当本地系统中缺少收件人的数字证书时，无法在带有 S/MIME 控件的 Outlook Web Access 中解密邮件

上一次修改主题： 2005-05-19

问题描述

若要成功解密和阅读已加密的电子邮件，需要有支持 S/MIME 的电子邮件客户端。另外，电子邮件客户端必须能够访问本地计算机或智能卡中的收件人加密证书私钥，以便成功解密和显示邮件。

在本地计算机或智能卡中没有收件人加密证书私钥的计算机上，当收件人试图在 Outlook Web Access 中阅读加密电子邮件时，电子邮件的顶部将显示下列消息：

无法解密此邮件。如果您有基于智能卡的数字标识，请插入智能卡然后再次尝试打开邮件。

解决方法

若要解决此问题，请确保在运行 Outlook Web Access 的计算机上可以使用收件人加密证书的私钥。可以通过下列三种方法之一执行此操作：

• 使用包含收件人加密证书的智能卡。
• 在数字证书登记过程中，将收件人的加密证书安装在 Outlook Web Access 计算机上的个人证书存储中。
• 将收件人的加密证书手动导入到 Outlook Web Access 计算机上的个人证书存储中。

如果用户必须能够在多台计算机上一起使用 S/MIME 功能和 Outlook Web Access ，建议使用智能卡来存储数字证书。智能卡将简化使数字证书可以在多台计算机上使用的过程，因此是首选解决方案。根据设计，当插入智能卡时，智能卡中的数字证书会自动复制到计算机上的个人证书存储中。在与用户进行最少交互的情况下，此操作可以自动使数字证书可用。另外，由于 Outlook Web Access 在用户注销 Outlook Web Access 时强制清除从智能卡复制的数字证书，因此，智能卡能够控制对带有私钥的数字证书的分发，从而成为比手动复制加密证书更安全的选择。

若要在登记过程中加密证书安装，您应该咨询公钥基础结构 (PKI) 管理员，以确定组织的登记过程，然后使用此过程在 Outlook Web Access 计算机上的个人证书存储中安装收件人的加密证书。

虽然能够手动导入证书，但由于操作的复杂性以及收件人的加密证书可能无法导出，因此通常不推荐此操作。若要了解此选项，应该咨询 PKI 管理员，以确定是否可以导出加密证书，以及组织的安全策略是否允许此操作。如果这是可行选项，您应该从 PKI 管理员获取有关导出加密证书的过程的信息。然后，可以在目标计算机上的证书管理器中参阅与导入加密证书的过程相关的联机帮助。