配置 AES 进行邮件和文档加密

您可以通过使用安全设置文档和策略设置使用 AES 的邮件文档加密。您还可以使用桌面策略中的NOTES.INI设置将 AES 加密设置为 S/MIME 邮件的默认加密方法（带或不带 SHA-2 签名）。

关于这个任务

只要所有收件人都使用具有 1024 位或更高 RSA 密钥的 ID，Notes/Domino 14.0 将使用 256 位 AES 加密邮件和文档。14.0 中新注册的用户 ID 将默认启用“使用 AES 接收加密电子邮件”设置，因此在旧客户端上运行的最终用户将看到这些收件人具有 AES 功能。

要使用 AES 进行邮件和文档加密，用户 ID 必须使用 1024 位或更高版本的 RSA 密钥。

按照此过程操作会导致 8.0.x 和 12.0.2 之间的后级版本始终使用 AES 进行 Notes 邮件和文档加密。

要使用 AES 进行 S/MIME 加密，用户 ID 必须使用 1024 位或更高版本的 RSA 密钥。

在Domino ® Administrator 客户端中，创建一个新的桌面设置文档，或者打开一个现有的文档。
单击“添加设置” ，打开“桌面设置”对话框，然后打开“自定义设置”选项卡。
选择Notes.ini 。
选择“编辑列表”打开一个面板，您可以在其中创建NOTES.INI设置和值对。
对于 AES 默认加密，在Item字段中指定以下 NOTES.INI 设置：SMIME_FIRST_CHOICE_CONTENT_ENC_ALG
在值字段中，指定设置的值。该值指定 AES 加密的级别，可以是以下任一项：
- AES_128
- AES_192
- AES_256
如果您没有设置 SMIME_FIRST_CHOICE_CONTENT_ENC_ALG 参数，默认使用AES。
提示：您可以将 AES 的值与 SHA-2 的值组合起来（下一步），用冒号分隔。
对于 SHA-2 摘要 S/MIME 邮件，在项目字段中指定以下 NOTES.INI 设置：SMIME_CAPABILITIES_SEND
在值字段中，指定设置的值。该值指定 SHA-2 的级别，可以是以下任一项：
- SHA_256
- SHA_512
- SHA_384
注意：如果存在多个 SHA 摘要 SMIME_CAPABILITES_SEND，列表中的最后一个是发件人签名的 S/MIME 邮件的默认选择。
选择添加/修改值。
单击“确定”并“保存并退出” 。

按照此程序操作后，AES 将始终用于 S/MIME 邮件加密，无论是否带有 SHA-2 摘要签名，并且每个设置都有指定的级别。

如果Domino ® 8.0.1 或更高版本的客户端和服务器与运行 8.0.1 之前版本的客户端和服务器交互，则可以使用Domino ® Administrator 中的“加密功能”工具为运行至少 8.0.1 版本的用户按用户配置 AES 文档加密功能。

如果您通过策略启用了邮件和文档加密，请不要执行以下步骤，因为这些设置将被忽略。

您指定的用户的个人文档的字段“可以使用 AES 解密文档”设置为“是” 。当这些用户加密文档或邮件时，所使用的加密算法取决于将解密文档或邮件的所有收件人的加密能力：

如果任何收件人使用带有 630 位 RSA 密钥的 ID，或者使用 64 位 RC2 文档加密密钥，则使用 64 位 RC2 批量数据密钥来加密文档。
如果所有收件人都使用具有 1024 位或更大 RSA 密钥的 ID，但一个或多个收件人拥有未配置可以使用 AES 解密文档的个人文档，或者正在使用 128 位 RC2 文档加密密钥，则使用 128 位 RC2 批量数据密钥来加密文档。
如果所有收件人都使用具有 1024 位或更高 RSA 密钥的 ID，并且所有收件人的“个人文档”均配置为可以使用 AES 解密文档，或者使用 128 位 AES 文档加密密钥，则使用 128 位 AES 加密来加密文档。
如果所有收件人都使用具有 4096 位或更高 RSA 密钥的 ID（8.0.1 中的最终用户不可用），则使用 256 位 AES 加密。