HL-UKey客户端开发套件-智能卡邮件加密配置手册.doc

智能卡登录配置手册内部文档hl-ukey客户端开发套件-智能卡邮件加密配置手册目 录(一）说明31本地windows帐户身份验证32active directory集成的身份验证4（二）配置域控制器，应用程序服务器，文件服务器及颁发和申请智能卡证书6（三）配置邮件服务器6（四）管理邮件服务器101设置邮件存储位置102管理域132.1 创建域132.2 管理域142.3 管理邮箱15（五） 配置客户端的收发邮件和数字签名185.1 outlook express设置185.2 数字签名215.3 加密执行22（一） 说明 随着电子邮件和电子商务的逐渐普及，在 internet 上传递的机密信息也在迅速增加。因此，对电子邮件的安全性和非公开性提出了更高的要求。另外，随着activex 控件、script 脚本和java 小程序的广泛使用，所收电子邮件中 html 内容在未经许可的情况下访问或修改计算机中文件的可能性也在不断增强。如何确保自己的个人邮件隐私不会被泄露，邮件在发送后没有被人截获、修改，许多安全专家都正在寻找行之有效的方法。 windows outlook express 包含一些工具，有助于您防止欺骗行为、增强电子邮件的非公开性并防止对计算机进行未授权的访问。这些工具通过安全区域使您能够更安全地发送和接收邮件并控制可能携带有害内容的电子邮件。要使用 outlook express 中的安全电子邮件，您需要数字id (也叫数字证书)。提供了一种在 internet 上验证您身份的方式，与您的身份证、司机驾照或日常生活中的其他身份证的方式相似。数字id 允许您给电子邮件签名，这样真正的收件人可确保该邮件确实是由您发来的并且没有受损。另外，数字id 允许其他人给您发送加密的邮件，邮件内容只有接收方本人才能解开。 要获得数字id，您必须从发证机构获得，那是个负责发布数字证书的组织，并不断地验证数字证书是否持续有效。他们对用户的身份进行审核，并以自身的信用提供对用户身份的担保。然后您可将您的数字证书发送给要给您发送加密邮件的用户，您也可用相同的数字证书发送签名邮件。个人用户可以申请免费的个人证书，这种证书的申请较为简单，也比较容易审核通过。利用microkey给邮件加数字签名可以起到对邮件的加密和保护的作用。对收，发邮件的用户的审核，对邮件的保存是通过邮件服务器实现的。邮件服务器系统由pop3服务、简单邮件传输协议(smtp)服务以及电子邮件客户端三个组件组成。其中的pop3服务与smtp服务一起使用，pop3为用户提供邮件下载服务，而smtp则用于发送邮件以及邮件在服务器之间的传递。电子邮件客户端是用于读取、撰写以及管理电子邮件的软件。windows server 2003操作系统新增的pop3服务组件可以使用户无需借助任何工具软件，即可搭建一个邮件服务器。通过电子邮件服务，可以在服务器计算机上安装pop3组件，以便将其配置为邮件服务器，管理员可使用 pop3 服务来存储和管理邮件服务器上的电子邮件帐户。下面的内容是让我们来讨论邮件服务器的配置与管理。pop3 服务提供三种不同的身份验证方法来验证连接到邮件服务器的用户。在邮件服务器上创建任何电子邮件域之前，必须选择一种身份验证方法。只有在邮件服务器上没有电子邮件域时，才可以更改身份验证方法。 1本地windows帐户身份验证如果邮件服务器不是活动目录域的成员，并且希望在安装了邮件服务的本地计算机上存储用户账户，那么可以使用“本地windows 帐户”身份验证方法来进行邮件服务的用户身份验证。本地windows账户身份验证将邮件服务集成到本地计算机的安全账户管理器(sam)中。通过使用安全帐户管理器，在本地计算机上拥有用户账户的用户就可使用与由pop3服务提供的或本地计算机进行身份验证的相同的用户名和密码。本地windows账户身份验证可以支持一个服务器上的多个域，但是不同域上的用户名必须惟一的。例如，用户名为和的用户不能同时在一个服务器上存在的。如果以相应的用户账户创建一个邮箱，则该用户账户将被添加到“pop3用户”本地组。