在测试环境中实现基于 Exchange 2003 的邮件安全系统

上一次修改主题： 2005-05-19

基于 Microsoft® Exchange Server 2003 的邮件安全系统由多种不同的技术组成，对于使用哪些具体的产品来实现这些技术有许多选择。

这种灵活性的优点是 Exchange 客户可以部署比单一独立的解决方案更符合业务需要的邮件安全系统。但缺点是，由于组成基于 Exchange Server 2003 的邮件安全系统的潜在的配置数量很大，因此无法在单个文档中提供部署系统所需的所有信息。相反，管理员必须将与组成系统的每个组件相关的信息组合起来，以构成完整的描述。因此，对于学习使用安全/多用途 Internet 邮件扩展 (S/MIME) 的管理员而言，没有关于所有组件应当如何组装在一起，从而提供对邮件安全系统的高级理解的信息源。

学习 S/MIME 的一个重要部分是能够组装可工作的邮件安全系统。但是，实现自定义 S/MIME 解决方案的灵活性可能成为学习 S/MIME 的一个障碍。由于每个 S/MIME 的实现方式各不相同，因此对于如何构建完全符合特定需要的、能够全面工作的 S/MIME 系统，无法给出相关的信息。

可以提供有关如何构建适用于测试环境的邮件安全系统的指南。由于测试环境的需求有限，因此可能提供的选项数量非常有限。出于学习目的，想要组装 S/MIME 系统的管理员可以按照此信息构建完全可工作的测试系统。使用此测试系统，可以使通过参考相关信息源而在生产中部署整个系统所需的技能和知识得到加深。

对于使用 Microsoft 技术在实验室环境中部署完全正常工作的 S/MIME 系统的 Exchange 管理员，此部分提供了“入门”点。按照此部分内容进行操作后，Exchange 管理员将拥有完全能正常工作的 S/MIME 环境，该环境基于证书服务、Exchange 2003、带有 S/MIME 控件的 Internet Explorer 6、Outlook Express 6 和 Microsoft Office Outlook® 2003。在此实验室环境中，Exchange 管理员将了解不同的技术如何一起工作以提供完整的 S/MIME 系统。

由于此部分内容只是帮助进行测试实验室环境的部署，因此下面的做法应视为只适用于测试环境：

• SSL 加密 对于 HTTP、邮局协议版本 3 (POP3) 或 Internet 邮件访问协议版本 4rev1 (IMAP4) 访问，此部分中描述的配置不使用安全套接字层 (SSL) 加密。虽然此配置可能适用于测试实验室，但在生产环境中这些协议应该使用 SSL 加密。有关如何配置这些协议以使用 SSL 的信息，请参阅 Exchange Server 2003 帮助。
• 企业根证书颁发机构 此部分使用企业根证书颁发机构 (CA) 来颁发 S/MIME 证书，而不是开发更广泛的 CA 层次结构。虽然此方法简化了数字证书的部署，但是并不建议将此做法用于生产环境。成功的 Microsoft Windows 证书基础结构需要进行广泛的规划，而这超越了此部分讨论的范围。有关如何计划和部署公钥基础结构 (PKI) 层次结构的信息，请参阅“Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure”（英文）。
• 数字证书需求 此部分介绍如何使用 Windows Server™ 2003 证书颁发机构中的默认证书模板手动获取 S/MIME 数字证书。在生产环境中，最好使用证书自动登记功能，因为这更易于用户操作。另外，默认证书不使用诸如强密钥保护之类的功能，许多组织对此均有要求。在生产环境中，您可能需要配置证书模板以满足组织的安全需求。有关自动登记的信息，请参阅“Certificate Autoenrollment in Windows Server 2003”（英文）。有关配置证书模板的信息，请参阅“Implementing and Administering Certificate Templates in Windows Server 2003”（英文）。