实现带有 S/MIME 控件的 Outlook Web Access

项目
10/25/2013

上一次修改主题： 2006-02-20

带有 S/MIME 控件的 Outlook Web Access 支持是作为 Exchange 2003 的 Outlook Web Access 支持的一部分而自动提供的。Exchange Server 管理员不需要安装单独的组件来启用带有 S/MIME 控件的 Outlook Web Access 支持。但是，需要首先在用户的客户端系统和用户的 Exchange 服务器上进行一些配置更改，然后才能使用带有 S/MIME 控件的 Outlook Web Access。

带有 S/MIME 控件的 Outlook Web Access 与 Outlook Web Access 在运行上的类似之处在于，运行用户客户端系统的 Web 浏览器与用户的 Exchange 服务器协同工作，以提供电子邮件客户端功能。实现并维护 Exchange 2003 以支持邮件安全性中已讨论，在基于 Exchange 2003 的邮件安全系统中，电子邮件客户端与 PKI 交互以提供与 S/MIME 关联的服务。在实现带有 S/MIME 控件的 Outlook Web Access 时，电子邮件管理员会启用带有 S/MIME 控件的 Outlook Web Access 支持，然后将带有 S/MIME 控件的 Outlook Web Access 与组织的 PKI 集成。

配置用户的客户端系统

要配置用户的客户端系统以支持带有 S/MIME 控件的 Outlook Web Access，需要执行下面两个操作：

在客户端系统中部署带有 S/MIME 控件的 Outlook Web Access。
使客户端系统获得合适的数字证书。

部署 S/MIME 控件

若要使用带有 S/MIME 控件的 Outlook Web Access，则运行 Internet Explorer 的客户端系统上必须已安装带有 S/MIME 控件的 Outlook Web Access。在未安装带有 S/MIME 控件的 Outlook Web Access 的系统中，不能使用 Outlook Web Access 中的 S/MIME 功能。

重要提示：
带有 S/MIME 控件的 Outlook Web Access 要求客户端系统使用 Microsoft Windows® 2000 或更高版本，以及 Internet Explorer 6 或更高版本。S/MIME 控件无法安装在不满足这两个要求的系统上。此外，若要使用带有 S/MIME 控件的 Outlook Web Access 的功能，用户必须使用 Internet Explorer 打开 Outlook Web Access。如果客户端系统上安装的是其他浏览器，您将无法使用 S/MIME 控件。要使用 Outlook Web Access 中的 S/MIME 功能，只能使用 Internet Explorer 6。

带有 S/MIME 控件的 Outlook Web Access 要求客户端系统使用 Microsoft Windows® 2000 或更高版本，以及 Internet Explorer 6 或更高版本。S/MIME 控件无法安装在不满足这两个要求的系统上。此外，若要使用带有 S/MIME 控件的 Outlook Web Access 的功能，用户必须使用 Internet Explorer 打开 Outlook Web Access。如果客户端系统上安装的是其他浏览器，您将无法使用 S/MIME 控件。要使用 Outlook Web Access 中的 S/MIME 功能，只能使用 Internet Explorer 6。

可以从 Outlook Web Access 内的“选项”页下载 S/MIME 控件。若要部署带有 S/MIME 控件的 Outlook Web Access，请指导用户将该控件下载并安装到其客户端系统上。有关详细步骤，请参阅如何安装 Outlook Web Access S/MIME 控件。

S/MIME 控件将从 Exchange 服务器下载到本地计算机上。成功安装该控件后，系统的任何用户（包括没有管理员特权的用户）都能使用该控件。为使 S/MIME 控件正确运行，用户为使用 Outlook Web Access 而连接到的 Internet Explorer 区域必须具有下列设置：

“下载已签名的 ActiveX 控件”设置为“提示”或“启用”。
“运行 ActiveX 控件和插件”设置为“启用”（或“管理员认可”且 S/MIME 控件为已认可的控件）。
“对标记为可安全执行脚本的 ActiveX 控件执行脚本”设置为“启用”。

默认情况下，在 Internet 和 Intranet 区域中已启用这些设置。

URLScan 或其他文件阻止软件

许多公司在 Outlook Web Access 的前端 HTTP 服务器上都使用 URLScan。URLScan 可监视 URL，并允许用户阻止特定的文件类型（如 .exe 和 .vbs 文件）通过线路进入 Outlook Web Access 客户端。如果使用 URLScan 或类似软件保护 Outlook Web Access 客户端，并希望从公司防火墙外部可以使用 S/MIME 控件，则需要允许可执行文件 (.exe) 类型的文件通过 URLScan 和防火墙。

S/MIME 控件的其他部署选项

在许多环境中，由于组织安全策略的限制，用户对其客户端计算机不具有管理员权限。用户无法下载并安装 S/MIME 控件。电子邮件客户端管理员需要与桌面系统的管理员协同工作，以寻求在遵守组织的安全策略的情况下将 S/MIME 控件部署到用户桌面的方法。

建议对下面的两个部署策略进行评估：

将 S/MIME 控件集成到预先配置的桌面映像中。
使用组织的企业软件管理系统部署 S/MIME 控件安装包。

所有用户（包括没有管理员权力的那些用户）都可以使用已安装到客户端系统上的 S/MIME 控件。对于那些已使用这一策略来管理桌面配置的组织而言，将 S/MIME 控件集成到标准化映像中是一种适用的解决方案。

对于未使用桌面映像，但又希望为没有管理员特权的用户部署 S/MIME 控件的组织而言，应该使用其组织的企业软件管理系统来部署 S/MIME 控件安装。

注意：
SP1 新增功能在 Exchange Server 2003 SP1 中，S/MIME 控件安装程序是包含在自解压可执行文件中的 Microsoft 安装程序 (MSI) 文件；通过此解决方案，用户可利用企业软件管理系统将 S/MIME 控件部署到桌面上。Exchange 2003 之前的版本使用的是一种不同的 S/MIME 控件安装机制，它与企业管理和部署工具不兼容。安装包名为 Setupmcl.exe，当 Exchange 2003 SP1 安装完毕后，它位于以下目录中（其中 version 是 SP1 的内部版本号）：

SP1 新增功能 在 Exchange Server 2003 SP1 中，S/MIME 控件安装程序是包含在自解压可执行文件中的 Microsoft 安装程序 (MSI) 文件；通过此解决方案，用户可利用企业软件管理系统将 S/MIME 控件部署到桌面上。Exchange 2003 之前的版本使用的是一种不同的 S/MIME 控件安装机制，它与企业管理和部署工具不兼容。安装包名为 Setupmcl.exe，当 Exchange 2003 SP1 安装完毕后，它位于以下目录中（其中 version 是 SP1 的内部版本号）：

    drive:\program files\exchsrvr\exchweb\version\cabs\setupmcl.exe

有关如何使用企业软件管理系统构建并部署自定义安装的信息，请参阅企业软件管理系统文档。

使数字证书在客户端系统上可用

在 Exchange 2003 中实现并维护 PKI 以支持邮件安全性提供了有关带有 S/MIME 控件的 Outlook Web Access 如何在 PKI 的支持下执行证书验证的详细信息。作为电子邮件客户端管理员，您应该了解客户端系统必须通过将证书安装到用户的个人证书存储中或通过使用智能卡，来使适当的数字证书可用。请咨询 PKI 管理员以了解如何使用户的数字证书可以被客户端系统使用。

配置 Exchange 服务器

除了配置用户的客户端系统外，还必须配置用户的 Exchange 服务器以支持带有 S/MIME 控件的 Outlook Web Access。这一配置将使客户端可以处理和验证数字证书。具体地说，用户的 Exchange 服务器必须在本地计算机帐户的个人证书存储中有适当的根证书，并且还必须能够访问和检索（通常通过网络且使用 HTTP 或 LDAP）PKI 为证书验证所提供的信息。

注意：
在前端和后端配置中，必须将数字证书添加到后端服务器的个人证书存储中。

与对用户的客户端系统进行配置以确保可以使用适当的数字证书一样，请咨询 PKI 管理员以确定哪些证书（如果有）需要在用户的 Exchange 服务器上可用。如果 PKI 管理员确定需要将数字证书添加到 Exchange 服务器的本地计算机帐户个人证书存储中，那么可以手动添加这些证书，或使用组策略传播这些证书。建议在可能时使用组策略。有关使用组策略传播数字证书的信息，请参阅 Windows Server™ 2003 文档。有关将数字证书手动添加到用户的 Exchange 服务器上的步骤，请参阅 Exchange Server 2003 中的 S/MIME 疑难解答。

