Exchange 2000让电子邮件系统更加安全(2)－与Windows 2000 Server的集成

把证书服务器集成到Exchange 2000中

---- 前面已经提到，要在公共Exchange 2000环境中使用KMS，必须加载企业证书服务器。检查一下系统管理员CA对象的特性（在MMC证书权图标那里），或在命令行运行Certsrv工具，使用-z选项，确认企业证书服务器已经安装。图1显示了Certsrv工具的输出。

---- 需要注意的是，CA为每个登录到高级安全的用户发行了2个证书。

---- 在Windows 2000企业版和在Exchange Server 5.5上，把KMS连接到CA政策模块之间的根本区别是：Exchange 2000 KMS-CA可以比Exchange 2000发行更多的证书。在Exchange Server 5.5中装上Exchange Server的政策模块后，系统管理员便可以发行任何其他类型的证书。

---- Windows 2000在AD中能够发行企业CA。浏览AD的任何客户都可以访问公共的、集成了AD的企业CA服务器的位置信息。对于Exchange 2000 KMS而言，将KMS指向一个固定的证书服务器（在Exchange Server 5.5中就是这么做的）并非必需。如果KMS-CA发生故障，则KMS会自动质询AD，并寻找另一个容错CA，这种灵活的特性省去了在KMS-CA之间跳转的复杂过程。

---- 在一些重要功能方面，Windows 2000证书服务器功能与早期的Windows NT版本相比有很大的提高。比如比较重要的提高有构造多级CA结构的能力，据悉，微软已宣布它可以支持40级以上的结构。此外，系统管理员还可以把一个CA服务器连接到多个KMS服务器上。同时，Windows 2000还提供增强的与其他CA结构集成的功能，即系统管理员的Windows 2000 CA可以是另一个非微软的厂商CA的下属（尽管KMS-CA必须运行微软CA软件）。由此可见，能力的增强可改进互通性。

把目录与AD集成

---- Exchange 2000的一个根本改变是目录和AD的集成。微软统一了Exchange 2000目录对象和Windows 2000目录对象，比如邮箱成为具有邮箱功能的用户对象，用户容器成为具有有邮件功能的联系对象，分布式表（DL）成为有邮件功能的分布式组。这种统一给管理带来非常明显的方便，它可以使系统管理员在同一界面上对用户安全和与邮件相关的特性进行设置。操作方法如下。

---- 打开MMC的用户和计算机图标，双击任何用户对象，查看它的特性（包括Exchange特性设置），如图2所示。系统管理员所管理的新界面允许用户以高级安全方式登录，还允许废除用户证书，恢复用户的私人加密密钥。

---- 从Exchange Server 5.5d的SP1开始，高级安全支持证书信任表（CTL）的定义。CTL可以使系统管理员在2个没有结构关系的CA之间设置基于证书的安全互通关系。Windows 2000通过信任根部证书权（Trusted Root Certification Authorities，TRCA）和企业信任组政策对象（Group Policy Object，GPO）入口实现CTL。

---- GPO是Windows 2000为计算机集中管理提供的新特性。它包含了许多Windows 2000的CA证书，高级安全自动把内部CA加到系统管理员内部客户根部的CA存储区。企业信任GPO入口包含了所信任的外部CA证书，但Windows 2000管理员只能手工地加上这些证书。通过GPO设置透明且自动的应用，信任CA的证书会被自动下载到Windows 2000证书存储区。但Outlook 2000仍然从AD获得CTL。KMS在KM服务器从相应的GPO-CTL入口创建这个CTL，并且为AD生成CTL。据称，微软将在未来的Outlook版本上全面支持GPO-CTL的设置。

---- CTL前景如何呢？新的KMS仍然会在KMS数据库（kmsdir.edb）中维持它的CTL，并为AD生成CTL（KMS需要CTL来发布废除了的X.509 Version 1证书，让使用Outlook 98及以前版本的客户得到CTL）。同时，Windows 2000的KMS-CA会向AD和CA Web目录发布它的CTL。此外，Windows 2000企业证书服务器发布的Exchange服务器高级安全X.509 Version 3证书合并了Windows 2000的自动CTL检查变化。这样，每个证书都包含了CTL分布点的指针。

---- CDP具备一个重要的特点，即当软件确认一份证书时，软件可以根据证书的CDP定位合适的CTL。每个证书包含一个LDAP指针，它指向AD中的CTL，还包含一个HTTP指针，指向CA Web中的CTL。为了发挥CDP的优势，系统管理员需要一个像包含在IE 5.0中的Outlook Express 5.0或Outlook 2000这样的电子邮件客户。

---- 为了让Outlook 2000支持CDP，系统管理员必须在注册表中创建“HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Cryptography\{7801ebd0-cf4b-11d0-851f-0060979387ea}”注册键，并增加PolicyFlags注册变量，将其值设为0x00010000。另外，还有一个有用的Windows 2000 CA特性，它让系统管理员在MMC证书权图标的废除证书容器特性栏中设置CTL发布间隔。

---- Exchange服务器5.5可以用一个别名标识每个对象。因为别名包含了用户邮箱的别名，系统管理员可以恢复用户的加密密钥（甚至当目录不再包含一个用户信箱的入口时）。如果CA创建了一个重名的信箱，相关的账户会继承老用户的关键历史。

---- 在Windows 2000中，一个外部的惟一标识（GUID）标识着Windows 2000互联系统中的每一个目录对象。在Exchange 2000中，具有邮箱功能的用户对象可与一个GUID绑定，这样在删除用户时会同时删除GUID，但也可以重新启用被删除的GUID。于是，系统管理员可以找回删除了的用户对象密钥和证书。

管好您的KMS