网络系统安全与维护 在微软Outlook中使用SMIME.doc

Outlook在安全多功能因特网邮件扩展(S/MIME)方面支持，给与用户终端到终端的保护：你创建的消息能够在你的计算机中被标记或者加密，并且在它们传送过程中，以及传送到收件人所属得Exchange邮箱服务器上整个过程都在保护下。加密，标记，反加密，以及校验消息是比较容易的，并且在详细说明书中指出Outlook给出了大量的有关安全设置的控制。有关Outlook的安全多功能因特网邮件扩展(S/MIME)支持的最好的一项是它通过CryptoAPI(加密应用程序接口)完全地匹配系统的密码学的特征。如果你使用证书或者保全卡(smart cards)去访问控制或者其他功能，你将能够将同样的证书在Outlook上使用(就像它们已有的证书被通过使用S/MIME的发行者所标记)。 　　因为在S/MIME中的MIME是S/MIME消息中的安全内容，它实际上构成了多用途Internet邮件扩展(MIME)主体部分，就像在RFC1847中描述的那样。举例来说，这意味着一个简单的文本消息依然可以包含一个附属签名。这被称为明文签署的消息(clear-signed message)，因为通过客户端的消息不需要弄懂S/MIME签名依然能够被读出。和它对应的是，秘文签署的消息(opaque-signed message)，在一个单独的部分中包含消息和签名的结合体，除非通过校验签名，要不然无法被读出。 　　S/MIME的标准版本3，默认情况下被Outlook支持和使用。是由有关于如何创建客户端和服务器端，进程，以及处理安全邮件等多个部分所组成。具体如下： 　　●RFC 3369描述了密码学的消息书写句法(CMS)，这是S/MIME消息的格式。CMS来源于早期的公开密钥加密标准(PKCS)#7格式(RFC2315)。这就是为什么使用S/MIME进行保护的消息依然显示的是.p7m扩展名的附件，来代表PKCS #7 MIME部分。这个RFC吸引用户的地方主要是因为它严格地描述了客户端如何必须去标记，加密，解密和校验消息，以及如何构建消息以使得其他的客户端能够读取它们。 　　●RFC 3370确定所有S/MIME的标准版本3中的运算法则，包括：安全哈希运算法则1(SHA-1)，散列法的消息分类-5(MD5)，数字签名运算法则(DSA)，签名的RSA算法，以及用于消息秘文的RC2和三倍数据加密标准(3DES)。单独执行去为它添加更多的运算法则，假如他们完全地识别出一个特定的消息中应用的运算法则，那么收件方能够将它识别出来。 　　●RFC 2632描述为兼容S/MIME的软件以证书的形式处理。它详细说明了什么时候，客户端怎样检查证书撤回和到期，他们是如何处置未确认的指定数字签名(CA)扩展，等等内容。 　　●根据它自身的描述，RFC 2633定义了如何创建一个MIME主体部分，是根据起源于PKCS #7标准的CMS进行加密。这个备忘录也定义了应用/ pkcs7-mime MIME类型，能够被用于传输这些主体部分。 　　作为一个邮件系统管理员，你甚至不想去读取这些RFC，但是他们能够向你提供一些有关为什么S/MIME客户端在一些情况下选择那样的方法等等有用的知识。 　　对于S/MIME的标准版本3，Outlook是完全支持的。加上其他一些RFC 2634中定义的附加特性，包括数字符号消息接收，安全标签(例如：秘密或绝密)，以及其他的一些用户不太关心的特性，比如：防御消息系统(DMS)， 在微软Outlook中使用S/MIME 　　S/MIME(安全多媒体传送格式)会让终端用户有一些为难的感觉。因为它主要依赖于运算法则和那些描述得很复杂的协议。微软在Outlook中将它做的尽可能的简单明了，但是这样S/MIME依然为用户带来了很大好处。 　　为微软Outlook所作的管理证书 　　在你能够使用S/MIME进行很多设置之前，你将会需要一个X.509v3证书，它是用来标记邮件的(不管是作为一个标记证书，一个加密证书，或者是两者兼有的证书)。因此，证书管理是应该被合理的利用 　　为微软Outlook获得一个新的证明 　　为你的私钥，Outlook能够正确的使用任何一个被创建的合适的X.509v3证书。以供你能够在你正确使用的计算机上为你的本地用户profile获得证书。不管你是否安装了一个完整的公共密钥基础设施(PKI)或者单个用户是否需要证书，你都能够通过Exchange 2000服务器密钥管理服务(KMS)，通过一个Windows Server 2003 CA手动或者自动登记，或者通过从第三方CA手动请求单独的证书，来登记用户。 　　如果你不使用Windows Server 2003 CA来手动或自动地登记一个证书，你要通过启动Outlook，去让Outlook去请求你的新证书