测试数字签名和加密

 

上一次修改主题: 2005-05-19

在安装和配置 CA,并安装和配置 Exchange 服务器,最后安装和配置电子邮件客户端之后,可以开始进行测试。

测试的第一步是获取每个测试用户的数字证书。由于 S/MIME 依赖数字证书,因此必须获取数字证书才能使用 S/MIME。此部分帮助您从 Windows Server 2003 CA 获取测试帐户的数字证书,然后逐步指导您如何使用这些证书,通过已配置的电子邮件客户端发送和接收经过数字签名和加密的电子邮件。

note注意:
以下部分提供如何使用基于 Web 的登记或 Microsoft 管理控制台 (MMC) 证书管理单元,来获取用户的数字证书的有关说明。除了这些选项,还可以将 Windows Server 2003 CA 配置为自动登记用户,以获得数字证书。由于需要经过配置才能启用此功能,因此此部分不涉及对此功能的讨论。但是,由于此功能为用户提供了使用便利,建议在生产环境中使用此功能。有关配置自动登记的信息,请参阅“Certificate Autoenrollment in Windows Server 2003”(英文)。

由于数字证书特定于单个用户,并且存储为本地工作站上用户配置文件的一部分,因此需要获取每个用户的数字证书。有两种方法可以获取用户的数字证书。可以通过 MMC 证书管理单元或使用 Web 浏览器来申请证书。有关详细步骤,请参阅:

执行上述步骤之后,便在本地证书存储中安装了用户的数字证书。要验证是否已安装证书,请使用 MMC 打开本地证书存储。有关详细步骤,请参阅如何验证证书是否已安装

当使用 MMC 或 Web 登记表单申请数字证书时,Windows CA 将自动在 Active Directory 中存储用户的数字证书。Outlook 和 Outlook Web Access 都将检索 Active Directory 中存储的数字证书。对于必须拥有另一方的数字证书副本的 S/MIME 操作(尤其是在将加密的电子邮件发送给另一方,或验证另一方已数字签名的电子邮件时),Outlook Web Access 和 Outlook 可以检索这些数字证书。

有关详细步骤,请参阅如何验证数字证书是否已添加到用户的 Active Directory 帐户

note注意:
虽然证书存储中的证书和 Active Directory 中的证书看起来相同,但这两个证书之间存在着明显的差别。Active Directory 中的证书只存储用户公钥的副本,而个人存储中的证书除了有公钥外还有私钥。

使用数字证书对 Outlook 中的邮件进行签名之前,必须配置 Outlook,以便使用刚安装过的数字证书。由于在每个用户基础上存储此信息,因此需要配置每个测试用户帐户。有关详细步骤,请参阅如何配置 Outlook 以使用数字证书

note注意:
配置这些设置后,当启用 Word 作为电子邮件编辑器时,“为此邮件添加数字签名”按钮和“加密邮件内容和附件”按钮会自动添加到新邮件上。在 Outlook 2003 中,默认启用 Microsoft Office Word 2003 作为电子邮件编辑器,这些设置默认使这些按钮可见。如果不将 Word 用作电子邮件编辑器,默认情况下这些按钮不可见。要显示这些按钮,可以作为电子邮件编辑器重新启用 Word,或自定义 Outlook 电子邮件编辑器。有关如何进行这些更改的信息,请参阅 Outlook 2003 帮助。

当配置 Outlook 以使用为此用户安装的数字证书之后,对发送和接收经过数字签名和加密的邮件的此类操作,可以进行测试。有关详细步骤,请参阅:

执行完上述过程后,您便测试了在 Outlook 2003 中使用 S/MIME 的所有元素。通过此信息,您可以了解使用 Outlook 的 S/MIME 系统如何为用户工作。

在 Outlook Web Access 中使用 S/MIME 与在 Outlook 中使用 S/MIME 类似。在这两种情况下,电子邮件客户端使用来自本地证书存储(使用 MMC 查看)和来自 Active Directory(使用 Active Directory 用户和计算机查看)的数字证书。由于这些相同点,熟悉如何使用 Outlook 的 S/MIME 功能的用户应该能够利用同样的知识使用 Outlook Web Access。有关详细步骤,请参阅下列过程:

执行完上述过程后,您便测试了在 Outlook Web Access 中使用 S/MIME 的所有元素。通过此信息,您可以了解使用 Outlook Web Access 的 S/MIME 系统如何为用户工作。

与 Outlook 和 Outlook Web Access 不同,Outlook Express 不会自动使用 Active Directory 来查找另一个用户的电子邮件地址和数字证书。相反,Outlook Express 会使用 Microsoft Windows 通讯簿。可以使用 Outlook Express 中的搜索功能访问 Active Directory 中的信息,Outlook Express 自动进行了此配置,以便在 Active Directory 中查找信息。另外,也可以在使用 Outlook Express 向收件人发送电子邮件之前,将与收件人有关的信息填充到 Windows 通讯簿中。有关详细步骤,请参阅下列过程:

执行完上述过程以后,便测试了使用 Outlook Express 的 S/MIME 的所有元素。通过此信息,您可以了解使用 Outlook Express 的 S/MIME 系统是如何为最终用户工作的。

 
显示: