54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > Exchange >

Exchange 2007发送加密和数字签名的邮件

时间:2010-10-28 21:26来源:网络 编辑:Jenny

 

    随着邮件安全性越来越普及,越来越被认可,管理员就需要了解这些原则和概念。Microsoft Exchange Server 2007对安全/多用途 Internet 邮件扩展 (S/MIME) 的支持在不断增加。安全/多用途 Internet 邮件扩展 (S/MIME) 的两个核心功能就是邮件加密和数字签名。要想成功部署安全/多用途 Internet 邮件扩展 (S/MIME) ,必须部署数字证书和公钥基础结构 (PKI) 。

 有关数字证书的基本概念以及如何部署公钥基础结构(PKI),我们在这里不详细介绍。我们重点介绍如何通过Outlook 2007来发送数字签名或加密邮件。

 首先介绍一下环境的配置:

 150795m1 域控制器和企业 CA,同时安装了Exchange 2007 客户端访问服务器、邮箱、中心传输服务器。操作系统为64位Windows Server 2003 R2企业版。

 150795m2 域控制器和子CA,同时安装了Exchange 2007 客户端访问服务器、邮箱、中心传输服务器。操作系统为64位Windows Server 2008 企业版。

 150795m4 客户端,安装了Outlook 2007 SP1。操作系统为Windows Vista。

 1. 申请用户的数字证书:

 由于数字证书特定于单个用户,并且存储为本地工作站上用户配置文件的一部分,因此需要获取每个用户的数字证书。有两种方法可以获取用户的数字证书。可以通过 MMC 证书管理单元或使用 Web 浏览器来申请证书。

 我们这里介绍使用MMC管理单元来申请证书。

 a) 以 administrator 的身份登录到150795m4。

 b) 单击“开始”,再单击“运行”,键入 certmgr.msc,然后单击“确定”。

 c) 在 MMC 中,展开“证书 - 当前用户”,再展开“个人”。

 d) 在右侧窗格中,用鼠标右键单击并指向“所有任务”,然后单击“申请新证书”。如图1所示。

 e) 在“证书申请向导”的第一页上,单击“下一步”。

 


    f) 在“证书类型”页中,在“证书类型”列表中单击“用户”,然后单击“下一步”。如图2所示。

 g) 点击Enroll,在向导的最后一页上,单击“完成”。如图3所示。


    h) 关闭MMC管理单元。

 执行上述步骤之后,便在本地证书存储中安装了用户的数字证书。要验证是否已安装证书,可以通过下面的方法来操作:

 a) 单击“开始”,再单击“运行”,键入 certmgr.msc,然后单击“确定”。

 b) 在 MMC 中,展开“证书 - 当前用户”,再展开“个人”。

 c) 在右侧窗格中,可以看到刚安装的证书。双击此证书。下图显示了此证书。如图4所示。


 


我们按照同样的方法为test2008申请一张用户证书。如图5所示。

    
    当使用 MMC 或 Web 登记表单申请数字证书时,Windows CA 将自动在 Active Directory 中存储用户的数字证书。Outlook 将检索 Active Directory 中存储的数字证书。对于必须拥有另一方的数字证书副本的 S/MIME 操作(尤其是在将加密的电子邮件发送给另一方,或验证另一方已数字签名的电子邮件时),Outlook 可以检索这些数字证书。

 a) 单击“开始”,指向“所有程序”,再指向“管理工具”,然后单击“Active Directory 用户和计算机”。

 b) 单击“查看”,再单击“高级功能”。

 c) 在左侧窗格中,单击“Users”文件夹。

 d) 在右侧窗格中,双击测试用户之一。

 e) 单击“发行的证书”选项卡。

 f) 在“为用户帐户所发行的 X509 证书列表”列表中,您可以看到来自 Windows CA 的用户数字证书,以及在 Active Directory 中为此用户存储的任何其他数字证书。如图6所示。
  