即使在服务器上拥有相同的用户账户，“pop3用户”组的成员也不能在本地登录服务器。使用计算机的本地安全策略可以增强对本地登录的限制，因此仅授权的用户有本地登录权限，这样可以提高服务器的安全性。另外如果用户不能本地登录到服务器，并不影响其使用pop3服务。本地windows账户身份验证同时支持明文和安全密码身份验证(spa)的电子邮件客户端身份验证。其中的明文以不安全和非加密的格式传输用户数据，所以不推荐使用明文身份验证。而spa要求电子邮件客户端使用安全的身份验证传输用户名和密码，因此推荐使用该方法来取代明文身份验证。2active directory集成的身份验证如果安装pop3服务的服务器是活动目录域的成员或者是活动目录域控制器，则可以使用活动目录集成的身份验证。同时，使用活动目录集成的身份验证，可以将pop3服务集成到现有的活动目录域中。如果创建的邮箱与现有的活动目录用户账户相对应，则用户就可以使用现有的活动目录域用户名和密码来收发电子邮件。可以使用活动目录集成的身份验证来支持多个pop3域，这样就可以在不同的域中建立相同的用户名。例如，可以使用名为的用户和名为的用户。在使用活动目录集成的身份验证，并且拥有多个pop3电子邮件域时，当创建一个邮箱时，应该确保考虑新邮箱的名称与其他pop3电子邮件域中现有邮箱的名称是否相同。每个邮箱都与一个活动目录用户账户相对应。活动目录集成的身份验证同时支持明文和安全密码身份验证(spa)的电子邮件客户端身份验证。如果将一个正在使用本地windows账户身份验证的邮件服务器升级到域控制器，必须按照下面的步骤来进行：(1)删除pop3服务中所有现有的电子邮件账户及域。(2)创建活动目录。(3)将本地windows账户身份验证方法更改为活动目录集成的身份验证方法。(4)重新创建域及相应的邮箱。需要注意的是，如果不按照以上推荐的升级过程，有可能会造成pop3服务不能正常工作。另外，当使用活动目录集成的身份验证时，同时若要管理pop3服务，则必须登录到活动目录域，而不是登录到本地计算机上。采用以上两种身份验证机制的活动目录域，可以实现对客户端连接的身份验证机制。在“pop3服务”控制台右键单击计算机名，选择“属性”菜单项，将显示计算机属性对话框。选择其中的“对所有客户端连接要求安全密码身份验证(spa)”复选框，即可启用该域中所有电子邮件客户端的身份验证。spa仅支持活动目录集成的身份验证和本地windows账户身份验证。如果启用了spa，则用户的电子邮件客户端也必须配置为使用spa。如果配置邮件服务器要求安全密码身份验证，只会影响pop3服务而不会影响简单邮件传输协议(smtp)服务。（二） 配置域控制器，应用程序服务器，文件服务器及颁发和申请智能卡证书此步骤已在“ hl-ukey 客户端开发套件win2003智能卡登录配置手册.doc”中（一）到（五）部分加以说明。本说明不再熬述。（三）配置邮件服务器 （1）以域管理员身份登录到系统。 单击“开始”，“管理工具”“管理您的服务器”，如图211。图211（2）从“管理您的服务器”界面上选择“添加或删除角色”选项，进入到“配置您的服务器向导”（图222），单击“下一步”。图221（3）在“服务器角色”界面中选择“邮件服务器（pop3,smtp）”，选择“下一步”（图231）。图231（4）在弹出的对话框（图241）界面中，“身份验证方法”栏选activedirectory集成的，“电子邮件域名”的文本框中输入与所建立的域名同样的邮件域名，单击“下一步”。图241（5）在“选择总结”（图251）界面中，单击“下一步”。图251（6）该向导会自动安装邮件服务器，如图在（图261），（图262） 点击完成。即完成对邮件服务器的安装。图261图262（四）管理邮件服务器1设置邮件存储位置默认状态下，系统将用户邮件保存在c:inetpubmailrootmailbox文件夹中。由于系统分区的容量十分有限，因此通常需要将邮件存储位置修改为其他磁盘分区。如果想设置邮件的存储位置，则必须是本地计算机administrators组中的成员，或者必须被委派适当的权限。