企业证书系列之加密邮件证书的生成和使用

我们现在应用证书来验证用户身份，保证信息传输安全，这些应用越来越普遍，就拿我们日常使用的网银来说也是先要申请的银行加密证书才能办理。做为企业应用环境，那么证书的使用也是基于安全的考虑，微软的Exchange邮件系统使用的是邮件证书来验证用户的身份，在企业中我们会收到两种特别的邮件，一种是带蓝色小锁的邮件，这就是加密邮件，只能收件人才能打开；另一种是带金色徽章的邮件，这是数字签名邮件，宣布这封邮件具有法律效力的。对于数字签名的邮件在企业环境中应用的很少，企业邮件发回去时都会自动附带一段企业法律申明，已经表明这封邮件的是有这个企业的用户发出，企业的邮件服务器是可以追查出这份邮件，好像美国有这个邮件信息的法律，所以大家一般都不太爱用这个数字签名。

数字签名是用户用自己的私钥加密，加密邮件是用户用公钥解密打开，这两者的关系是连在一起的，我们企业使用的邮件证书是通过向证书服务器申请的，我们先要把申请的用户加到加密邮件组之后，该用户通过访问企业证书服务器来获得企业证书，也就是公钥，然后我们安装完成之后，会生成我们对应的私钥，我们可以设置私钥的加密强度等级以及使用密码，通常我们会设定为”HIGH”，密码是6位以上，完成之后从IE的个人证书中把该用户的私钥导出备份。用户在发出加密邮件时，会提示输入私钥的密码，完成之后这封加密邮件就可以发出。

我们的加密邮件只能在企业内部使用，发到别的公司是无法打开的，因为他们没有公钥是打不开的，我们需要注意这点。这个证书是有有效期，通常为5年，我们的证书到期之后，一般会由企业自动延期，更新我们的证书，在证书使用过程中，我们要注意不要丢失证书，一旦丢失，只能让企业管理员从证书服务器导出来，密码和安全等级都需要重新设置。我们申请成功邮件证书之后，还要在OPTION选项中加载，这样才能应用，当我们新建一封邮件时，我们就能看到加密和数字签名的按钮，我们可以同时选上，也可以根据需要只选加密，接下来顺利发送我们的加密邮件。

顺便介绍一下企业的证书服务器，在企业当中通常部署在总部，大家可以通过IE访问，我们需要填写的信息通常会做成脚本，直接可以运行，我们在证书选项中只要确认即可，申请成功后可以在IE证书中找到。企业提供的是公钥，我们通过在添加用户组的方式管理使用加密邮件的用户，具体的申请流程是按照业务的需要，由用户发邮件到总部申请，然后总部把他加到组回复，本地在他的帐号下生成私钥，发加密邮件测试能否发出。大家也可以使用付费的证书，这种证书有效器一年左右，使用后我们需要把这个证书安装到企业根信任中，这样才能有效。