Impostazioni di Outlook Web Access con controllo S/MIME
Ultima modifica dell'argomento: 2005-05-19
Chiavi del Registro di sistema
In questo aargomento vengono fornite informazioni sulle impostazioni del Registro di sistema che possono essere utilizzate per la configurazione dei client Microsoft® Office Outlook® Web Access con controllo S/MIME (Secure/Multipurpose Internet Mail Extensions). Queste impostazioni vengono applicate al server di Exchange contenente la posta in arrivo dell'utente. In un'architettura di tipo front-end/back-end, il server della posta in arrivo corrisponde al server back-end. Tutte le chiavi del Registro di sistema vengono aggiunte alla seguente chiave:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWeb\OWA\
Per impostazione predefinita, questa chiave non esiste e deve essere aggiunta prima di inserire le altri chiavi. Per aggiungere le chiavi, è necessario utilizzare un account appartenente al gruppo Administrators locale del sistema. Tranne quando esplicitamente indicato, la modifica al Registro di sistema diventa effettiva entro un minuto dall'applicazione.
Nota
La modifica non corretta del Registro di sistema può causare gravi problemi che possono richiedere la reinstallazione del sistema operativo. È possibile che tali problemi non possano essere risolti. Prima di apportare modifiche al Registro di sistema, eseguire il backup di tutti i dati importanti.
CheckCRL (DWord)
Per impostazione predefinita (quando CheckCRL è impostata su false), se un punto di distribuzione CRL nella catena di certificati di un mittente non è accessibile durante la verifica della revoca quando si inviano messaggi di posta elettronica firmati o crittografati, in Outlook Web Access viene visualizzata una finestra di dialogo per segnalare che, anche se il certificato non può essere verificato, il messaggio verrà ugualmente inviato.
Se questa chiave è impostata su true, in Outlook Web Access viene visualizzata una finestra di dialogo per segnalare che il certificato non può essere verificato e che il messaggio non verrà inviato.
- Valore predefinito = 0 (False)
- Valore alternativo = 1 (True)
DLExpansionTimeout (DWord)
Il valore DLExpansionTimeout definisce il periodo di timeout, in millisecondi, per l'espansione di una lista di distribuzione del servizio directory di Active Directory® durante l'invio di messaggi di posta elettronica crittografati.
Quando un utente invia messaggi di posta elettronica crittografati a una lista di distribuzione, Outlook Web Access deve espandere l'appartenenza della lista di distribuzione per recuperare il certificato di crittografia di ogni singolo destinatario da utilizzare nell'operazione di crittografia. Il tempo richiesto da questa operazione dipende dalla dimensione della lista di distribuzione e dalle prestazioni dell'infrastruttura Active Directory sottostante. Durante l'espansione della lista di distribuzione, il mittente non riceve alcuna risposta da Outlook Web Access. Il valore di timeout definisce il tempo massimo che Outlook Web Access attenderà per l'espansione della lista di distribuzione completa. Se non viene completata nel tempo specificato da questo valore, l'operazione fallirà e il messaggio di posta elettronica non verrà inviato. Il valore di timeout viene applicato a ogni singola lista di distribuzione. Se un messaggio di posta elettronica viene inviato a più liste di distribuzione, il valore di timeout verrà applicato in sequenza a ciascuna lista di distribuzione. Ad esempio, se un messaggio di posta elettronica viene inviato a tre liste di distribuzione per ognuna delle quali è impostato un valore di timeout di 60 secondi, l'intera operazione non potrà durare più di 180 secondi.
Questa impostazione è inoltre correlata con le impostazioni relative ai limiti destinatari, sia a livello globale che per singolo utente, che verranno illustrate più avanti in questo argomento. Mentre il valore DLExpansionTimeout definisce un limite per ogni singola lista di distribuzione, il valore Limiti destinatari consente di limitare il numero totale di destinatari per i quali Outlook Web Access recupererà i certificati di crittografia da Active Directory per ciascun messaggio di posta elettronica.
Tornando all'esempio precedente, se a livello globale è impostato un limite di 500 destinatari, ciascuna lista di distribuzione verrà espansa in sequenza. Nel caso in cui l'espansione di una lista di distribuzione superi il valore di timeout, l'operazione fallirà. Inoltre, se il numero totale di destinatari per tutte le liste di distribuzione supera il valore impostato in Limiti destinatari, l'operazione fallirà e i messaggi di posta elettronica non verranno inviati.
- Valore predefinito: 60000 (60 secondi)
- Valore minimo: 0 (disabilita l'invio di messaggi di posta elettronica crittografati a liste di distribuzione)
- Valore massimo: 2147483647 (nessun timeout, Outlook Web Access attenderà fino a quando la lista di distribuzione non verrà espansa, indipendentemente dalla durata di questa operazione)
CertMatchingDoNotUseProxies (DWord)
Durante l'invio di messaggi di posta elettronica crittografati, Outlook Web Access tenta di individuare in Active Directory il certificato corretto per un destinatario. È possibile che il nome del soggetto o il nome alternativo del soggetto del certificato contenga come valore un indirizzo SMTP (Simple Mail Transfer Protocol). Poiché un destinatario può avere più indirizzi proxy SMTP nella directory, è possibile che il nome del soggetto o il nome alternativo del soggetto del certificato non corrisponda all'indirizzo SMTP primario bensì a uno degli indirizzi proxy. Quando la chiave CertMatchingDoNotUseProxies è impostata su true, se il nome del soggetto o il nome alternativo del soggetto del certificato non corrisponde all'indirizzo SMTP primario, Outlook Web Access non tenterà di associare il soggetto del certificato agli indirizzi proxy SMTP.
- Valore predefinito = False (0)
- Valore alternativo = True (1)
RevocationURLRetrievalTimeout (DWord)
La chiave RevocationURLRetrievalTimeout definisce il tempo massimo, in millisecondi, in cui verrà mantenuta una connessione di Outlook Web Access per il recupero di un singolo elenco CRL durante un'operazione di convalida del certificato.
Il processo di convalida di un certificato richiede il recupero dell'elenco CRL dell'Autorità di certificazione dal punto di distribuzione CRL specificato nel certificato. Questa operazione deve essere eseguita per ogni certificato nell'intera catena di certificati.
Questa chiave definisce il tempo massimo che Outlook Web Access deve attendere, una volta connesso, per recuperare un singolo elenco CRL. Se è necessario recuperare più elenchi CRL, questa chiave viene applicata singolarmente a ciascuna connessione. Se ad esempio devono essere recuperati tre elenchi CRL e il valore di timeout è impostato su 60 secondi, ciascuna operazione di recupero CRL avrà un valore di timeout di 60. Se l'elenco CRL non viene recuperato prima della scadenza del valore di timeout specificato, l'operazione fallirà.
- Valore predefinito: 60000 (60 secondi)
- Valore minimo: 5000 (5 secondi)
- Valore massimo: 600000 (10 minuti)
CertURLRetrievalTimeout (DWord)
La chiave CertURLRetrievalTimeout è simile a RevocationURLRetrievalTimeout ma specifica il tempo massimo, in millisecondi, in cui verrà mantenuta una connessione di Outlook Web Access per il recupero di tutti gli elenchi CRL durante la convalida di un certificato. Se tutti gli elenchi CRL non vengono recuperati prima della scadenza del valore di timeout specificato, l'operazione fallirà.
Quando si imposta questo valore, tenere presente che, in un'operazione di convalida del certificato, RevocationURLRetrievalTimeout viene applicato al recupero di ogni singolo elenco CRL, mentre CertURLRetrievalTimeout viene applicato all'operazione di recupero di tutti gli elenchi CRL. Se ad esempio devono essere recuperati tre elenchi CRL, RevocationURLRetrievalTimeout è impostato su 60 secondi e CertURLRetrievalTimeout è impostato su 120 secondi, ciascuna operazione di recupero di un elenco CRL avrà un valore di timeout di 60 secondi, mentre l'operazione complessiva avrà un valore di timeout di 120 secondi. In questo caso, se il recupero di uno dei tre elenchi CRL richiede più di 60 secondi, l'operazione fallirà. Questo problema si verifica anche nel caso in cui il recupero di tutti gli elenchi CRL richieda più di 120 secondi.
- Valore predefinito: 60000 (60 secondi)
- Valore minimo: 0
- Valore massimo: 600000 (10 minuti)
DisableCRLCheck (DWord)
Se è impostata su true, la chiave DisableCRLCheck disabilita il controllo degli elenchi CRL durante il processo di convalida dei certificati. Sebbene consenta di ridurre il tempo di risposta nella convalida delle firme dei messaggi di posta elettronica firmati, questa impostazione comporta la visualizzazione dei messaggi di posta elettronica firmati con certificati revocati come messaggi validi anziché non validi.
- Valore predefinito = 0 (False)
- Valore alternativo = 1 (True)
AlwaysSign (DWord)
Se è impostata su true, la chiave AlwaysSign impone agli utenti di firmare i messaggi di posta elettronica durante l'utilizzo di Outlook Web Access con controllo S/MIME. Viene inoltre selezionata automaticamente l'opzione Aggiungi una firma digitale ai messaggi in uscita nella sezione Protezione posta elettronica della pagina Opzioni.
Valore predefinito = 0 (False)
Valore alternativo = 1 (True)
AlwaysEncrypt (DWord)
Se è impostata su true, la chiave AlwaysEncrypt impone agli utenti di crittografare i messaggi di posta elettronica durante l'utilizzo di Outlook Web Access con controllo S/MIME. Viene inoltre selezionata automaticamente l'opzione Crittografa il contenuto e gli allegati dei messaggi in uscita nella sezione Protezione posta elettronica della pagina Opzioni.
- Valore predefinito = 0 (False)
- Valore alternativo = 1 (True)
ClearSign (DWord)
Se la chiave ClearSign è impostata su true, tutti i messaggi di posta elettronica firmati inviati da Outlook Web Access vengono inviati con firma non crittografata. Per impostazione predefinita, questa chiave è impostata su true. Se è impostata su false, in Outlook Web Access sarà possibile inviare messaggi di posta elettronica con firma crittografata. I messaggi di posta elettronica con firma non crittografata possono essere aperti e letti dalla maggior parte dei client di posta elettronica, compresi quelli che non supportano S/MIME.
- Valore predefinito = 1 (True)
- Valore alternativo = 0 (False)
SecurityFlags (DWord)
La chiave SecurityFlags è una maschera di bit utilizzata per abilitare o disabilitare funzionalità specifiche di Outlook Web Access con controllo S/MIME. Per abilitare una determinata funzionalità, è necessario impostare la chiave sul valore relativo a tale funzionalità. Per abilitare più funzionalità contemporaneamente, è necessario sommare i valori di ciascuna funzionalità che si desidera abilitare e immettere nella chiave la somma risultante. Se si desidera, ad esempio, che Outlook Web Access con controllo S/MIME includa la catena di certificati senza il certificato principale (0x001) e che includa soltanto il certificato di firma (0x008), sommare i due valori (0x001 + 0x008) e immettere il risultato (0x009). Nella tabella seguente sono elencati i valori che possono essere impostati nella chiave SecurityFlags.
Per impostazione predefinita, tutte queste funzionalità sono disabilitate.