用户的客户端系统将处理与用户私钥有关的数字证书，而用户的 Exchange 服务器则处理与其他用户的公钥有关的数字证书，并验证与双方公钥有关的数字证书。

若要访问 PKI 为进行证书验证而提供的信息，请确保当用户的 Exchange 服务器位于防火墙后面时，这些服务器可以使用适当的协议（通常为 HTTP 或 LDAP）穿过防火墙进行连接。请咨询 PKI 管理员以确定要支持证书验证需要在客户端系统上进行哪些配置，并咨询防火墙管理员以执行适当的更改。

注意：
如果您使用的是 Windows Server 2003，则可以使用 Proxycfg.exe 实用程序配置内置的 HTTP 代理客户端，而不是安装代理客户端。但是，此代理不支持 LDAP。如果需要通过 LDAP 访问证书验证信息，则需要安装支持 LDAP 的防火墙客户端。有关使用和配置 Windows Server 2003 代理客户端的详细信息，请参阅联机帮助中有关 Proxycfg.exe 的信息。

如果您使用的是 Windows Server 2003，则可以使用 Proxycfg.exe 实用程序配置内置的 HTTP 代理客户端，而不是安装代理客户端。但是，此代理不支持 LDAP。如果需要通过 LDAP 访问证书验证信息，则需要安装支持 LDAP 的防火墙客户端。有关使用和配置 Windows Server 2003 代理客户端的详细信息，请参阅联机帮助中有关 Proxycfg.exe 的信息。

在用户的客户端系统上安装了 S/MIME 控件，并确保该客户端系统和 Exchange 服务器配置为支持数字证书的处理和验证后，可以与 PKI 管理员协同工作，以便将带有 S/MIME 控件的 Outlook Web Access 与 PKI 集成。

将带有 S/MIME 控件的 Outlook Web Access 与 PKI 集成

带有 S/MIME 控件的 Outlook Web Access 设计为使用符合 S/MIME 版本 3 标准的任何数字证书。可以将带有 S/MIME 控件的 Outlook Web Access 与现有的 PKI 集成，也可以在 Exchange 2003 中实现支持 S/MIME 的新 PKI（如果它支持 S/MIME 版本 3）。

如果计划将带有 S/MIME 控件的 Outlook Web Access 与 PKI 集成，那么电子邮件客户端管理员主要需要关注的问题是：确保 PKI 管理员已经使相应的数字证书在 Microsoft Active Directory® 目录服务以及用户的客户端系统上可用。要实现这一点，可以将证书存储在用户客户端系统的证书存储中、使其可通过智能卡使用、或使其可通过采用支持证书软件漫游的加密服务应用程序 (CSP) 来使用。如果计划实现带有 S/MIME 控件的 Outlook Web Access，PKI 管理员应阅读在 Exchange 2003 中实现并维护 PKI 以支持邮件安全性。此部分提供了有关将 PKI 与基于 Exchange 2003 的系统集成的特定信息，从而补充了现有的 PKI 文档。此部分包含有关在 PKI 中支持带有 S/MIME 控件的 Outlook Web Access 的信息。

如果您不希望实现 PKI，可以使用公共的 PKI 网络来提供必要的 PKI 以启用 S/MIME。有关可以与带有 S/MIME 控件的 Outlook Web Access 一起使用的公共 PKI 供应商列表，请参阅“在哪里得到您的数字 ID”以及“Digital ID（英文）”。

使用带有 S/MIME 控件的 Outlook Web Access

在完成安装和配置，并且为用户颁发适当的数字证书后，带有 S/MIME 控件的 Outlook Web Access 便能够发送经过数字签名和加密的电子邮件。

带有 S/MIME 控件的 Outlook Web Access 可为用户通过 Outlook Web Access 发送和接收的电子邮件提供 S/MIME 安全服务。用户不仅能够像使用 Outlook Web Access 一样与电子邮件交互，还能够发送和接收经过数字签名或加密的电子邮件。

