在 PKI 中支持 Outlook

  • 项目

 

上一次修改主题: 2005-12-14

本主题讨论 PKI 管理员应考虑的下列方面:

  • 脱机通讯簿
  • “发布到全球通讯簿”按钮
  • “获取数字标识”按钮
  • 其他 Outlook 考虑因素

脱机通讯簿

脱机通讯簿与 PKI 管理员相关,因为在脱机使用 Outlook 时它将替换 Microsoft Active Directory® 目录服务。脱机通讯簿负责让用户在脱机工作时可以使用其他用户的电子邮件数字证书。默认情况下,脱机通讯簿包括用户在与 Active Directory 联系时可访问的所有有效的电子邮件数字证书。脱机通讯簿包括可用于电子邮件的所有数字证书,并删除过期的或无效的证书。默认情况下,脱机通讯簿提供的 S/MIME 功能与 Active Directory 所提供的该功能相同。由于包括证书会增加脱机通讯簿的大小并可能增加下载时间,所以某些管理员可能要更改默认行为。

有关脱机通讯簿和电子邮件客户端管理员的详细信息,请参阅Outlook 客户端(基于 MAPI)

“发布到全球通讯簿”按钮

“发布到全球通讯簿”按钮位于“选项”对话框的“安全”选项卡中。当用户单击此按钮时,Outlook 会将用户的 ExchangeUserSignature 和 ExchangeUser 证书以 PKCS #7 的格式发布到 Active Directory 中用户对象的 userSMIMECertificate 属性。它还会将用户的 ExchangeUser 证书以 DER 编码的格式发布到 Active Directory 中用户对象的 userCertificate 属性。

通过此按钮,用户可以将证书发布到他们从其他来源获取的公司目录。此发布可以绕过您的组织中为处理数字证书而建立的过程。此外,管理员还可以使用 Active Directory 用户和计算机中的“发行的证书”选项卡将证书添加到 userCertificate 属性,但是不能将同一证书添加到 userSMIMECertificate 属性。不同的电子邮件客户端使用不同的证书时,会遇到不同的问题。有关详细信息,请参阅当使用带有 S/MIME 控件的 Outlook 和 Outlook Web Access 时使用不同的证书。您可能需要请求 Outlook 管理员禁用此按钮。如果将基于 Windows 的 CA 用于 PKI,建议您禁用此按钮,因为它有可能造成证书不匹配。

“获取数字标识”按钮

“获取数字标识”按钮位于“选项”对话框的“安全”选项卡中。当用户单击此按钮时,用户将转到可用于申请数字证书的网页。如果 PKI 管理员启用了基于 Web 的登记表单,则应该要求 Outlook 管理员自定义此按钮,以便将用户指引到此自定义页。可以在用户系统的以下注册表项中指定登记页 URL:

HKEY_CURRENT_USER\Software\Microsoft\Office\version number\Outlook\Security

可以通过 Office 资源工具包使用组策略或直接更改注册表来设置此项。有关设置此注册表项的详细信息,请参阅 Office 2003 Resource Kit 中的“Setting Consistent Outlook Cryptography Options for an Organization”(英文)。有关自定义 Outlook 的早期版本的信息,请参阅 Office 资源工具包的早期版本。

其他 Outlook 考虑因素

Outlook 使管理员可以通过策略来指定一些与 PKI 相关的配置设置。例如,可以将 Outlook 配置为始终对电子邮件进行签名和加密。

有关如何更改和配置这些功能的信息,请咨询电子邮件客户端管理员,并参阅: