17.9 发送 S/MIME 安全讯息

GroupWise 使用您已安装的安全性软件发送安全项目。

17.9.1 要求

借助任何运用 Microsoft Cryptographic API 并支持完整 RSA 和/或 AES 的加密提供程序,即可使用本节中所述的安全性功能:

添加安全性

可通过对发送的项目进行数字签名或加密,为这些项目添加安全性。当您对一个项目进行数字签名后,收件人就能够校验该项目在路由中未被修改并且它由您发出。通过对项目进行加密,能够确保预期的收件人是唯一能够读取该项目的用户。

如果您使用 GroupWise 对项目进行了签名或加密,收件人可使用任何其他支持 S/MIME 的电子邮件产品读取这些项目。

了解安全性证书

安全性证书是标识个人或组织的文件。在发送安全项目之前,必须获取安全性证书。使用 Web 浏览器从独立的证书颁发机构获取证书。请访问 GroupWise 规范网页查看证书颁发机构列表。

也可以使用 LDAP 搜索安全性证书。

使用您的安全性证书对要发送的项目进行数字签名。使用其他用户的公共安全性证书对这些用户发送给您的有数字签名的项目进行校验。

要对项目加密并让收件人用户对项目加密,必须已经收到用户的公共安全性证书。此安全性证书的一个要素(称为公共密钥)用于加密项目。当收件人打开加密项目时,由安全性证书的另一个要素(称为私用密匙)对其进行解密。

有两种方法可获取用户的公共安全性证书:

  • 用户可向您发送一个带数字签名的项目。当您打开该项目时,将提示您添加并信任此安全性证书。

  • 用户可导出自己的公共证书,将其保存到磁盘或外部驱动器上,然后递送给您。之后您便可导入此公共证书。

接收安全项目

项目列表中的安全项目用下列图标标记:

图标

描述

签名项目

加密项目

签名且加密项目

使用安全性服务提供者

根据已安装的安全性软件,您可以为所发送的项目选择不同的安全性服务提供者。例如,因为其加密方法更合意,您的组织可能要求您对工作项目使用某个安全性服务提供者,而您可能想使用另一个安全性服务提供者发送个人项目。可用的安全性选项取决于您选择的安全性服务提供者。

有关详细信息信息,请参见选择安全性服务提供者

高级信息

GroupWise 与 S/MIME 版本 2 和版本 3 的规范兼容。GroupWise 支持的安全性服务提供程序采用了通用加密算法,如 RC2、RC4,以及 Windows 7 或更高版本中的加密算法 AES。对某项目进行数字签名时,GroupWise 使用标准 SHA-1 算法将该项目散列为讯息分解。讯息分解用发送的项目分发。

有关详细信息信息,请参见选择安全性服务提供者

17.9.2 对讯息进行数字签名或加密

要对项目加密并使收件人能够将其解密,您必须已经收到收件人的公共安全性证书。

  1. 确保您拥有安全性证书并已选择要使用的安全服务提供程序。

  2. 打开项目视图。

  3. 单击发往字段,键入用户名,然后按 Enter 键。对其他用户重复此操作。

  4. 单击 对此项目进行数字签名。

  5. 单击 对此项目进行加密。

  6. 键入主题和讯息。

  7. 单击工具栏上的发送

    如果在尝试发送项目时收到“未找到收件人证书”讯息,则表示发生了以下某种情况:1) 您试图为收件人加密项目,但没有该收件人的公共证书;2) 公共证书中的电子邮件地址与收件人的电子邮件地址不符;或 3) 收件人公共证书中没有电子邮件地址,无法校验收件人的电子邮件地址。

    如果 1) 为 true,则需要获取收件人的公共安全性证书。如果 2) 或 3) 为 true,请单击查找证书查找收件人的证书。

17.9.3 对所有讯息进行数字签名或加密

要对所有邮件进行数字签名或加密,请执行以下操作:

