上次修改主題的時間: 2005-12-14
本主題討論 PKI 系統管理員應注意的下列各項議題:
- 離線通訊錄
- [發佈到 GAL] 按鈕
- [取得數位 ID] 按鈕
- 其他 Outlook 注意事項
離線通訊錄之所以與 PKI 系統管理員有關,是因為它在 Outlook 離線使用時,會取代 Microsoft Active Directory® 目錄服務。離線通訊錄可讓使用者在離線作業時,能夠繼續使用其他使用者的電子郵件數位憑證。依預設,離線通訊錄包含使用者連接至 Active Directory 時,所可能存取的所有電子郵件之有效數位憑證。離線通訊錄包含電子郵件可能用到的所有數位憑證,並且會移除過期或無效的憑證。依預設,離線通訊錄提供的 S/MIME 功能與 Active Directory 相同。由於納入憑證會增加離線通訊錄的大小,也可能會增加下載所需的時間,因此有些系統管理員會選擇變更預設操作方式。
如需離線通訊錄與電子郵件用戶端系統管理員的相關資訊,請參閱<Outlook 用戶端 (MAPI 型)>。
[發佈到 GAL] 按鈕位於 [選項] 對話方塊的 [安全性] 索引標籤上。使用者按下此按鈕時,Outlook 便會將使用者的 ExchangeUserSignature 與 ExchangeUser 憑證,以 PKCS #7 的格式發佈至 Active Directory 中使用者物件的 userSMIMECertificate 屬性上。此功能也可以將使用者的 ExchangeUser 憑證,以 DER 編碼的格式發佈至 Active Directory 中使用者物件的 userCertificate 屬性上。
此按鈕的功能在於,讓使用者能夠將憑證發佈到他們從其他來源所取得的公司目錄上。此發佈作業可略過組織中針對數位憑證處理而建立的程序。此外,系統管理員還可以使用 [Active Directory 使用者及電腦] 中的 [已發行憑證] 索引標籤,將憑證新增至 userCertificate 屬性中,但不能將相同的憑證新增至 userSMIMECertificate 屬性中。不同的憑證若由不同的電子郵件用戶端使用,將造成問題。如需相關資訊,請參閱<當使用具有 S/MIME 控制項的 Outlook 及 Outlook Web Access 時,使用不同的憑證>。您可能要想要求 Outlook 系統管理員停用此按鈕。若您針對 PKI 使用 Windows CA,建議您停用這個按鈕,以降低憑證不符的可能性。
[取得數位 ID] 按鈕位於 [選項] 對話方塊的 [安全性] 索引標籤上。使用者按下此按鈕時,便會出現一個網頁,可用來要求數位憑證。PKI 系統管理員若已啟用網頁型註冊表單,則應該要求 Outlook 系統管理員自訂這個按鈕,將使用者引導至這個自訂的網頁上。您可以在使用者的系統上,透過下列登錄機碼指定註冊頁 URL。
HKEY_CURRENT_USER\Software\Microsoft\Office\version number\Outlook\Security
您可以透過 Office Resource Kit,使用群組原則來設定此機碼,或直接變更登錄以設定之。如需設定此登錄機碼的相關資訊,請參閱<Office 2003 Resource Kit>中的<為組織設定一致的 Outlook 加密選項>(英文)。如需自訂舊版 Outlook 的相關資訊,請參閱舊版的 Office Resource Kit。
Outlook 可讓系統管理員透過原則,指定數種與 PKI 相關的組態設定。例如,Outlook 可設定為一律對電子郵件進行簽章與加密。
如需如何變更及設定這些功能的相關資訊,請洽詢電子郵件用戶端系統管理員,並參閱:
- Outlook 用戶端 (MAPI 型)
- <Office 2003 Resource Kit>中的<為組織設定一致的 Outlook 加密選項>(英文)。如需自訂舊版 Outlook 的相關資訊,請參閱舊版的 Office Resource Kit。