Secure/Multipurpose Internet Mail Extension (S/MIME)
安全的/多用途英特網郵件擴展
因爲默認的SMTP是不加密的,所以信息很容易被竊取,現在的S/MIME 是第三版,Exchange 5.5, Outlook 2000 和 Outlook Express 5.01後的版本都支持S/MIME.
S/MIME 提供了兩個功能:數字簽名,郵件加密,有關數字簽名和郵件加密,請看Exchange 證書基礎知識
- 數字簽名:起到 驗證身份,防止冒名頂替,保證郵件內容不被改動 的作用。(數字簽名並沒有加密郵件內容的作用)
- 郵件加密:加密郵件內容,並不能保證郵件一定從你看到的那個發件人過來
S/MIME 的部署
S/MIME 的部署其實是一個客戶端 和 CA的配置過程,Exchange 只是負責傳遞 S/MIME 郵件,並沒有太多的針對Exchange要做的配置。下面模擬一個簡單的在企業內部部署 S/MIME 的過程。
需要兩臺機器:
1. Exchange 2003/DC/CA
2. Outlook 2003/OE/OWA
一,安裝DC,安裝Exchange
圖:配置 Exchange 是郵箱存儲支持S/MIME
二,安裝CA
一路默認選項安裝下來
三,客戶端申請證書
圖:訪問http://CAserver/certsrv申請一個證書
圖:申請用戶證書
圖:客戶端是英文的,提示的意思是這個站點要代替你申請一個證書,允許。
圖:點擊安裝這個證書
圖:在客戶端打開certmgr.msc, 找到這個頒發給你的證書,可以看到你是擁有私鑰的,我們就用這個證書對郵件簽名。
圖:也可以使用客戶端 certmgr.msc 來申請證書
圖:申請用戶證書
圖:這裏填入的名字是爲了方便你記
圖:申請成功後會有提示
圖:檢查證書被加到了用戶的AD賬戶上
四, 配置Outlook 客戶端
圖:配置 Outlook 的時候不要使用緩存模式
圖:默認情況新建的信不會出現加密和加簽名的圖標,需要選擇“選項”
圖:選擇添加數字簽名或者加密郵件
圖:也可以直接在郵件中選擇相應圖標
圖:收件人收到信後就會如圖顯示
注意:如果發件人的 Outlook 處在緩存模式,這個時候用的是本地的地址簿,由於加密的時候找不到證書,所以會報錯,你有可能需要把收件人添加到聯繫人中。
圖:緩存模式下,把收件人添加到本地聯繫人中
五,配置OWA
圖:OWA中選擇選項,郵件安全,然後安裝插件
圖:插件安裝完成就可以添加簽名,或者加密了。
- 配置過程中要保證CA被所有的客戶端所信任,請參照 使用組策略添加根證書
- 如要配置用戶自動獲取證書,請參照 Autoenrollment
- 可以使用 Certutil 工具在 AD 中發佈外部聯繫人的證書 參考
- Exchange 2007 SP1 的OWA才支持 S/MIME, RTM 版本的OWA不支持 S/MIME