Exchange 2003 的 PKI 支持

上一次修改主题： 2005-05-19

在了解 Exchange 2003 系统中提供的可用于电子邮件客户端的选项后，可以讨论可用于支持这些电子邮件客户端的 PKI 的选项。

如Exchange 2003 邮件安全系统的组件中所讨论，Exchange 2003 中的 PKI 主要与电子邮件客户端交互。至于应采用哪个 PKI 来支持 Exchange 2003 邮件安全，主要应从电子邮件客户端来考虑。

Exchange 2003 中对 S/MIME 标准的支持还意味着 PKI 决策会受与 PKI 直接相关的一些考虑因素的影响。如果选定的 PKI 支持 S/MIME 3 标准，那么可以将它用于 Exchange 2003 邮件安全系统。这一支持提供了灵活性。部署 PKI 可能是一个既复杂又具有很高要求的项目。基于与 PKI 直接相关的考虑因素来决定 PKI 的部署会使 PKI 的部署更可行，并增加成功的可能性。许多组织已有 PKI，或者正在实现 PKI。基于 S/MIME 标准来实现邮件安全性的做法增加了在 Exchange 2003 中使用这些 PKI 的可能性，并使您不必因为仅仅要支持邮件安全性而重新部署和维护一个单独的 PKI。如果 PKI 可以支持 S/MIME 3，那么您可以将它用作基于 Exchange 2003 的邮件安全系统的一部分。

在以前版本的 Exchange 中，Exchange 通过密钥管理服务来提供通常与 PKI 关联的全部或部分功能。在运行 Windows NT® 4.0 及更早版本的 Exchange 5.5 及更早版本中，密钥管理服务提供了与 PKI 关联的所有功能。Windows® 2000 证书服务及其对 S/MIME 3 的支持采用了密钥管理服务以前执行的许多功能。Exchange 2000 与 Microsoft Active Directory® 目录服务的集成进一步削减了密钥管理服务的功能。在 Exchange 2000 中，密钥管理服务仅提供处理私钥的存档和恢复的功能，而 Windows 2000 证书服务不提供该功能。

在 Windows Server™ 2003 中，证书颁发机构 (CA) 现在提供密钥恢复和存档，并使得以前与密钥管理服务关联的功能可用。由于 Windows Server 2003 提供了实现邮件安全所需的全部功能，因此密钥管理服务在 Exchange 2003 中被完全删除。由于从 Exchange 中删除了所有密钥管理功能，因此，Exchange 现在只需要一个支持 S/MIME 3 数字证书的电子邮件客户端。

由于 Exchange 中的支持是完全基于标准的，因此客户可以选择如何使用 PKI。他们可以使用在 Windows Server 2003 中可用的 S/MIME 3 证书，以便在运行 Windows 2000 Service Pack 3 或更高版本的 Active Directory 环境中自动登记该证书，并使其自动集成到 Active Directory 环境中。或者，客户可以实现支持 S/MIME 3 的另一个 PKI，并将它与他们的电子邮件客户端支持直接集成。客户还可以实现包含 Windows Server 2003 和其他证书服务的 PKI。客户可以决定不实现他们自己的 PKI，而依赖公共证书颁发机构所提供的 S/MIME 3 证书。

重要提示：
若要成功地实现 PKI，需要进行详细的规划。客户在实现 PKI 前应当研究所有可用的选项，并确定最满足其需求和功能的解决方案。

由于每个组织对于 PKI 都有不同需求和功能，因此 Exchange 2003 为 S/MIME 标准提供的支持使得在 PKI 中可以灵活地实现邮件安全支持。客户可以从广泛的电子邮件客户端选项中进行选择，从而建立满足其特定需求的系统。

在了解组成邮件安全系统的技术以后，应利用所了解的知识来进一步了解组成 S/MIME 的服务（数字签名和邮件加密）的工作原理。