数字签名和加密电子邮件的逐步式指南
本文提供了部署和配置 Microsoft Windows Server 2003 操作系统包含的电子邮件服务的示例过程。电子邮件服务与 Microsoft 证书服务结合使用,为数字签名和加密组织内部或外部的电子邮件通信奠定了支持基础。
本页内容
 | 简介 |
| 概述 |
| 配置电子邮件服务 |
| 获取数字标识 |
| 数字签名和加密电子邮件 |
| 其他资源 |
简介
逐步式指南
Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构:安装 Windows Server 2003;配置 Active Directory®;安装 Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
| • | |
| • |
在配置通用网络结构后,可以使用任何其他的逐步式指南。注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC
可以在物理实验室环境中或通过虚拟化技术(如 Microsoft Virtual PC 2004 或 Microsoft Virtual Server 2005)来实施 Windows Server 2003 部署逐步式指南。借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。
重要说明
此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统 (DNS) 名称并未注册以便在 Internet 上使用。您不应在公共网络或 Internet 上使用此名称。
此通用结构的 Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与 Active Directory 配合使用。不能将其作为任何组织进行 Active Directory 配置的模型。
概述
目前,越来越多的个人和组织将电子邮件作为发送机密信息的工具。考虑到数据具有的敏感性,电子邮件系统必须提供防止修改数据的机制,同时还应确保邮件不能被指定收件人以外的任何其他人中途截获和阅读。
通过在 Microsoft Outlook 或 Outlook Express 中使用数字标识,您可以在电子交易中以某种方式证明您自己的身份,这种方式类似于在兑现支票时出示您的驾驶执照。您也可以使用数字标识来加密邮件以保守其秘密。数字标识结合了安全/多用途 Internet 邮件扩展 (S/MIME) 规范以保证电子邮件的安全性。
数字标识的工作方式
数字标识由公钥、私钥和数字签名组成。在邮件经过数字签名后,将向邮件中添加一个数字签名和公钥。数字签名和公钥的组合被称为“证书”。通过使用 Outlook 或 Outlook Express,您可以将证书指定为供试图向您发送加密邮件的其他人使用。这一证书可能不同于您的签名证书。
电子邮件收件人使用数字签名来验证发件人的身份。电子邮件作者使用公钥来加密邮件,只有指定收件人能够使用对应的私钥阅读该邮件。要发送加密邮件,通讯簿中必须包含该收件人的数字标识。这样,电子邮件发件人即可使用收件人的公钥来加密邮件。当收件人收到加密邮件后,可使用其私钥来解密该邮件以便阅读。
在发送经过数字签名的邮件之前,您必须先获取一个数字标识。如果要发送加密邮件,则您的通讯簿中必须包含各个收件人的数字标识。
如何获取数字标识
数字标识是由独立的证书颁发机构 (CA) 颁发的,可出于商业或个人使用目的获取该标识。在 CA Web 站点申请数字标识时,先要对申请者的身份加以验证,然后才能颁发标识。数字标识分为不同的等级,不同等级证明具有不同的可信级别。有关更多信息,请参见从哪里获取数字标识 Web 站点。
如何验证数字签名
利用撤销检查,电子邮件收件人可以对经过数字签名的邮件的有效性进行验证。在验证数字签名的有效性时,Outlook 客户端从相应 CA 请求有关该数字标识的信息。CA 会传回有关该数字标识状态的信息,包括该标识是否已吊销。CA 会对那些由于丢失或终止等原因而被吊销的证书进行跟踪。
先决条件
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |
配置电子邮件服务
利用电子邮件服务,您可以在计算机中安装一些组件并将该计算机配置为电子邮件服务器。电子邮件服务包括邮局协议 3 (POP3) 服务以及简单邮件传输协议 (SMTP) 服务,分别用于接收和传送电子邮件。为了向用户提供电子邮件服务(如发送和接收电子邮件),管理员可以在服务器上创建一些邮箱。
POP3
POP3 服务是一种用来接收电子邮件的电子邮件服务。管理员可以使用 POP3 服务,在邮件服务器上存储和管理电子邮件帐户。在邮件服务器中安装了 POP3 服务后,用户即可使用支持 POP3 协议的电子邮件客户端(如 Outlook 或 Outlook Express)连接到邮件服务器,并将电子邮件接收到其本地计算机中。POP3 服务与用来发送外发电子邮件的 SMTP 服务结合使用。