带有 S/MIME 控件的 Outlook Web Access 提供三种使用 S/MIME 功能的途径：

个人可以使用 Outlook Web Access 来对单个电子邮件进行数字签名或加密。
个人可以配置带有 S/MIME 控件的 Outlook Web Access，以便在默认情况下对所有电子邮件进行数字签名或加密。
管理员可以配置带有 S/MIME 控件的 Outlook Web Access，以便要求对特定 Exchange 服务器上的用户的所有电子邮件进行数字签名或加密。

有关在发送和接收经过数字签名和加密的电子邮件过程中的常见问题的详细信息，请参阅 Exchange Server 2003 中的 S/MIME 疑难解答。

注意：
安装 S/MIME 控件后，当关闭邮件时，将从 Internet Explorer 缓存中删除直接通过已签名和加密的电子邮件打开的附件。这一操作仅针对经过签名和加密的项目。从未签名和未加密的邮件中打开的附件不会被删除。

对各个电子邮件进行签名和加密

默认情况下，带有 S/MIME 控件的 Outlook Web Access 被配置为不对电子邮件进行签名或加密。用户必须对电子邮件分别选择数字签名或加密，或更改默认设置。

安装 S/MIME 控件后，当撰写电子邮件时，会在所出现的工具栏中添加按钮。若要对单个电子邮件进行数字签名或加密，用户只需在该邮件上单击合适的按钮即可。在选定了相应按钮的情况下发送邮件时，带有 S/MIME 控件的 Outlook Web Access 会在电子邮件中添加相应的 S/MIME 服务。有关详细步骤，请参阅：

默认情况下对电子邮件进行签名和加密

除了添加允许对各个电子邮件进行签名和加密的按钮外，带有 S/MIME 控件的 Outlook Web Access 还会在“选项”页中的“邮件安全性”下添加复选框，以便默认情况下对所有电子邮件启用数字签名和加密。有关详细步骤，请参阅如何在 Outlook Web Access 中配置默认 S/MIME 设置。

要求对所有电子邮件进行签名和加密

可以要求始终对电子邮件进行数字签名或加密，从而取消可以让用户发送未签名或未加密的邮件这一选项。可以将这一要求与组织对电子邮件的使用而提出的安全策略一起使用。

在实现这些设置后，用户将无法发送未签名或未加密的电子邮件。实现这些设置需小心，因为如果无法获取适当的数字证书，用户将无法发送电子邮件。这些设置不会影响用户使用其他电子邮件客户端或不带 S/MIME 控件的 Outlook Web Access 来发送电子邮件的能力。若要使所有电子邮件的使用都符合这些要求，必须在使用这一设置时对其他电子邮件客户端加以类似的限制。此外，对于无法控制的那些电子邮件客户端，必须阻止其访问 Exchange 服务器。

这是通过用户 Exchange 服务器上的注册表设置中的下列注册表项来控制的：

AlwaysSign
AlwaysEncrypt

有关这些注册表项及其设置的详细信息，请参阅与 Outlook Web Access S/MIME 控件相关的设置。

查看签名和加密的电子邮件

只有在用户的私钥使用强密钥保护时，用户才需要提供个人标识号 (PIN) 或密码来查看经过数字签名或加密的电子邮件。带有 S/MIME 控件的 Outlook Web Access 会自动处理这些邮件，并根据数字证书提示用户输入任何必要的信息。对于经过数字签名的邮件，用户的客户端系统会验证邮件签名（使用公钥解密签名哈希值，然后计算和比较邮件哈希值），同时 Exchange 服务器会验证签名证书的有效性（过期、信任、吊销）。对于加密的邮件，用户的客户端系统自动尝试检索适当的私钥，并提示用户在必要的位置输入信息，如果成功，将显示电子邮件。有关在 Outlook Web Access 中浏览 S/MIME 邮件的详细步骤，请参阅下列内容：

有关在发送和接收经过数字签名和加密的电子邮件过程中遇到的问题的详细信息，请参阅 Exchange Server 2003 中的 S/MIME 疑难解答。