Exchange2007发送加密和数字签名的邮件.docVIP

　随着邮件安全性越来越普及，越来越被认可，管理员就需要了解这些原则和概念。Microsoft Exchange Server 2007对安全/ 多用途 Internet 邮件扩展 S/MIME 的支持在不断增加。安全/多用途 Internet 邮件扩展 S/MIME 的两个核心功能就是邮件加密和数字签名。要想成功部署安全/多用途 Internet 邮件扩展 S/MIME ，必须部署数字证书和公钥基础结构 PKI 。　　有关数字证书的基本概念以及如何部署公钥基础结构 PKI ，我们在这里不详细介绍。我们重点介绍如何通过Outlook 2007来发送数字签名或加密邮件。　　首先介绍一下环境的配置：　　150795m1 域控制器和企业 CA，同时安装了Exchange 2007 客户端访问服务器、邮箱、中心传输服务器。操作系统为64位Windows Server 2003 R2企业版。　　150795m2 域控制器和子CA，同时安装了Exchange 2007 客户端访问服务器、邮箱、中心传输服务器。操作系统为64位Windows Server 2008 企业版。　　150795m4 客户端，安装了Outlook 2007 SP1。操作系统为Windows Vista。　　1. 申请用户的数字证书：　　由于数字证书特定于单个用户，并且存储为本地工作站上用户配置文件的一部分，因此需要获取每个用户的数字证书。有两种方法可以获取用户的数字证书。可以通过 MMC 证书管理单元或使用 Web 浏览器来申请证书。　　我们这里介绍使用MMC管理单元来申请证书。　　a 以 administrator 的身份登录到150795m4。　　b 单击“开始”，再单击“运行”，键入 certmgr.msc，然后单击“确定”。　　c 在 MMC 中，展开“证书 - 当前用户”，再展开“个人”。　　d 在右侧窗格中，用鼠标右键单击并指向“所有任务”，然后单击“申请新证书”。　　e 在“证书申请向导”的第一页上，单击“下一步”。　　f 在“证书类型”页中，在“证书类型”列表中单击“用户”，然后单击“下一步”。　　g 点击Enroll，在向导的最后一页上，单击“完成”。　　h 关闭MMC管理单元。　　执行上述步骤之后，便在本地证书存储中安装了用户的数字证书。要验证是否已安装证书，可以通过下面的方法来操作：　　a 单击“开始”，再单击“运行”，键入 certmgr.msc，然后单击“确定”。　　b 在 MMC 中，展开“证书 - 当前用户”，再展开“个人”。　　c 在右侧窗格中，可以看到刚安装的证书。双击此证书。　　我们按照同样的方法为test2008申请一张用户证书。　　当使用 MMC 或 Web 登记表单申请数字证书时，Windows CA 将自动在 Active Directory 中存储用户的数字证书。Outlook 将检索 Active Directory 中存储的数字证书。对于必须拥有另一方的数字证书副本的 S/MIME 操作 尤其是在将加密的电子邮件发送给另一方，或验证另一方已数字签名的电子邮件时 ，Outlook 可以检索这些数字证书。　　a 单击“开始”，指向“所有程序”，再指向“管理工具”，然后单击“Active Directory 用户和计算机”。　　b 单击“查看”，再单击“高级功能”。　　c 在左侧窗格中，单击“Users”文件夹。　　d 在右侧窗格中，双击测试用户之一。　　e 单击“发行的证书”选项卡。　　f 在“为用户帐户所发行的 X509 证书列表”列表中，您可以看到来自 Windows CA 的用户数字证书，以及在 Active Directory 中为此用户存储的任何其他数字证书。　　使用数字证书对 Outlook 2007中的邮件进行签名之前，必须配置 Outlook，以便使用刚安装过的数字证书。由于在每个用户基础上存储此信息，因此需要配置每个测试用户帐户。　　2. 配置Outlook 2007以使用数字证书：　　a 以 administrator 的身份登录到150795m4。　　b 打开Outlook 2007，点击Tools，选择Trust Center;　　c 点击E-mail Security，Outlook 使用默认信息填充“更改安全设置”对话框。单击“确定”接受默认值。　　我们按照相同的方法为test2008用户配置Outlook 2007以使用数字证书。当配置 Outlook 以使用为此用户安装的数字证书之后，我们可以进行测试。　　3. 使用Outlook 2007发送数字签名的邮件　　我