SMTP
SMTP 控制将电子邮件经由组织或 Internet 向目标服务器传输和递送的方式。SMTP 在服务器之间接收和发送电子邮件。在安装 POP3 服务时,就会自动在计算机中安装 SMTP 服务以允许用户发送外发电子邮件。当使用 POP3 服务创建域时,还会将该域添加到 SMTP 服务中,以允许该域中的邮箱发送外发电子邮件。邮件服务器中的 SMTP 服务接收传入的邮件,并将该电子邮件传送到邮件存储中。
设置电子邮件服务
要安装电子邮件服务,请按照以下步骤操作:
1. | 以“Administrator@contoso.com”的身份登录到“HQ-CON-DC-01”中。 |
2. | 单击“开始”按钮,单击“控制面板”,然后单击“添加或删除程序”。 |
3. | 单击“添加/删除 Windows 组件”,选择“电子邮件服务”复选框,然后单击“下一步”。(注意,您可能需要提供安装 CD 才能继续。) |
4. | 在“Windows 组件向导”完成后,单击“完成”,然后关闭“添加或删除程序”屏幕。 |
要配置电子邮件服务,请按照以下步骤操作:
1. | 单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“POP3 服务”。 |
2. | 在“POP3 服务”下面,在左侧树中单击“HQ-CON-DC-01”。 |
3. | 单击“新域”链接,键入“contoso.com”作为“域名”,然后单击“确定”。 |
4. | 在右窗格中,双击“contoso.com”。在“HQ-CON-DC-01”下面,左窗格中的树将展开并显示“contoso.com”域。单击“添加邮箱”链接。 |
5. | 在“添加邮箱”屏幕上,键入“mike”作为“邮箱名”,清除“为此邮箱创建相关联的用户”复选框,单击“确定”,在出现“POP3 服务”确认屏幕后,再次单击“确定”。 |
6. | 再次单击“添加邮箱”链接,重复步骤 5 为“Administrator”创建邮箱。 注意:由于 Active Directory 帐户是在安装电子邮件服务之前建立的,因此,需要对邮箱进行手动配置。如果登录和邮箱名相同,POP3 服务配置将使用关联的电子邮件地址来更新 Active Directory 用户信息。在定义新的邮箱时,POP3 服务可以自动创建用户帐户。 |
7. | 最小化“POP3 服务”MMC。 |
要测试基本电子邮件功能,请按照以下步骤操作:
1. | 单击“开始”按钮,指向“所有程序”,然后单击“Outlook Express”。 |
2. | 在“Internet 连接向导”屏幕上,键入“Contoso Administrator”作为“显示名”,然后单击“下一步”。 |
3. | 键入“administrator@contoso.com”作为“电子邮件地址”,然后单击“下一步”。 |
4. | 在“接收邮件服务器”和“发送邮件服务器”中,键入“HQ-CON-DC-01”,然后单击“下一步”。 |
5. | 在“Internet 邮件登录”屏幕上,将登录名更改为“administrator@contoso.com”并提供“Administrator”帐户的“密码”,然后单击“下一步”。 |
6. | 单击“完成”。 |
7. | 单击“发送/接收”按钮,以确保能够与电子邮件服务器成功交互。 |
8. | 单击“创建邮件”,将邮件地址指定为“mike@contoso.com”,键入“Test Mail”作为“主题”,然后单击“发送”。 |
9. | 最大化“POP3 服务”MMC。 |
10. | 在右侧的结果窗格的“HQ-CON-DC-01”树下面,确认 mike 的“邮箱”中有一封邮件,然后关闭“POP3 服务”MMC。 |
获取数字标识
许多组织都安装了自己的 CA 并向内部设备、服务及雇员颁发证书以构建一个更安全的计算环境。大型组织可能会在层次结构(指向受信任的根 CA)中安装多个 CA。因此,组织的雇员可能在其证书存储中拥有多个由各个内部 CA 颁发的证书,他们均通过指向根 CA 的证书路径共享一个信任连接。
在下面几节中,将通过 Contoso CA 向域成员颁发电子邮件签名证书,在提供的示例中,Contoso CA 与商业根 CA 之间没有信任连接。也就是说,在 Contoso 环境中,安全电子邮件基于 Contoso CA 颁发的证书;如果在 Contoso 网络内部使用,安全电子邮件是可验证的。但是,无法对发送到 Contoso 组织以外的任何安全电子邮件进行验证,除非在 Contoso CA 与商业根 CA 之间建立了信任关系。
您可以出于个人或组织使用目的,从商业 CA(例如 Verisign)购买证书。在您购买了证书并使用它对电子邮件进行数字签名后,任何邮件收件人都可以证实邮件在传输过程中未被修改,还可以证实该邮件来自于您(当然,这里假定邮件收件人信任向您颁发证书的 CA)。
