用户可以对发送给其他 Notes 用户的邮件消息进行签名，也可以对发送给支持 S/MIME 协议的其他邮件应用程序（如 Outlook Express 和 Netscape Communicator）用户的邮件消息进行签名。Domino 使用加密密钥（即 Notes 和 Internet 公用和私有密钥）进行电子签名。

也可以设置 Notes 对 S/MIME 签名和加密使用单独的密钥，具体方法是向 Notes 标识符文件添加两个 Internet 验证字，一个用于 S/MIME 加密，另一个用于 S/MIME 签名和 SSL 客户机验证。使用双重 Internet 验证字可以对加密、电子签名和 SSL 客户机验证维护单独的公用和私有密钥对。

有关创建使用签名的域和区段的信息，请参阅“启用域加密”（如果已安装“Lotus Domino Designer 6 帮助”）。或转至 www.lotus.com/ldd/doc 下载或查看“Lotus Domino Designer 6 帮助”。

有关双重 Internet 验证字的详细信息，请参阅用于 S/MIME 加密和签名的双重 Internet 验证字主题。

电子签名的工作原理

Notes 签名

当发件人对邮件使用 Notes 签名时，意味着对邮件的所有域都进行签名。

1. Notes 生成数据的一个散列（即代表数据的一个数字），然后使用数据作者的私有密钥加密散列，形成签名。散列有时也称为消息摘要，它具有一些必要的特殊属性：

• 无法通过摘要猜测出原始消息。
• 即使是对消息的微小更改也会对摘要造成不可预知的更改，并生成完全不同的值。

3. 当读者访问已签名的数据时，Notes 检验签名者是否拥有来自读者信任的验证者的公用验证字或公用验证字祖先。如果是，Notes 将试图使用与签署数据所使用的私有密钥相对应的公用密钥对签名进行解密。

4. 如果解密成功，Notes 将指出邮件的签名者。如果解密不成功，Notes 将指出无法验证签名。解密和一致性检查失败可能意味着数据已被篡改。

注意 验证字信任检查独立于散列解密和一致性检查。即使验证字不被信任，解密和一致性检查也可能成功。例如，当用户接收到来自另一公司用户的邮件，而该用户不具有交叉验证字时，则可能会出现这种情况。

当发送者使用 S/MIME 签名对邮件进行签名时，将只对邮件正文和附件签名。

1. Notes 对要签名的数据生成一个散列，然后使用数据作者的私有密钥来加密散列形成签名。

2. Notes 将验证字链（即验证字层次结构中的所有验证字）和签名附加到数据中。

3. 当读者访问已签名的数据时，Notes 或邮件应用程序试图使用与签署数据所使用的私有密钥相对应的公用密钥对签名进行解密。如果解密成功，Notes 或应用程序将检验签名者是否拥有来自读者信任的验证者的公用验证字或公用验证字祖先。

注意 通常，由 Notes 用户的组织验证者向签名者的 CA（的验证字认证中心)发布一个交叉验证字。如果 Notes 用户直接将交叉验证字发布到签名者的验证字或签名者的验证字认证中心，也能建立信任。或者，可由 Notes 用户的组织验证者直接向签名者的验证字发布一个交叉验证字。

5. 如果摘要一致性检查成功，Notes 或 S/MIME 邮件应用程序将指出邮件的签名者。否则，应用程序将指出无法检验此签名。解密和一致性检查失败可能意味着数据已被篡改。

注意 验证字信任检查独立于散列解密和一致性检查。即使验证字不被信任，解密和一致性检查也可能成功。例如，当用户接收到来自另一公司用户的邮件，而该用户不具有交叉验证字时，则可能会出现这种情况。

签署要发送的邮件

Notes 客户机用户可决定是否对要发送的邮件签名。用户可以对要发送的单个邮件消息或所有邮件消息进行签名。

在将已签名的邮件发送给 S/MIME 邮件应用程序用户时，Notes 用户必须拥有一组额外的 Internet 公用和私有密钥。

有关获取 Internet 公用和私有密钥的信息，请参阅客户机的 SSL 和 S/MIME 主题。

有关签署邮件的信息，请参阅“对电子邮件消息进行加密和数字签名”主题（如果已安装“Lotus Notes 6 帮助”）。或转至 www.lotus.com/ldd/doc 下载或查看“Lotus Notes 6 帮助”。

另请参阅

设置 Notes 客户机使用 S/MIME
用于 S/MIME 加密和签名的双重 Internet 验证字
将交叉验证字添加到 Domino 目录或个人通讯录中