一般 PKI 规划考虑因素
上一次修改主题: 2006-08-16
特定电子邮件客户端和 PKI 作为基于 Exchange 2003 的邮件安全系统的一部分,不管其实现的情况如何,所有 PKI 管理员在规划部署时都应该考虑一些常规性的因素。您应该了解有关数字证书和 Active Directory 属性的问题。
数字证书和 Active Directory 属性
Microsoft 电子邮件客户端可以与基于 Exchange 2003 的 S/MIME 系统一起使用,并且依赖 Active Directory 进行数字证书存储。其他电子邮件客户端可以配置为通过 LDAP 接口使用 Active Directory。若要有效地将 Active Directory 与这些不同的电子邮件客户端一起使用,需要了解 Active Directory 为了存储数字证书而提供的可用属性。PKI 管理员应该咨询电子邮件客户端管理员,然后制定详细策略以便在 Active Directory 中存储数字证书。
在 Active Directory 中有两种不同的属性可用于存储数字证书:“userCertificate”和“userSMIMECertificate”。您需要了解特定电子邮件客户端使用哪些属性、以及它为了获得有效数字证书而对这些属性进行查询的顺序。如果两种属性都包含有效证书,则不同的电子邮件客户端可以为同一用户返回不同的数字证书。
.gif "important") 重要提示: |
|---|
| 执行对数字证书的搜索时,Outlook 和带有 S/MIME 控件的 Outlook Web Access 都会首先查看不同的 Active Directory 属性。如果用户的 Active Directory 属性有这两种属性的有效证书,用户将在使用带有 S/MIME 控件的 Outlook 和 Outlook Web Access 时得到不同的结果。有关详细信息,请参阅Exchange Server 2003 中的 S/MIME 疑难解答。 |
您应该确定哪种属性用于数字证书存储,并只使用此属性。在大多数情况下,此属性为“userCertificate”属性。另外,当决定使用单个 Active Directory 属性来存储支持 S/MIME 的数字证书时,如果已有现成的 Active Directory 部署,请检查 Active Directory 的内容,并删除任何过时的或未经授权的数字证书。有关可用于搜索和删除这些现有数字证书的 Visual Basic® 脚本示例,请参阅数字证书清理脚本。
userCertificate 属性
Active Directory 中的“userCertificate”属性(也称为 X509-Cert)存储与用户相关的 DER 编码的 X.509 v3 证书。在此属性中,Windows Server 2003 CA 发布已为该用户颁发的任何证书。使用 Windows Server 2003 生成 S/MIME 证书时,可从此属性找到这些证书。查看“Active Directory 用户和计算机”中的用户对象时,可以通过“发行的证书”选项卡查看此属性的内容。
虽然 Windows Server 2003 CA 使用此属性,但是也可以使用此属性存储数字证书(由其他使用 PKI 的证书服务器颁发)。当 S/MIME 作为 PKI 的一部分实现时,“userCertificate”属性是首选属性。由于将通过更为广泛的 PKI 部署使用 S/MIME,因此该属性应该作为存储数字证书的首选属性。
带有 S/MIME 控件的 Outlook Web Access 将首先查看此属性,以便为组织的 PKI 提供首选项。
userSMIMECertificate 属性
“userSMIMECertificate”属性以 PKCS #7 格式存储数字证书。与存储任何 X.509 v3 证书的“userCertificate”不同,此属性专门设计为仅存储 S/MIME 证书。指定此属性作为 RFC 2798 中 InetOrgPerson 类的一部分,它便于在 PKI 外部广泛使用 S/MIME。有关详细信息,请参阅“Definition of the inetOrgPerson LDAP Object Class”(http://www.ietf.org/rfc/rfc2798.txt)(英文)。“userSMIMECertificate”不仅存储证书,还存储整个证书链。这使用户可以在无法直接访问颁发证书的 PKI 的情况下,对此证书进行验证。
通常,不要在您的环境中使用此属性。
不能通过 Active Directory 用户和计算机访问此属性。通过 Outlook 中的“发布到全球通讯簿”按钮,可以将数字证书发布给此属性。如果不决定使用此属性,请禁用此按钮,以避免用户不经意地将不适当的、未经授权的证书发布到 Active Directory。有关“发布到全球通讯簿”功能以及如何禁用该功能的详细信息,请参阅在 PKI 中支持 Outlook。