Valori di SecurityFlags e relative descrizioni
| Valore | Descrizione |
|---|---|
0x001 |
Catena di certificati senza certificato principale. Per impostazione predefinita, durante l'invio di messaggi di posta elettronica firmati o crittografati, Outlook Web Access include solo i certificati di firma e di crittografia senza le relative catene di certificati. Questa opzione può essere necessaria per garantire l'interoperabilità con altri client, in ambienti in cui le Autorità di certificazione intermedie non possono essere raggiunte utilizzando l'attributo per l'accesso alle informazioni sull'autorità né rendendo attendibile la CA intermedia nell'account Computer del server back-end di Exchange. Questa impostazione include l'intera catena di certificati, tranne il certificato principale. Questa impostazione determina l'aumento della dimensione dei messaggi firmati e crittografati. |
0x002 |
Catena di certificati e certificato principale. Questa impostazione è simile a Catena di certificati senza certificato principale con la differenza che, oltre all'intera catena di certificati, include anche il certificato principale. Per poter convalidare correttamente i certificati, alcuni client di posta elettronica richiedono sia l'intera catena di certificati che il certificato principale. Questa impostazione determina un aumento della dimensione dei messaggi firmati e crittografati maggiore rispetto all'impostazione SecurityFlags. |
0x004 |
Buffer temporanei non crittografati. Per impostazione predefinita, tutti i buffer temporanei sul lato client utilizzati per l'archiviazione dei dati del messaggio vengono crittografati utilizzando una chiave temporanea e l'algoritmo 3DES. Questa impostazione disabilita la crittografia dei buffer. Ciò consente di migliorare le prestazioni del client Outlook Web Access ma lascia le informazioni non crittografate nel buffer del sistema locale. Prima di disabilitare questa funzionalità, verificare i criteri di protezione dell'organizzazione. |
0x008 |
Solo certificato di firma con il messaggio di posta elettronica firmato. Per impostazione predefinita, in Outlook Web Access con controllo S/MIME vengono inclusi, con i messaggi di posta elettronica firmati, sia il certificato di firma che il certificato di crittografia. Se questa impostazione è abilitata, la dimensione dei messaggi inviati da Outlook Web Access con controllo S/MIME diminuisce. Tuttavia, i destinatari non avranno accesso al certificato di crittografia del mittente nel messaggio ricevuto e dovranno quindi ottenere tale certificato in un altro modo, ad esempio recuperandolo da una directory (metodo consigliato) o ottenendolo dal mittente. |
0x040 |
Singoli messaggi separati per i destinatari visibili e per quelli invisibili. Per impostazione predefinita, Outlook Web Access con controllo S/MIME invia un unico messaggio crittografato per tutti i destinatari visibili (quelli nelle righe A e Cc) e un messaggio crittografato separato per ciascun destinatario invisibile (quelli nella riga Ccn). Con questo metodo, ciascun messaggio inviato a un destinatario invisibile viene gestito in modo separato dal messaggio inviato ai destinatari visibili o agli altri destinatari invisibili. Se ad esempio un messaggio è stato inviato a un unico destinatario nella riga A, a due destinatari nella riga Cc e a tre destinatari nella riga Ccn, verranno inviati quattro messaggi separati, ovvero uno per tutti i destinatari indicati nelle righe A e Cc e uno per ogni singolo destinatario nella riga Ccn. Se questa impostazione è abilitata, viene inviato un unico messaggio crittografato per tutti i destinatari visibili (quelli nelle righe A e Cc) e un altro singolo messaggio crittografato per tutti i destinatari invisibili (quelli nelle righe Ccn). Con questo metodo, il messaggio inviato ai destinatari invisibili viene gestito in modo separato dal messaggio inviato ai destinatari visibili. Nell'esempio precedente, con questa impostazione abilitata, verrebbero inviati due messaggi separati, uno per tutti i destinatari indicati nelle righe A e Cc e uno per ogni singolo destinatario nella riga Ccn. Questa impostazione fornisce prestazioni migliori rispetto all'impostazione predefinita, ma comporta una modifica nelle impostazioni di protezione e riservatezza di Outlook Web Access. Prima di abilitare questa impostazione, verificare i criteri di protezione dell'organizzazione. |
0x080 |
