密碼算法是在加密程序中用於加密和解密資料的演算法。某些密碼算法比其他密碼算法強,這表示未經授權者更難解密由這些密碼算法加密的郵件。
密碼透過將金鑰 (一長串數字) 套用於資料來對其進行加密。通常,加密期間密碼算法使用的金鑰越長,在沒有正確的解密金鑰的情況下解密資料就越困難。
當某個用戶端啟動與 Messaging Server 之間的 SSL 連線時,會告知伺服器其用於加密的密碼算法和金鑰長度。在任何加密通訊中,雙方必須使用相同的密碼算法。由於有大量的常用密碼算法和金鑰組合,因此伺服器在支援加密方面應非常靈活。Messaging Server 可支援多達 6 種密碼算法和金鑰長度組合。
表 23–2 列出 Messaging Server 支援以與 SSL 3.0 配合使用的密碼。該表概述的資訊在「Managing Servers with iPlanet Console」的「Introduction to SSL」小節中有更詳細的說明。
表 23–2 Messaging Server 的 SSL 密碼算法
密碼算法 |
說明 |
---|---|
具有 128 位元加密和 MD5 郵件認證的 RC4 |
最快的加密密碼算法 (由 RSA 開發),是密碼算法與加密鍵極高強度的組合。 |
具有 168 位元加密和 SHA 郵件認證的三重 DES |
較慢的加密密碼算法 (美國政府標準),但卻是密碼算法與加密鍵最高強度的組合。 |
具有 56 位元加密和 SHA 郵件認證的 DES |
較慢的加密密碼算法 (美國政府標準),是密碼算法與加密鍵中等強度的組合。 |
具有 40 位元加密和 MD5 郵件認證的 RC4 |
最快的加密密碼算法 (由 RSA 開發),是密碼算法與加密鍵較低強度的組合。 |
具有 40 位元加密和 MD5 郵件認證的 RC2 |
較慢的加密密碼算法 (由 RSA 開發),是密碼算法與加密鍵較低強度的組合。 |
不加密,只有 MD5 郵件認證 |
不加密,僅使用郵件摘要進行認證。 |
除非您有充分的理由不使用特定密碼算法,否則應支援以上所有密碼算法。但請注意,某些國家/地區的出口法規限制使用某些加密密碼算法。此外,有些用戶端軟體是在美國出口控制法放寬之前生產的,這些軟體不能使用較高強度的加密。請注意,雖然 40 位元密碼算法可以防範隨意的竊取者,但它們並不安全,不能阻止有目的的侵入。
若要啟用 SSL 並選取加密密碼算法,請執行以下指令行步驟:
指定憑證:
configutil -o encryption.rsa.nssslpersonalityssl -v certname
也針對每個服務有其 SSL 伺服器憑證暱稱的配置設定。以下是新的 configutil 設定:
local.imta.sslnicknames 適用於 SMTP 和 Submit 伺服器;local.imap.sslnicknames 適用於 IMAP 伺服器;local.pop.sslnicknames 適用於 POP 伺服器;local.http.sslnicknames 適用於 Web 郵件伺服器
這些設定的涵義相同於 (並覆寫) encryption.rsa.nssslpersonalityssl 設定。明確地說,這是以逗號分隔的 NSS 憑證暱稱清單。雖然清單中允許多個暱稱,每個暱稱必須參照不同的憑證類型 (例如,RSA 憑證和 DSS 憑證),因此設定幾乎一律僅有一個暱稱。在搜尋 NSS 軟體記號或預設記號時,暱稱可能不合格,或在為此暱稱搜尋指定的安全性模組時,暱稱可能會有 security-module: nickname" 的格式。儲存在硬體記號或置於預設 NSS 資料庫以外的憑證會需要安全性模組。
這並不允許在產品中使用多個 NSS 軟體記號。特別是針對 IMAP、POP、SMTP 和 HTTP,僅有一個 cert8.db、key3.db 和 secmod.db。NSS 不允許如此。
若要啟用外寄郵件的 SSL 加密,必須修改通道定義以包含 tls 通道關鍵字 (例如 maytls、musttls 等)。如需更多資訊,請參閱12.4.8 傳輸層安全手冊。