Exchange 2000让电子邮件系统更加安全(4)-与Outlook的集成
目录支持---- Outlook 2000的“Internet惟一邮件”方式和Outlook Express 5.0都支持LDAP。邮件客户可以连接到任何与LDAP协议兼容的目录,从而可以把账户信息(包括证书)下载到用户的个人地址薄中。如果在Outlook的界面增加LDAP目录服务,Outlook 2000的“团体/工作组”方式会支持LDAP协议。然而,与Outlook 2000的“Internet惟一邮件”方式和Outlook Express 5.0的LDAP 服务不同,Outlook 2000的“团体/工作组”方式不支持从Exchange目录下载证书,但支持用MAPI从Exchange目录下载证书。
---- Windows 2000自动为以下邮件客户发布证书,这些用户具有Windows 2000的企业认证证书CA,并且把CA作为Windows 2000的主动目录(Active Directory,AD)的客户账户进行登录。相比之下,Windows NT 4.0只在Exchange目录中为在高级安全服务上登录过的客户发布证书。为使Outlook 2000的“Internet惟一邮件”方式能浏览AD,需用要创建一个通过3268口(通用目录口)连接到Windows 2000局部控制器的新目录服务账户。在信道拥挤时,Outlook 2000的“团体/工作组”方式只能和AD连接,Outlook Express 5.0把浏览AD作为一种默认方式。
---- Windows 2000自动地把已登录用户的证书添加到用户个人证书存储区,如图1所示。证书存储区中的用户详细描述部分是用户属性的一部分。在默认情况下,用户属性存放在本地用户的工作站上。如果用户所属的组织支持漫游功能,还是可以把用户属性存储到一个中心服务器上。在Windows 2000平台上,所有运行CryptoAPI 2.0的应用程序都能共享证书。事实上,Outlook 2000和Outlook Express 5.0都支持CryptoAPI 2.0。
Outlook和私人密钥保护
---- Outlook 2000和Outlook Express 5.0均使用了微软的保护存储功能,保护存储是Windows 2000系统提供的服务功能的一部分,它通过先进的软件方式保护私有密钥的存储。先进的软件安全保护措施有助于保护用户存放在系统硬盘上的密钥。但是,笔者认为,更好的解决方案是把密钥存放在硬件安全模块(Hardware Security Module,HSM)上或智能卡上。例如Compaq公司的Atalla Internet安全处理器的HSM是一个计算机插卡,当入侵者窜改上面的数据时,它可以自动删除所存储的数据。考虑到HSM的价格比较昂贵,较便宜的基于智能卡(大约50美元)的解决方案更受欢迎,像Gemplus公司的GemSAFE User 2.0,对于客户端的私人密钥保护,是一种更加可行的方案。
---- 当用户通过认证登录之后,可以使用口令保护性地访问有关的私人密钥,然后使用Windows 2000提供的具有128位加密能力的Syskey工具进一步保护硬易做图令存储。要查看Syskey的配置设置情况,在命令行键入“syskey”即可。用户可以在系统启动时手工输入Syskey密钥,将它存放到软盘上,或使用一个复合的乱码算法加密后把密钥存放在硬盘上。Windows 2000的默认方式是通过Syskey把密钥存放在硬盘上。
S/MIME证书
---- S/MIME在X.509和国际电信联盟电信技术部(ITU-T)的基础上建立了定义数字证书格式的开放标准。所有最新的微软产品都支持X.509版本3证书。为了兼容Outlook 97和 Exchange Server 4.0/5.0,Exchange 2000也支持X.509版本1(X.509版本3的子集)证书。Windows 2000证书服务器只发行X.509版本3证书,但是系统管理员可以配置Exchange 2000的KMS,使它发行X.509版本1或X.509版本3证书。
---- 要想查看S/MIME证书的内容和格式,用户可以加载用户账户的MMC证书插件。操作方法是:打开个人证书容器,双击S/MIME证书,在把证书输出到一个.cer文件后,在命令行状态下,使用Certutil工具便可查看证书的内容(如图2所示)。注意,只有在Windows 2000中运行了Windows 2000 CA之后,Certutil工具才有效。
---- Outlook 2000和Outlook Express 5.0都能够从目录上下载证书或接收签名邮件的证书附件。在用户使用证书前,必须先使它生效。Outlook 2000和Outlook Express 5.0以不同的标准确定用户是否可以使用证书的公钥,并进行S/MIME的加密操作。
S/MIME的互操作性
---- 有一次,笔者作为一个在Exchange 2000高级安全上登录的用户,给Netscape Messenger和Outlook Express 5.0 用户发送签名邮件,但出现了问题。原因在于RFC 822名字的检查。使用KMS发布的证书不包含证书主题的RFC 822名字,只包含一个X.500识别名字(Distinguished Name,DN),比如CN=Jan、CN=Recipients、CN=AMTG 管理组和0=Compaq等。而且,证书不包含主题的选择名字域。要解决这个问题,Windows 2000证书服务器应该发布包含主题选择名字和RFC 822名字的S/MIME证书。
---- 在Windows NT 4.0平台上,如果用户针对包含一个若干连接在一起的证书服务器的证书体系创建一个S/MIME的互操作方案时,可能会遇到一些问题。微软正在对有关问题进行解决。据悉,Internet Explorer 5.0、Outlook Express 5.0、Outlook 2000和Windows 2000 专业版都增强了在CA层对证书确认支持。
---- 从互操作性的角度来看,最重要的非微软S/MIME客户是Netscape Messenger。 Messenger是作为Netscape Communicator的一部分发布的。Messenger的强项之一就是它支持一系列的非微软平台,其中包括Unix和Linux。目前,Communicator 4.7还不支持证书撤除表的分布指针。据了解,Netscape计划在发行下一个Communicator版本时,嵌入这一重要的扩展。Netscape的最新证书服务器的证书管理系统CMS 4.1已经具有在证书管理系统发布的所有证书中嵌入分布指针的能力。Netscape还计划支持双密钥和数据恢复。CMS 4.1有一个叫做数据恢复管理器的新组件,它负责私有密钥的存档和恢复。北美版的CMS 4.1有一个Communicator 4.5双密钥测试插件,它使得Communicator能处理双密钥。另一个有关Netscape邮件客户的有趣的细节是,用户不可以选择透明或不透明签名。Netscape Messenger默认发送透明签名邮件。
---- Netscape和微软电子邮件系统的客户端可以使用公共密钥加密标准交换证书和私有密钥。为了保证密钥只能以Outlook 2000的“Internet惟一邮件”方式或Outlook Express 5.0的方式输出,需要选择“Mark keys as exportable”选择框(如图3所示)。但是,需要注意的是,当密钥过期时会对邮件系统的安全造成威胁。
---- 总之,在客户端的Outlook 2000和Outlook Express 5.0与在服务器端的Exchange 2000相互结合,构成了比较成熟的S/MIME安全平台。这一平台得益于Windows 2000的PKI,提供了更加强大的S/MIME安全功能,还扩充了和非微软邮件客户端在S/MIME方面的互操作功能。
,