在单域环境下，一台机器安装域控制器(DC),证书服务（CA）,邮件服务器(EXCHANGE),
另外两台加入域的客户端，用于验证签名和加密．
拓朴图如下：



在这里因为涉及到的内容太多，所以要实现exchange的数字签名和加密．必须要先有域的概念，对证书的认识．
先简单提一下具体步骤：
安装活动目录，实现域．
IP:192.168.10.1/24
DNS:192.168.10.1
在运行dcpromo，集成安装dns.




安装exchange
安装exchange，必须要在系统里安装所需要的服务．
如：asp.net Internet信息服务（IIS）　万维网服务　简单邮件传输协议（SMTP） 网络新闻传输协议（NNTP）
这些服务都在控制面版的添加删除程式里面，可在运行下用命令直接打开：sysocmgr /i:sysoc.inf





对ＡＤ架构的扩展，运行ForestPreP,
创建Exchange服务器在读取和修改用户属性时所必需的组和权限．运行DomainPrep
接下来就能够安装Exchange2003


上面就做安了建立DC,安装exchange．
接下来安装证书服务．装的是企业根CA，装企业根CA,他必须要有DC的支持，我们在这里用证书实现邮件的签名和加密，不支持单独根CA.
同样也是在控制面版的添加删除程式(具体安装步骤我就省略啦,相信看到这里的都应该没什么问题)．
如图：





在域环境下，客户端申请证书时能够通过两种方式，一是MMC,一是IE,所以在安装证书前一般会先安装IIS,因为客户端一般会选择IE申请证书,刚好我们在装Exchange时，已装了IIS，在这里也提一下．

客户端加入域，申请数字证书并安装．由于证书特定于个人用户且存储为本地用户配置文档夹的一部分，所以，每个用户都需要获取自己的数字证书．
注：客户端第一次使用IE申请证书时，必须要有本地电脑管理员权限的账户，因为通过IE申请到证书时要安装，而只有管理员权限的账户才能安装属于ActiveX控件的权限． bitscn.com





在DC上创建邮箱帐号．a@contoso.msft b@contoso.msft





在客户端用a帐号登录，申请证书．并安装证书．
早请证书是通过IE申请的．在IE地址栏中输入http://192.168.10.1/certsrv
输入用户号密码．我用的是a用户．
申请完后安装证书，如下：





配置Exchange2003支持S/MIME
因为Exchange主要依靠CA和S/MIME功能，那么先确保邮件用户服务器存储能够保存成S/MIME邮件．默认情况下已启用这些配置．
打开Exchane系统管理器．邮件存储属性中更改．


服务器已启用S/MIME.接着下来是客户端．
exchange的客户端有3种类型，而每一种类型的客户端启用S/MIME的方法都不同．
先来分析一下Outlook2003下使用数字签名和加密．(那么客户端要先安装好Outlook2003)
在Outlook上配置邮箱帐号a,使用数字证书．




Outlook配置数字证书．
在outlook的工具菜单，选项．安全．
能看到a的数字证书．





用同样的方法在另一台客户端对用户b操作，先为b申请证书，配置b邮箱帐号．





到现在为止，任何的环境已搭建好，在两台客户端上就能够实现相互发送数字签名连同加密的邮件．
在这里有一点很重要，在上上篇文章中已讲过exchange数字签名，加密的原理，
做加密时用的是收件人的公钥，才能加密．
如a一开始要给b发送一封加密的邮件是不能够的，必须要b先给a发送一封签名的邮件，在这个b给a签名邮件的过程当中，a就能拿到b的公钥，只有拿到了b的公钥,用户a才能给b发送加密的邮件．假如一开始就先加密，b收到条件后或a不可发,会出现的错误如下：

DL.bitsCN.com网管软件下载

那么必须要先b给a发一封签名的邮件，接就a就拿到b的公钥，就能够给b发送加密的邮件．先b发送的签名邮件．



a收到b的邮件后打开，获取b的公钥．

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!