如果将计算机加入到一个域中，则domainadmins组的成员可能也可以执行该项设置。（1）打开“管理您的服务器”窗口，在“邮件服务器(pop3，smtp)”栏单击“管理此邮件服务器”超级链接，或者依次单击“开始”-“控制面板”-“管理工具”-“pop3服务”选项，将显示“pop3服务”控制台窗口（图311）（图312）。图311图312（2）鼠标右键单击“计算机名”节点，并在弹出的快捷菜单中选择“所有任务”-“停止”子菜单，以停止电子邮件服务（图312）。图313（3）鼠标右键单击“计算机名”节点，并在弹出的快捷菜单中选择“属性”子菜单，将显示邮件服务器属性对话框，在“根邮件目录”文本框中键入新的邮件存储文件夹及路径，例如d:mailbox。也可以单击“浏览”按钮，以查找并定位要保存用户信箱的文件夹（图313）。图314（4）然后单击“确定”按钮，将显示“pop3服务”警告框，提示已有的域将无法正确存储邮件，必须将域目录复制到新根邮件目录以保留当前账户。（5）单击“确定”按钮，将显示“pop3服务”提示框，在这里提醒用户需要重新启动pop3服务和smtp服务才能使所做的更改生效。（6）单击“是”按钮，以重新启动邮件服务。（7）打开系统的windows资源管理器，将域目录复制到新根邮件目录。例如，设置的域名为tests，以及新的根邮件目录为d:mailbox，那么就应当将c:inetpubmailrootmailbox文件夹中的tests子文件夹复制到d:mailbox文件夹中。（8）右键单击“计算机名”节点，并在弹出的快捷菜单中选择“所有任务”-“启动”子菜单，以启动电子邮件服务。（9）鼠标右键单击“计算机名”节点，并在弹出的快捷菜单中选择“所有任务”-“刷新”子菜单，以使新的域目录生效。另外在该对话框中，虽然还可以更改接收服务器端口(110)，但是不推荐这样做。原因很简单，这是因为当修改pop3的端口后，用户也不得不在e-mail客户端做相应的设置，无疑将增加用户的信箱设置难度。另外，只有重新启动pop3服务后，所作的更改设置才会生效。2管理域2.1 创建域(1)首先打开“pop3服务”控制台，鼠标右键单击其中的“计算机名”节点，并在弹出的快捷菜单中选择“新建”-“域”选项，将显示“添加域”对话框，在其中的“域名”文本框中键入新域名，并确保该域名已经在dns服务中设置好mx记录（图321）。图321(2)单击该对话框中的“确定”按钮，以完成新域名的添加。重复上述操作，可在邮件服务器中添加多个域名。另外，在操作时应当注意以下几点：pop3服务支持顶级以及三级域名，例如，tests和win2003.tests都是受支持的。如果正在使用活动目录集成的身份验证，则必须登录到活动目录域(而不是本地计算机)才能执行此过程。（不推荐使用）2.2 管理域在一个pop3控制台树中，可以对电子邮件域进行必要的管理，例如删除、锁定/解除锁定控制。(1)删除域。在“pop3服务”控制台树中，单击“计算机名”，并且右键单击要删除的域，然后单击“删除”菜单命令，将显示确认删除该域的提示框。单击该提示框中的“确定”按钮，将删除该域、域中所有邮箱以及存储在域中的所有邮件。(2)锁定/解除锁定域。鼠标右键单击要锁定的域，选择“锁定”菜单命令，即锁定了该域。在解除锁定域时，只需再在右键快捷菜单中选择“解除锁定”菜单命令即可。2.3 管理邮箱在建立了一个邮件域之后，就可以在该域中建立账户，即邮箱账户。2.3.1创建邮箱(1)打开“pop3服务”控制台窗口，选中要创建新邮箱的域，然后在右键快捷菜单中依次选择“新建”-“邮箱”子菜单或者选定要添加用户信箱的域，然后在右侧栏中右击空白处，在弹出的快捷菜单中选择“新建”-“邮箱”选项，将显示“添加邮箱”对话框，在其中的“邮箱名”文本框中键入邮箱名test(字母不区分大小写)，同时在“密码”及“确认密码”框中键入相同的用户名密码。例如，在tests域中添加的一个邮箱名为test （图322）。图321需要注意的是，如果使用本地windows账户身份验证或活动目录集成的身份验证，除非与要创建的邮箱同名的用户账户已经存在，否则应当选中“为此邮箱创建相关联的用户”复选框，同时将创建一个新的用户，并赋予该用户登录域的权限。