注意:在以下几节中,从商业根 CA 获取的个人证书可用作 Contoso CA 所颁发证书的替代证书,从而将此示例扩展至 Contoso 名称空间以外。
从 Contoso CA 获取数字标识
必须由能访问与公钥(此公钥将成为证书的一部分)关联的私钥的用户、计算机或服务来申请证书。在 Windows Server 2003 操作系统中,可以使用两种主要方法来明确申请证书。
| • | 使用证书申请向导申请证书 当您从 Windows Server 2003 企业 CA 申请证书时,可以使用位于“证书”管理单元中的证书申请向导。 |
| • | 使用 Windows Server 2003 证书服务 Web 页申请证书 对于在运行 Windows Server 2003 的计算机中安装的每个 CA,用户可以访问其 Web 页以提交基本证书申请和高级证书申请。默认情况下,这些页面位于 http://servername/certsrv,其中 servername 是运行 Windows Server 2003 的计算机的名称。 要使用证书申请向导申请证书,请按照以下步骤操作: |
1. | 在“HQ-CON-DC-01”中,单击“开始”按钮,单击“运行”,键入“certmgr.msc”,然后单击“确定”。 |
2. | 在“证书 - 当前用户”下面,单击“个人”旁边的加号 (+) 以展开该文件夹。 |
3. | 右键单击“证书”,指向“所有任务”,然后单击“申请新证书”。在“证书申请向导”欢迎屏幕上,单击“下一步”。 |
4. | 在“证书类型”下面单击“用户”,然后单击“下一步”。 |
5. | 键入“Digital ID”作为“好记的名称”,然后单击“下一步”。 |
6. | 确保证书申请的设置与图 1 相同,然后单击“完成”。  图 1. 证书申请 |
7. | 单击“确定”确认证书申请成功。 |
8. | 关闭“证书管理器”MMC。 |
为自动注册配置证书服务
在 Windows XP 和 Windows Server 2003 Standard Edition 中,自动注册是一种非常有用的证书服务功能。管理员可以使用自动注册,将使用者配置为自动注册证书、收回颁发的证书以及续订过期证书等操作,而无需使用者进行交互。使用者无需了解任何证书操作,除非您将证书模板配置为与使用者交互。
要配置证书自动注册,请按照以下步骤操作:
1. | 单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“组策略管理”。 |
2. | 单击“林:contoso.com”旁边的加号 (+),单击“域”旁边的加号 (+),右键单击 contoso 树下面的“Domain Password Policy”,然后单击“重命名”。 注意:确保您当前正在 contoso.com 根域中操作。 |
3. | 将“Domain Password Policy”更改为“Domain Password and Certificate Policy”,然后按“Enter”键。 |
4. | 右键单击“Domain Password and Certificate Policy”,然后单击“编辑”。 |
5. | 在“计算机配置”下面,展开“Windows 设置”树,展开“安全设置”树,然后单击“公钥策略”。 |
6. | 在右侧结果窗格中,双击“自动注册设置”。 |
7. | 在“自动注册证书”下面,选中两个复选框(图 2 所示),然后单击“确定”。  图 2. 证书自动注册 |
8. | 重复步骤 5 到 7,为“Domain Password and Certificate Policy”的“用户配置”部分配置证书自动注册。 |
9. | 关闭“组策略对象编辑器”,然后关闭“组策略管理”窗口。 |
10. | 单击“开始”按钮,单击“运行”,键入“certsrv.msc”,然后单击“确定”。 |
11. | 在“证书颁发机构”树下面,单击“ContosoCA”旁边的加号 (+),右键单击“证书模板”,然后单击“管理”。 |
12. | 右键单击“用户模板”,然后单击“复制模板”。 |
13. | 键入“Autoenrolled User”作为“模板显示名”,然后单击“安全”选项卡。 |
14. | 在“组或用户名称”下面,单击以突出显示“Domain Users”。 |
15. | 在“Domain Users 权限”下面,选中“自动注册”旁边的“允许”复选框(如图 3 所示),然后单击“确定”。  图 3. 证书模板安全性 |
16. | 关闭“证书模板管理器”,右键单击“证书模板”,指向“新建”,然后单击“要颁发的证书模板”。 |
17. | 双击“Autoenrolled User”,然后单击以突出显示“颁发的证书”。在下一节中,将对自动注册的证书进行验证。 |
要获取自动注册的证书,请按照以下步骤操作:
1. | 以“mike@contoso.com”的身份登录到“HQ-CON-WRK-01”中。 注意:Mike 将在大约 90 秒内收到一份自动注册的用户证书。可以在“HQ-CON-DC-01”上的“证书管理器”控制台中的“颁发的证书”屏幕上对它进行验证。如果 Mike 在几分钟后仍未收到自动注册的证书,您可以在命令提示符下运行“gpupdate /force”以加快组策略刷新的速度。 |
数字签名和加密电子邮件
要在 HQ-CON-WRK-01 中配置 Outlook Express,请按照以下步骤操作:
1. | 在“HQ-CON-WRK-01”中,单击“开始”按钮,指向“所有程序”,然后单击“Outlook Express”。 |
2. | 在“Internet 连接向导”屏幕上,键入“Mike”作为“显示名”,然后单击“下一步”。 |
3. | 键入“mike@contoso.com”作为“电子邮件地址”,然后单击“下一步”。 |
4. | 在“接收邮件服务器”和“发送邮件服务器”中,键入“HQ-CON-DC-01”,然后单击“下一步”。 |
5. | 在“Internet 邮件登录”屏幕上,将登录名改为“mike@contoso.com”并提供“Mike”的“密码”,然后单击“下一步”。 |
6. | 单击“完成”。 |
7. | 单击“发送/接收”按钮以确保能够与电子邮件服务器成功交互,然后单击“收件箱”。其中应该有一封来自 Contoso Administrator 的电子邮件。 |
要在 Outlook Express 中配置数字标识,请按照以下步骤操作:
1. | 在“HQ-CON-WRK-01”上的“Outlook Express”中,单击“工具”按钮,然后单击“选项”。 |
2. | 单击“安全”选项卡,然后单击“高级”选项卡。 |
3. | 在“高级安全设置”屏幕底部的“撤销检查”下面,选中“检查已撤销的数字标识”的“只在联机时”复选框,如图 4 所示。  图 4. Outlook Express 高级安全设置 |
4. | 单击“确定”两次。 |
发送经过数字签名的电子邮件
经过数字签名的电子邮件允许电子邮件收件人验证您的身份。加密电子邮件可防止他人在邮件传输过程中阅读该邮件。
要发送经过数字签名的电子邮件,请按照以下步骤操作:
1. | 单击“创建邮件”。 |
2. | 在“收件人:”地址栏中,键入“administrator@contoso.com”,然后键入“Test Signed Email”作为“主题”。 |
3. | 依次单击“工具”菜单、“数字签名”和“发送”。 |
阅读并验证经过数字签名的电子邮件
您可以像阅读其他邮件一样,阅读经过数字签名或加密的邮件。在第一次打开或预览经过数字签名的邮件或加密邮件时,Outlook 和 Outlook Express 会显示“帮助”屏幕。
如果收到有问题的安全邮件(例如,邮件被篡改或发件人的数字标识已过期),您首先会看到一则详细描述该问题的安全警告,然后才允许您查看邮件的内容。您可以根据警告信息来决定是否查看该邮件。
如果您向某一联系人发送了一封经过数字签名的邮件,则您可以像阅读普通邮件那样阅读该联系人发给您的加密邮件。
要阅读并验证经过数字签名的电子邮件,请按照以下步骤操作:
1. | 切换到“HQ-CON-DC-01”并访问“Outlook Express”,然后单击“发送/接收”按钮。 |
2. | 双击“Mike”发来的“Test Signed Email”。 |
3. | 在电子邮件右上角,单击“红色证书”图标。确认邮件内容未经过修改并且签名是可信任的(如图 5 所示),然后单击“确定”。打开 Mike 发来的邮件后,单击邮件底部的“继续”,然后关闭 Mike 发来的电子邮件。  图 5. 验证数字标识 注意:不会对 Administrator 的数字标识安全设置强制执行撤销检查。 |
4. | 单击“工具”,然后单击“选项”。 |
5. | 单击“安全”选项卡,然后单击“高级”选项卡。 |
6. | 在“高级安全设置”屏幕底部的“撤销检查”下面,选中“检查已撤销的数字标识”的“只在联机时”复选框,如图 4 所示。 |
7. | 单击“确定”两次。 |
要发送经过数字签名和加密的电子邮件,请按照以下步骤操作:
1. | 在“HQ-CON-DC-01”中,右键单击 Mike 发来的电子邮件,然后单击“答复发件人”。 |
2. | 单击“工具”菜单,然后单击“加密”。 |
3. | 单击“发送”。 |
4. | 切换到“HQ-CON-WRK-01”,打开来自“Contoso Administrator”的答复邮件,然后确认电子邮件属性。它们应该与图 6 中显示的内容相似。  图 6. 验证经过数字签名和加密的电子邮件 |
其他资源
有关更多信息,请参见以下资源。
| • | |
| • | Microsoft 证书服务(公钥结构),网址为:http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx |
| • | 有关 Windows Server 2003 的最新信息,请参见 Windows Server 2003 Web 站点,网址为: |