 使用数字证书对 Outlook 2007中的邮件进行签名之前,必须配置 Outlook,以便使用刚安装过的数字证书。由于在每个用户基础上存储此信息,因此需要配置每个测试用户帐户。

2. 配置Outlook 2007以使用数字证书:

 a) 以 administrator 的身份登录到150795m4。

 b) 打开Outlook 2007,点击Tools,选择Trust Center;

 c) 点击E-mail Security,Outlook 使用默认信息填充“更改安全设置”对话框。单击“确定”接受默认值。如图7所示。

 我们按照相同的方法为test2008用户配置Outlook 2007以使用数字证书。当配置 Outlook 以使用为此用户安装的数字证书之后,我们可以进行测试。

 3. 使用Outlook 2007发送数字签名的邮件

 我们让administrator用户发送数字签名的邮件给test2008用户。

 a) 以administrator身份登录150795m4,

 b) 在收件人地址中输入test2008,然后写好内容和主题,

 c) 点击上面的“签名”按钮,如图8所示。

 d) 点击发送。


  

使用 Outlook 2007查看经过数字签名的邮件

 a) 以test2008身份登录150795m4,

 b) 在收件箱中找到该邮件,双击该邮件,点击“验证签名”按钮,

 c) 单击“验证签名”按钮后,将显示“数字签名”对话框,指明该数字签名是有效的。如图9所示。

 d) 右键点击发件人administrator,选择添加到联系人,如图10所示,点击保存。完成这步的目的是为了演示发送加密邮件给administrator。若要成功发送加密电子邮件,您必须拥有收件人的数字证书。

  4. 使用Outlook 2007发送加密的电子邮件

 我们让test2008发送加密的邮件给administrator用户。

 a) 以test2008身份登录150795m4,

 b) 在收件人地址中输入administrator,然后写好内容和主题,

 c) 点击上面的“加密”按钮,如图11所示。

 d) 点击发送。

 使用 Outlook 2007查看经过加密的邮件

 a) 以administrator身份登录150795m4,

 b) 在收件箱中找到该邮件,双击该邮件,点击“验证加密”按钮,

 c) 单击“验证加密”按钮后,将显示“邮件安全属性”对话框,以指明该加密邮件是有效的。如图12所示。


    在演示了使用Outlook 2007发送数字签名和加密的邮件之后,我们接下来使用Outlook Web Access来发送数字签名邮件和加密邮件。


   5. 使用Outlook Web Access对于单个电子邮件进行数字签名

 我们用administrator用户发送数字签名的邮件给test2008用户。

 a) 以administrator用户身份登录到安装了 S/MIME 控件的 Outlook Web Access 上。有关如何在OWA上安装S/MIME 控件的详细步骤,我们在此不在详细描述。

 b) 点击新建邮件,输入内容和标题后,点击签名按钮,如图13所示。

 c) 点击发送。

 在 Outlook Web Access 中验证经过数字签名的邮件中的签名

 a) 以test2008用户身份登录到安装了 S/MIME 控件的 Outlook Web Access 上。

 b) 在收件箱中找到该邮件,双击该邮件,点击“验证签名”按钮,

 c) 单击“验证签名”按钮后,将显示“数字签名”对话框,指明该数字签名是有效的。如图14所示。


  


6. 使用Outlook Web Access 对单个电子邮件进行加密

 我们用administrator用户发送加密的邮件给test2008用户。

 a) 以administrator用户身份登录到安装了 S/MIME 控件的 Outlook Web Access 上。

 b) 点击新建邮件,输入内容和标题后,点击加密按钮,如图15所示。

 c) 点击发送。

 在 Outlook Web Access 中查看加密的邮件

 a) 以test2008用户身份登录到安装了 S/MIME 控件的 Outlook Web Access 上。

 b) 在“收件箱”中,找到加密的测试邮件,并双击该邮件。

 c) 当邮件打开时,若要验证加密,请将指针放在“验证加密”按钮上。此时将显示一条消息,指出此电子邮件已加密。 如图16所示。

[责任编辑:Lavy]

------分隔线----------------------------