Singolo messaggio crittografato per tutti i destinatari. Questo valore è simile a Singoli messaggi separati per i destinatari visibili e per quelli invisibili. Con questa impostazione, tuttavia, Outlook Web Access invia un singolo messaggio crittografato per tutti i destinatari di un messaggio crittografato. Nell'esempio precedente verrebbe inviato un unico messaggio per tutti i destinatari nelle righe A, Cc e Ccn. Questa impostazione fornisce prestazioni migliori rispetto all'impostazione predefinita, ma comporta una modifica nelle impostazioni di protezione e riservatezza di Outlook Web Access. Prima di abilitare questa impostazione, verificare i criteri di protezione dell'organizzazione. |
0x100 |
Funzionalità S/MIME nel messaggio. Se questa impostazione è abilitata, durante l'invio dei messaggi di posta elettronica, Outlook Web Access aggiunge alcuni attributi ai messaggi firmati e crittografati per indicare gli algoritmi di firma e crittografia con le relative lunghezze di chiave supportate. Sebbene comporti un aumento della dimensione dei messaggi, questa impostazione semplifica l'interoperabilità tra alcuni client di posta elettronica e Outlook Web Access. |
0x200 |
Copia delle intestazioni dei destinatari. Se questa impostazione è abilitata, nella parte firmata del messaggio viene inserita una copia delle intestazioni dei destinatari Da, A e Cc. Queste informazioni consentono al destinatario di verificare che tali intestazioni non siano state alterate durante il trasferimento del messaggio. Questa impostazione determina l'aumento della dimensione dei messaggi. |
SmartCardOnly (DWord)
Se impostata su true, la chiave SmartCardOnly impone l'utilizzo dei certificati basati su smart card per i processi di firma e decrittografia quando si utilizza Outlook Web Access con controllo S/MIME. In questo caso, gli utenti potranno utilizzare soltanto certificati su smart card.
- Valore predefinito = 0 (False)
- Valore alternativo = 1 (True)
TripleWrap (DWord)
Se la chiave TripleWrap è impostata su true, ai messaggi di posta elettronica crittografati e firmati viene applicata una protezione tripla, ovvero il messaggio firmato viene crittografato e quindi il messaggio crittografato viene firmato (firmato-crittografato-firmato). Se la chiave è impostata su false, il messaggio firmato viene soltanto crittografato (non viene applicata una firma al messaggio crittografato). Per impostazione predefinita, questa chiave è impostata su true. La tripla protezione assicura il massimo livello di protezione per i messaggi di posta elettronica firmati e crittografati nello standard S/MIME ma comporta l'aumento della dimensione dei messaggi.
- Valore predefinito = 1 (True)
- Valore alternativo = 0 (False)
EncryptionAlgorithms (Reg_SZ)
La chiave EncryptionAlgorithms contiene un elenco separato da punti e virgola che rappresenta gli algoritmi di crittografia simmetrica che possono essere utilizzati durante la crittografia dei messaggi mediante Outlook Web Access con controllo S/MIME. Può essere inoltre specificato l'identificatore di oggetto (denominato anche OID) del provider del servizio di crittografia (CSP, Cryptographic Service Provider), quando si utilizzano CSP di terze parti. Se si utilizza una chiave che supporta più lunghezze, è necessario specificare la lunghezza della chiave. In Outlook Web Access, l'unica chiave che supporta più lunghezze è RC2.
Per impostazione predefinita, Outlook Web Access utilizza gli algoritmi 3DES e RC2-128. Se in un determinato client non è disponibile l'algoritmo di crittografia o non è supportata la lunghezza di chiave minima, Outlook Web Access non consente la crittografia. Nella seguente tabella sono riportati gli algoritmi di crittografia, i relativi ID e le lunghezza di chiave supportate per ognuno di essi.
- Formato: {ID algoritmo}[:lunghezza di chiave da utilizzare]|[,OID del provider del servizio di crittografia che supporta ID algoritmo]; {ID algoritmo}[:lunghezza di chiave da utilizzare]|[,OID del provider del servizio di crittografia che supporta ID algoritmo]
Algoritmi, ID algoritmo e lunghezze di chiave
| Algoritmo | ID algoritmo | Lunghezze di chiave |
|---|---|---|
RC2 |
6602 |
40, 56, 64, 128 |
DES |
6601 |
56 (lunghezza di chiave fissa) |
3DES |
6603 |
168 (lunghezza di chiave fissa) |
Per ciascuna lunghezza di chiave desiderata è necessario specificare una voce separata. Ad esempio, per il supporto degli algoritmi RC2 a 40 bit e RC2 a 56 bit, il valore della chiave EncryptionAlgorithms sarà 6602:56;6602:40.
