Exchange 2000让电子邮件系统更加安全(4)-和Outlook的集成

目录支持

---- Outlook 2000的“Internet惟一邮件”方式和Outlook Express 5.0都支持LDAP。邮件客户能够连接到任何和LDAP协议兼容的目录，从而能够把账户信息（包括证书）下载到用户的个人地址薄中。假如在Outlook的界面增加LDAP目录服务，Outlook 2000的“团体/工作组”方式会支持LDAP协议。然而，和Outlook 2000的“Internet惟一邮件”方式和Outlook Express 5.0的LDAP 服务不同，Outlook 2000的“团体/工作组”方式不支持从Exchange目录下载证书，但支持用MAPI从Exchange目录下载证书。

---- Windows 2000自动为以下邮件客户发布证书，这些用户具备Windows 2000的企业认证证书CA，并且把CA作为Windows 2000的主动目录（Active Directory，AD）的客户账户进行登录。相比之下，Windows NT 4.0只在Exchange目录中为在高级安全服务上登录过的客户发布证书。为使Outlook 2000的“Internet惟一邮件”方式能浏览AD，需用要创建一个通过3268口（通用目录口）连接到Windows 2000局部控制器的新目录服务账户。在信道拥挤时，Outlook 2000的“团体/工作组”方式只能和AD连接，Outlook Express 5.0把浏览AD作为一种默认方式。

---- Windows 2000自动地把已登录用户的证书添加到用户个人证书存储区，如图1所示。证书存储区中的用户周详描述部分是用户属性的一部分。在默认情况下，用户属性存放在本地用户的工作站上。假如用户所属的组织支持漫游功能，还是能够把用户属性存储到一个中央服务器上。在Windows 2000平台上，任何运行CryptoAPI 2.0的应用程式都能共享证书。事实上，Outlook 2000和Outlook Express 5.0都支持CryptoAPI 2.0。

Outlook和私人密钥保护

---- Outlook 2000和Outlook Express 5.0均使用了微软的保护存储功能，保护存储是Windows 2000系统提供的服务功能的一部分，他通过先进的软件方式保护私有密钥的存储。先进的软件安全保护措施有助于保护用户存放在系统硬盘上的密钥。但是，笔者认为，更好的解决方案是把密钥存放在硬件安全模块（Hardware Security Module，HSM）上或智能卡上。例如Compaq公司的Atalla Internet安全处理器的HSM是个电脑插卡，当入侵者窜改上面的数据时，他能够自动删除所存储的数据。考虑到HSM的价格比较昂贵，较便宜的基于智能卡（大约50美元）的解决方案更受欢迎，像Gemplus公司的GemSAFE User 2.0，对于客户端的私人密钥保护，是一种更加可行的方案。

---- 当用户通过认证登录之后，能够使用口令保护性地访问有关的私人密钥，然后使用Windows 2000提供的具备128位加密能力的Syskey工具进一步保护硬盘口令存储。要查看Syskey的配置配置情况，在命令行键入“syskey”即可。用户能够在系统启动时手工输入Syskey密钥，将他存放到软盘上，或使用一个复合的乱码算法加密后把密钥存放在硬盘上。Windows 2000的默认方式是通过Syskey把密钥存放在硬盘上。

S/MIME证书

---- S/MIME在X.509和国际电信联盟电信技术部（ITU-T）的基础上建立了定义数字证书格式的开放标准。任何最新的微软产品都支持X.509版本3证书。为了兼容Outlook 97和 Exchange Server 4.0/5.0，Exchange 2000也支持X.509版本1（X.509版本3的子集）证书。Windows 2000证书服务器只发行X.509版本3证书，但是系统管理员能够配置Exchange 2000的KMS，使他发行X.509版本1或X.509版本3证书。

---- 要想查看S/MIME证书的内容和格式，用户能够加载用户账户的MMC证书插件。操作方法是：打开个人证书容器，双击S/MIME证书，在把证书输出到一个.cer文档后，在命令行状态下，使用Certutil工具便可查看证书的内容（如图2所示）。注意，只有在Windows 2000中运行了Windows 2000 CA之后，Certutil工具才有效。

---- Outlook 2000和Outlook Express 5.0都能够从目录上下载证书或接收签名邮件的证书附件。在用户使用证书前，必须先使他生效。Outlook 2000和Outlook Express 5.0以不同的标准确定用户是否能够使用证书的公钥，并进行S/MIME的加密操作。

S/MIME的互操作性

---- 有一次，笔者作为一个在Exchange 2000高级安全上登录的用户，给Netscape Messenger和Outlook Express 5.0 用户发送签名邮件，但出现了问题。原因在于RFC 822名字的检查。使用KMS发布的证书不包含证书主题的RFC 822名字，只包含一个X.500识别名字（Distinguished Name，DN），比如CN=Jan、CN=Recipients、CN=AMTG 管理组和0=Compaq等。而且，证书不包含主题的选择名字域。要解决这个问题，Windows 2000证书服务器应该发布包含主题选择名字和RFC 822名字的S/MIME证书。

---- 在Windows NT 4.0平台上，假如用户针对包含一个若干连接在一起的证书服务器的证书体系创建一个S/MIME的互操作方案时，可能会碰到一些问题。微软正在对有关问题进行解决。据悉，Internet Explorer 5.0、Outlook Express 5.0、Outlook 2000和Windows 2000 专业版都增强了在CA层对证书确认支持。

---- 从互操作性的角度来看，最重要的非微软S/MIME客户是Netscape Messenger。 Messenger是作为Netscape Communicator的一部分发布的。Messenger的强项之一就是他支持一系列的非微软平台，其中包括Unix和Linux。现在，Communicator 4.7还不支持证书撤除表的分布指针。据了解，Netscape计划在发行下一个Communicator版本时，嵌入这一重要的扩展。Netscape的最新证书服务器的证书管理系统CMS 4.1已具备在证书管理系统发布的任何证书中嵌入分布指针的能力。Netscape还计划支持双密钥和数据恢复。CMS 4.1有一个叫做数据恢复管理器的新组件，他负责私有密钥的存档和恢复。北美版的CMS 4.1有一个Communicator 4.5双密钥测试插件，他使得Communicator能处理双密钥。另一个有关Netscape邮件客户的有趣的细节是，用户不能够选择透明或不透明签名。Netscape Messenger默认发送透明签名邮件。

---- Netscape和微软电子邮件系统的客户端能够使用公共密钥加密标准交换证书和私有密钥。为了确保密钥只能以

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!