如果域中已经创建了一个与“邮箱名”相同的用户名，就应当清除该复选框。否则，将显示用户名已经存在提示框。(2)单击其中的“确定”按钮，将显示“pop3服务”对话框，提示用户信箱已经添加成功。若不想显示该对话框，可选中“不再显示此消息”复选框。(3)单击“确定”按钮，信箱已经添加完成。重复上述操作，可以为所有网络用户都添加一个电子信箱。2.3.2 删除邮箱(1) 打开“pop3服务”控制台，选择欲删除邮箱所在的电子邮件域，然后选中欲删除的邮箱，并单击鼠标右键，选择其中的“删除”菜单项(或者在选中了要删除的邮箱后，直接单击“删除邮箱”连接)。将显示“删除邮箱”对话框，以询问是否“同时也删除与此邮箱相关联的用户账户”。如果选中该复选框，则users组中的该用户同时被删除。这也就是说，将同时剥夺该用户访问发送电子邮件服务器和登录至域的权限（图322）。图322(2)单击“是”按钮，删除该邮箱成功，同时也将删除该邮箱的邮件存储目录以及该目录中存储的所有电子邮件。2.3.3 锁定/解除锁定邮箱如果需要暂时禁用某个邮箱账户，但又没必要删除，以备日后重新启用，这时可以暂时锁定该邮箱账户。当一个邮箱被锁定时，仍然能接收发送到邮件存储区的传入电子邮件。但是，该用户却不能连接到服务器检索电子邮件。锁定一个邮箱只是限制了该用户使其不能连接到服务器。但是管理员仍然可以执行所有的管理任务，例如删除邮箱或更改邮箱密码等。在“pop3服务”控制台窗口中右击要锁定的信箱，并在弹出的快捷菜单中选择“锁定”子菜单，即可锁定该信箱。若要解除对该邮箱锁定，只需在弹出的快捷菜单中选择“解除锁定”子菜单即可。2.3.4 邮箱属性设置用户对信箱最关心的事情莫过于其容量的大小以及安全问题。windows server 2003的pop3邮件服务器可以通过启用磁盘配额，来限制一个账户的磁盘空间，以实现对应的邮箱大小的设置。同时还可以更改邮箱初始密码，这有效地保障了服务器及用户的利益。既防止了用户无限制地使用磁盘空间，又保护了用户邮件的安全。需要注意的是，根邮件目录必须创建在ntfs格式的硬盘分区中，否则系统将无法实现磁盘配额。邮箱大小设置如果邮件服务器采用活动目录集成的身份验证或本地windows账户身份验证，那么在为用户创建邮箱时，默认将创建一个配额文件，并启用相应的磁盘配额。因此，如果用户信箱采用默认的磁盘限额设置，就不必再为每个用户进行单独的设置。(1)启用磁盘配额功能。由于该磁盘配额功能默认适用于全部电子信箱，因此应当充分考虑到磁盘的总容量、用户总数量等因素，以合理地设置磁盘限额功能。(2)为个别用户单独设置磁盘限额。对于一些对信箱容量有特殊要求的用户，可以单独为其设置磁盘配额。为了简化操作，可以先创建一个邮箱和用户账户作为模板，并为其指定磁盘配额。然后，从域账户的邮件存储目录中将该配额文件拷贝到域中所有邮箱相对应的邮件存储目录中。或者使用命令winpop createquotafile usernamedomain/user:usemame，以使域中其他的指定账户将使用该磁盘配额选项。其中，winpop createquotafile用于创建配额文件，usemamedomain用于指定创建配额文件的用户，/user:username选项将参考现有用户账户的配额文件来创建一个新的配额文件。用命令进行操作 在命令提示符下键入命令：winpop changepwd usernamedomain newpassword，即可完成账户密码的更改。实际上，有好多操作都可以在命令提示符下完成，举列如下： 创建域：winpop add domain_name删除域：winpop delete domain_name锁定域：winpop lock domain_nanle解除锁定域：winpop unlock domain_name创建邮箱：winpop add usernamedomain_name/createuser:new_users_password删除邮箱：winpop delete usernamedomain_name/deleteuser锁定邮箱：winpop loc