  1. 单击工具 > 选项

  2. 双击安全性,然后单击发送选项选项卡。

  3. 选择数字式签名为收件人加密

  4. 单击高级选项,然后进行选择。

  5. 单击两次确定,然后单击关闭

17.9.4 从证书颁发机构获取安全性证书

大多数公司都是由本地 GroupWise 管理员负责发放安全性证书。如果您不确定该从何处获取安全性证书,请联系您的本地 GroupWise 管理员。

  1. 单击工具 > 选项

  2. 双击证书

  3. 单击获取证书

    Web 浏览器将起动并显示 GroupWise 网页,该网页包含证书颁发机构列表。这只是部分列表;GroupWise 支持的证书颁发机构范围很广。

  4. 选择要使用的证书颁发机构,然后按照网站上的说明操作。

    如果您之前使用 Internet Explorer 获取了证书,该证书可用于 GroupWise 中。如果之前使用 Firefox 或 Chrome 获取了证书,则需要从浏览器中导出证书或者备份证书(请参见浏览器文档以了解相关操作步骤)。有关更多信息,请参见导入或导出安全性证书

  5. 在 GroupWise 中,单击工具 > 选项,双击安全性,然后单击发送选项选项卡。

  6. 从位于选择安全服务提供程序下面的名称下拉列表中,选择 Microsoft Base Cryptographic ProviderMicrosoft Enhanced Cryptographic Provider

    根据所使用的证书的加密强度选择适当的安全服务提供者。证书的加密强度取决于获取该证书所使用的浏览器的加密强度。例如,如果安装了 128 位加密的 Internet Explorer,则此加密强度较高,并且只能使用 Microsoft 增强密码提供者。

  7. 单击确定

  8. 双击证书,单击要使用的证书,然后单击设置为默认值

  9. 单击确定,然后单击关闭

17.9.5 选择安全性服务提供者

  1. 在主窗口中,单击工具 > 选项

  2. 双击安全性,然后单击发送选项选项卡。

  3. 名称下拉列表中选择安全性服务提供者。

  4. 单击确定,然后单击关闭

您登录到所选择的安全性服务提供者(如果要求登录)后,该提供者立即生效。可用的选项和加密方法取决于您选择的安全性服务提供者。

您不能在单独的项目中选择安全服务提供商选项。必须从主窗口选择这些选项。

17.9.6 为数字签名项目选择安全性证书

要选择用于进行数字签名的安全性证书,请执行以下操作:

  1. 单击工具 > 选项

  2. 双击证书

  3. 单击证书名称。

  4. 单击设置为默认值

  5. 单击确定,然后单击关闭

17.9.7 用 LDAP 搜索收件人加密证书

必须先将 LDAP 目录服务添加到 GroupWise 通讯录中,才能够使用 LDAP 目录服务来搜索安全性证书。有关详细信息,请参见将目录服务添加到通讯录

  1. 单击工具 > 选项,然后双击安全性

  2. 单击发送选项选项卡。

  3. 单击高级选项

  4. 选择在 LDAP 通讯录中定义的默认 LDAP 目录中搜索收件人加密证书

  5. 单击两次确定,然后单击关闭

17.9.8 选择项目加密所使用的方法

  1. 单击工具 > 选项

  2. 双击安全性,然后单击发送选项选项卡。

  3. 单击高级选项

    使用收件人首选的加密算法(如果可用): GroupWise 将试图使用收件人的首选加密算法(如果可用)。

    在 LDAP 通讯录中定义的默认 LDAP 目录下搜索收件人加密证书: GroupWise 用已定义的 LDAP 通讯录尝试查找收件人的加密证书。

    默认加密算法:加密项目框中的加密算法下拉列表可以上下滚动,其中包含运行 GroupWise 客户端的工作站上所安装的 Web 浏览器版本支持的所有加密算法。下面是一个列表示例:

    • 3DES(168 位)

    • DES(56 位)

    • RC2(128 位)

    • RC2(40 位)

    • RC2(56 位)

    • RC2(64 位)

    • RC4(128 位)

    • AES(128 位)

    • AES(256 位)

