当收件人的 Exchange 服务器的本地计算机证书存储中没有发件人的根 CA 数字证书时，不能验证发件人的数字签名

上一次修改主题： 2005-05-19

问题描述

当收件人在带有 S/MIME 控件的 Outlook Web Access 中查看经过数字签名的邮件时，收件人的 Exchange 服务器将代表收件人执行证书验证。有关此问题的详细信息，请参阅实现并维护 Outlook Web Access S/MIME 控件。若要成功验证发件人的数字签名，收件人的 Exchange 服务器必须能够成功验证发件人的数字证书。若要验证发件人的数字证书，收件人的 Exchange 服务器必须能够验证整个证书链。若要完成此验证，收件人的 Exchange 服务器必须能够访问证书链中适当的数字证书。至少，收件人的 Exchange 服务器必须信任颁发发件人的签名证书的根证书颁发机构 (CA)。为使收件人的 Exchange 服务器信任颁发发件人签名证书的根 CA，发件人的根 CA 的数字证书必须位于收件人的 Exchange 服务器上本地计算机证书存储内的“受信任的根证书颁发机构”文件夹中。

如果收件人使用某个证书（此证书的根 CA 不在收件人的 Exchange 服务器的本地计算机证书存储中的“受信任的根证书颁发机构”文件夹内）查看经过签名的邮件，则 Outlook Web Access 将显示以下错误消息：

此数字标识由不可信的源颁发。

解决方法

若要解决此问题，请将发件人的根 CA 的数字证书导入到收件人的 Exchange 服务器上本地计算机证书存储内的“受信任的根证书颁发机构”文件夹中。有关详细步骤，请参阅如何将发件人的根 CA 的数字证书导入收件人的 Exchange 服务器的本地计算机证书存储中的“受信任的根证书颁发机构”文件夹。如果导入根 CA 的数字证书，自然会向根 CA 的层次结构所颁发的每个数字证书授予信任。其安全策略禁止授予此信任的那些组织将需要寻找交叉验证策略作为替代解决方法。您应该咨询 PKI 管理员以获取有关交叉验证的信息。有关在使用 Microsoft Windows Server™ 2003 CA 时如何实现交叉验证的信息，请参阅“Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003”（英文）。