮件用户的浏览器提供密钥库。该浏览器还提供将密钥对和证书下载到密钥库的命令。有关更多信息，请参见24.3.3 存储在客户机中的密钥。

24.3.2 存储在智能卡中的密钥

如果私钥-公钥对及其证书存储在智能卡中，则必须将读卡器正确连接至邮件用户的计算机。读卡设备也需要软件；读卡设备及其软件由出售该设备的供应商提供。

带有读卡功能的系统实际上分为两部分。一部分是硬件读卡器及其驱动程序。另一部分是实际的卡，通常由不同的供应商提供，并需要驱动程序才能阅读卡。并非所有的卡都受支持。请参阅表 24–1，查看受支持的 SmartCard（ActiveCard，现在称为 ActiveIdentity 和 NetSign）列表。

正确安装读卡设备后，如果邮件用户要为外发邮件创建数字签名，则需要将智能卡插入读卡设备中。验证完智能卡密码后，Communications Express Mail 就可以使用私钥来对邮件进行签名了。有关支持的智能卡和读卡设备的信息，请参见24.2 必需的软件和硬件组件。

用户计算机上应具有智能卡供应商提供的库。有关更多信息，请参见24.8 客户机的密钥访问库。

24.3.3 存储在客户机中的密钥

如果未将密钥对和证书存储在智能卡中，则必须将它们保存在邮件用户计算机（客户机）的本地密钥库中。邮件用户计算机的浏览器提供密钥库并提供将密钥对和证书下载到密钥库的命令。密钥库可能受密码保护，这取决于浏览器。

用户计算机上应具有浏览器供应商提供的库以支持本地密钥库。有关更多信息，请参见24.8 客户机的密钥访问库。

24.3.4 在 LDAP 目录中发布公钥

还必须将所有公钥和证书存储到 LDAP 目录中，以便于 Sun Java System Directory Server 访问。这也称为发布公钥，从而使其他正在创建 S/MIME 邮件的邮件用户可以使用这些公钥。

发件人和收件人的公钥用于加密邮件的加密-解密过程。公钥证书用于验证数字签名所使用的私钥。

有关使用 ldapmodify 来发布公钥和证书的更多信息，请参见24.11 管理证书。

24.3.5 授予邮件用户使用 S/MIME 的权限

要创建签名或加密邮件，有效的 Communications Express Mail 用户必须具有相应的权限。这涉及在用户的 LDAP 条目中使用 mailAllowedServiceAccess 或 mailDomainAllowedServiceAccess LDAP 属性。可以使用这些属性以个人或域为基础允许或不允许邮件用户使用 S/MIME。

有关更多信息，请参见24.10 授予使用 S/MIME 功能的权限。

24.3.6 多语言支持

只使用英语作为邮件语言的 Communications Express Mail 用户可能无法阅读包含非拉丁语言字符（例如中文）的 S/MIME 邮件。出现这种情况的原因之一是：安装在用户计算机上的 Java 2 Runtime Environment (JRE) 的 /lib 目录中没有 charsets.jar 文件。

如果使用默认的 JRE 安装过程下载了英语版本的 JRE，则不会安装 charsets.jar 文件。但是，其他语言版本的默认安装过程都会安装 charsets.jar。

要确保在 /lib 目录中安装 charsets.jar 文件，请提醒用户使用自定义安装来安装英语版本的 JRE。在安装过程中，用户必须选择“支持其他语言”选项。