Secure/Multipurpose Internet Mail Extension (S/MIME)

安全的/多用途英特网邮件扩展

 

因为默认的SMTP是不加密的,所以信息很容易被窃取,现在的S/MIME 是第三版,Exchange 5.5, Outlook 2000 和 Outlook Express 5.01后的版本都支持S/MIME.

 

S/MIME 提供了两个功能:数字签名,邮件加密,有关数字签名和邮件加密,请看Exchange 证书基础知识

  • 数字签名:起到 验证身份,防止冒名顶替,保证邮件内容不被改动 的作用。(数字签名并没有加密邮件内容的作用)
  • 邮件加密:加密邮件内容,并不能保证邮件一定从你看到的那个发件人过来

image

 

S/MIME 的部署

S/MIME 的部署其实是一个客户端 和 CA的配置过程,Exchange 只是负责传递 S/MIME 邮件,并没有太多的针对Exchange要做的配置。下面模拟一个简单的在企业内部部署 S/MIME 的过程。

 

需要两台机器:

1. Exchange 2003/DC/CA

2. Outlook 2003/OE/OWA

 

一,安装DC,安装Exchange

image

图:配置 Exchange 是邮箱存储支持S/MIME

 

 

二,安装CA

image

 

image

image

image

 

image

一路默认选项安装下来

 

 

三,客户端申请证书

image

图:访问http://CAserver/certsrv申请一个证书

 

image

图:申请用户证书

 

image

图:客户端是英文的,提示的意思是这个站点要代替你申请一个证书,允许。

 

image

图:点击安装这个证书

 

image

图:在客户端打开certmgr.msc, 找到这个颁发给你的证书,可以看到你是拥有私钥的,我们就用这个证书对邮件签名。

 

image

图:也可以使用客户端 certmgr.msc 来申请证书

 

image

图:申请用户证书

 

image

图:这里填入的名字是为了方便你记

 

image

图:申请成功后会有提示

 

image

图:检查证书被加到了用户的AD账户上

 

 

四, 配置Outlook 客户端

image

图:配置 Outlook 的时候不要使用缓存模式

 

image 

图:默认情况新建的信不会出现加密和加签名的图标,需要选择“选项”

 

image

image

图:选择添加数字签名或者加密邮件

 

image

图:也可以直接在邮件中选择相应图标

 

image

图:收件人收到信后就会如图显示

 

注意:如果发件人的 Outlook 处在缓存模式,这个时候用的是本地的地址簿,由于加密的时候找不到证书,所以会报错,你有可能需要把收件人添加到联系人中。

image

图:缓存模式下,把收件人添加到本地联系人中

 

五,配置OWA

image

图:OWA中选择选项,邮件安全,然后安装插件

 

image

图:插件安装完成就可以添加签名,或者加密了。

 

 

  • 配置过程中要保证CA被所有的客户端所信任,请参照 使用组策略添加根证书
  • 如要配置用户自动获取证书,请参照 Autoenrollment
  • 可以使用 Certutil 工具在 AD 中发布外部联系人的证书 参考
  • Exchange 2007 SP1 的OWA才支持 S/MIME, RTM 版本的OWA不支持 S/MIME