    将签名项目中我的首选加密算法广播为: 发送加密项目时,可以指定要使用的首选加密算法。

    用明文格式发送讯息部分(透明签名): 用明文发送讯息;否则它将作为 PKCS7 编码讯息发送。

    包括我的证书颁发机构的证书: 在发送的讯息中包括证书颁发机构的证书。

    为已撤消的证书检查进来/出去的安全性项目: 对照“证书撤消列表”检查进来的和出去的安全性项目。

    撤消服务器脱机时发出警告: 如果撤消服务器在 GroupWise 查找时脱机,则会收到警告。

    证书中没有证书撤消信息时发出警告: 如果证书中没有证书撤消信息,则会收到警告。

    不检查证书的 S/MIME 符合性: 不检查证书是否符合 S/MIME。

    检查证书是否符合 S/MIME 版本 2: 检查证书是否符合 S/MIME 版本 2 标准。

    检查证书是否符合 S/MIME 版本 3: 检查证书是否符合 S/MIME 版本 3 标准。

  4. 加密项目组框中进行选择。

  5. 单击两次确定,然后单击关闭

可用的加密方法取决于您选择的安全性服务提供者。

17.9.9 检查项目的数字签名是否已校验

要确定是否已校验数字签名,请执行以下操作:

  1. 打开您接收到的数字签名项目。

  2. 单击文件 > 安全属性

  3. 单击选项卡查看关于所使用的安全性证书的信息。

数字签名在您打开项目时校验。如果对项目签名的证书存在任何问题,则会立即显示警告或错误,且该项目的状态栏将显示“不可信”。

如果数字签名未经过校验,则安全性证书可能无效或者讯息文本自发送后已被更改。

17.9.10 查看已接收的安全性证书和更改信任

要查看收到的安全性证书或更改信任关系,请执行以下操作:

  1. 单击“完整文件夹列表”中的联系人

    要访问“完整文件夹列表”,请单击文件夹列表标题下拉列表(在“文件夹列表”上方;可能显示联机超速缓存以指明 GroupWise 正以哪种模式运行)。然后单击完整文件夹列表

    打开通讯录。

  2. 双击某个联系人,然后单击高级选项卡。

  3. 单击管理证书

  4. 单击某个证书,然后单击查看细节

如果您起初不信任收件人的安全性证书,而现在想信任它,请打开收件人的数字签名项目,然后依次单击安全性证书、修改信任、某个信任选项和确定

如果您不再信任收件人的安全性证书,请依次单击安全性证书、去除

当从列表中去除收件人的安全性证书时,该证书从您的证书数据库中去除。如果以后接到使用该安全性证书的项目,该证书将被视为未知。

17.9.11 查看自己的安全性证书

查看您自己的安全性证书:

  1. 单击工具 > 选项

  2. 双击证书

  3. 单击某个证书,然后单击查看细节

如果您拥有多个安全性证书,则默认安全性证书由选中标记指示。要更改默认安全性证书,请单击其他证书,然后单击设置为默认值

可通过单击编辑属性,然后在证书名称字段中编辑文本来更改安全性证书的名称。证书名称只会反映在列表中,并不储存在实际的证书中。

17.9.12 导入或导出安全性证书

当您将带有私用密匙的安全性证书导出到文件时,需要用口令来保护导出的文件。可使将导出的文件作为备份副本,也可以在其他工作站上导入该文件。如果另一个用户获取了该文件及其相关口令,该用户将能够以您的名义对项目进行数字签名,并能够读您接收的加密项目。

当您导出您的公共证书时,可将其发送给其他用户。其他用户随即可以导入您的公共证书并向您发送加密项目。

  1. 单击工具 > 选项

  2. 双击证书

  3. 单击导入导出

    或者

    单击证书颁发机构的证书,然后单击导入导出

  4. 键入文件名,包括路径。

    也可以单击浏览查找证书文件,单击文件名,然后单击保存打开

  5. 如果需要,键入您的证书口令。

  6. 单击确定