自建CA，搭建加密邮件系统保护企业邮箱

PKI保护企业邮箱安全

实验环境介绍 一台2008R2 做独立CA服务器。2台xp 做客户机，进行测试。

安装独立CA就做介绍了。

安装CA服务发布到互联网，需要在路由器上做端口映射。

在xp客户机上申请证书

一定要选择可以到处私钥，要不然系统瘫痪了。会很蛋疼的。以前加密的邮件都会无法读取

电子邮件地址。就是你企业邮件地址。

需要信任你的证书颁发机构

现在到证书颁发服务器。给客户端颁发证书

颁发成功后返回客户机下载证书

下载安装证书

这个一定要信任

证书申请完成后需要导出备份。

运行输入mmc

倒出证书时一定要倒出私钥

这个秘密在恢复证书时需要输入的，要保管好

配置Outlook 使用数字证书

配置吊销检测

初次发送邮件可能不成功，可以发送签名邮件，让对方回复一封签名邮件。这样就能相互交互公钥了。再次发送加密邮件就可以成功了。

证书颁发机构脱机测试

把证书颁发机构服务停止，有证书的用户仍然可以正常使用证书加密电子邮件。就是不能同步吊销列表而已。