用户如何在 Outlook 2007 中管理加密数字标识
更新时间: 2009年4月
应用到: Office Resource Kit
上一次修改主题: 2009-04-03
Microsoft Office Outlook 2007 向用户提供了管理其数字标识的方法 — 将用户的证书与公用和私有加密密钥集结合起来。数字标识通过让用户的电子邮件交换加密消息来帮助确保电子邮件的安全性。管理数字标识的过程包括:
获取数字标识。有关用户如何获得数字标识的详细信息,请参阅 Outlook 帮助主题“获取数字标识”。
存储数字标识,这样,您就可以将此标识移到另一台计算机或使其可供他人使用。
向他人提供数字标识。
将数字标识导出到文件中。当用户要创建备份或移到新计算机时,这很有用。
将文件中的数字标识导入到 Outlook 中。数字标识文件可能是用户的备份副本,也可能包含另一个用户的数字标识。
续订已过期的数字标识。
在多台计算机上执行加密消息处理的用户必须将其数字标识复制到每台计算机上。
存储数字标识的位置
可以将数字标识存储在三个位置:
Microsoft Exchange 全球通讯簿
轻型目录访问协议 (LDAP) 目录服务
Microsoft Windows 文件
Microsoft Exchange 全球通讯簿
在 Exchange 高级安全性中注册的用户将其证书存储在其组织的全球通讯簿中。此外,用户可以使用其 LDAP 提供程序来打开全球通讯簿。
只有通过 Microsoft Exchange Server 高级安全性或通过 Microsoft Exchange 密钥管理服务器 (KMS) 生成的证书才会在全球通讯簿中自动发布。对于外部生成的证书,可以通过在信任中心中的“工具”菜单项之下单击“发布到全球通讯簿”按钮,手动将证书发布到全球通讯簿。
Internet 目录服务 (LDAP)
外部目录服务、证书颁发机构或其他证书提供商可以通过 LDAP 目录服务发布其用户的证书。Outlook 允许通过 LDAP 目录访问这些证书。
Windows 文件
可以将数字标识存储在用户的计算机上。用户可以通过在信任中心中使用“工具”菜单项下的“导入/导出”选项将其数字标识导出到文件中。当他们通过提供密码来创建文件时,可以对该文件进行加密。
向他人提供数字标识
为使用户能够与其他用户交换加密电子邮件,他们必须具有彼此的公钥。用户通过证书来提供对其公钥的访问。可以通过多种方法向他人提供数字标识;例如,用户可以:
使用证书对电子邮件进行数字签名。
使用目录服务(如 Microsoft Exchange 全球通讯簿)提供证书。
以经过数字签名的电子邮件形式提供证书
用户通过撰写电子邮件并使用证书对邮件进行数字签名,向其他用户提供其公钥。当 Outlook 用户收到签名的邮件时,他们可以右键单击“发件人”行上的用户名并单击“添加到联系人”。地址信息和证书将保存在 Outlook 用户的联系人列表中。
从目录服务获取证书
另一种方法是,当用户发送加密后的电子邮件时,自动从标准 LDAP 服务器上的 LDAP 目录中检索另一个用户的证书。要以这种方式访问证书,用户必须使用数字标识针对其电子邮件帐户在 S/MIME 安全性中进行注册。
用户还可以从全球通讯簿中获取证书。为此,用户必须在 Microsoft Exchange Server 高级安全性中进行注册。
导入数字标识
用户可以从文件中导入数字标识。这一点很有用,例如,用户要从一台新计算机发送加密的电子邮件。用户从中发送加密电子邮件的每台计算机都必须已经安装了该用户的证书。用户可以通过在信任中心中使用“工具”菜单项下的“导入/导出”选项从文件中导入数字标识。
续订密钥和证书
每个证书和私钥都有关联的时间限制。当 Microsoft Exchange 密钥管理服务器提供的密钥在接近指定的时段时,Outlook 将显示一条警告消息并提示续订密钥。Outlook 将向用户发出提示,并代表每个用户向服务器发送续订邮件。
如果用户不选择在证书过期之前续订证书,或者如果他们使用其他证书颁发机构而非 KMS,则用户必须与证书颁发机构联系以续订证书。