I valori della chiave del Registro di sistema devono essere elencati in ordine decrescente di lunghezza di chiave (dalla più lunga alla più corta) poiché l'ordine riflette la priorità con cui gli algoritmi verranno utilizzati. Ad esempio, per inserire nell'elenco 3DES, RC2-128, RC2-64, DES, RC2-56 e RC2-40, digitare il valore nel modo seguente:
6603;6602:128;6602:64;6601;6602:56;6602:40
- Valori predefiniti: 6603 (3DES); 6602:128 (RC2-128)
DefaultSigningAlgorithm (Reg_SZ)
La chiave DefaultSigningAlgorithm definisce gli algoritmi di firma da utilizzare per la firma dei messaggi quando si utilizza Outlook Web Access con controllo S/MIME. Nella seguente tabella sono riportati gli algoritmi di crittografia, i relativi ID e le lunghezza di chiave supportate per ognuno di essi.
- Formato: {ID algoritmo}
Algoritmi, ID algoritmo e lunghezze di chiave
| Algoritmo | ID algoritmo | Lunghezze di chiave |
|---|---|---|
SHA-1 |
8004 |
160 (lunghezza di chiave fissa) |
MD5 |
8003 |
128 (lunghezza di chiave fissa) |
- Valore predefinito: 8004 (SHA-1)
UseKeyIdentifier (DWord)
Per impostazione predefinita, durante la crittografia dei messaggi di posta elettronica, Outlook Web Access codifica il token crittografato asimmetricamente (denominato talvolta casella blocco), necessario per decrittografare il resto del messaggio, indicando l'autorità emittente e il numero di serie del certificato di ciascun destinatario. L'autorità emittente e il numero di serie possono quindi essere utilizzati per individuare il certificato e la chiave privata necessari per decrittografare il messaggio.
Per effettuare questa operazione, è possibile, in alternativa, utilizzare un identificatore di chiave del certificato durante la codifica del token crittografato asimmetrico. Poiché una coppia di chiavi può essere riutilizzata in nuovi certificati, l'utilizzo dell'identificatore di chiave per i messaggi di posta elettronica crittografati è vantaggioso perché consente agli utenti di mantenere solo il certificato più recente e la chiave privata associata, anziché tutti i certificati precedenti, che possono essere associati solo in base all'autorità emittente e al numero di serie.
Poiché alcuni client di posta elettronica non supportano la ricerca dei certificati con un identificatore di chiave, per impostazione predefinita Outlook Web Access utilizza l'autorità emittente e il numero di serie di ciascun certificato del destinatario. Tuttavia, l'impostazione della chiave UseKeyIdentifier semplifica la gestione dei messaggi crittografati poiché consente agli utenti di non mantenere i certificati scaduti sui propri computer.
- Valore predefinito = 0 (False)
- Valore alternativo = 1 (True)
Impostazioni basate su Active Directory
In questa sezione vengono fornite alcune informazioni sulle impostazioni basate su Active Directory che possono essere utilizzate per configurare il comportamento dei client Outlook Web Access che utilizzano il controllo S/MIME (Secure/Multipurpose Internet Mail Extensions).
Limiti destinatari
Le impostazioni Limiti destinatari vengono archiviate in Active Directory e consentono di limitare il numero dei destinatari per i quali Outlook Web Access recupererà i certificati di crittografia da Active Directory per ciascun messaggio di posta elettronica inviato. Queste impostazioni interagiscono con la chiave DLExpansionTimeout del Registro di sistema. Per ulteriori informazioni sulla chiave DLExpansionTimeout, vedere la sezione "DLExpansionTimeout (DWord)" in questo argomento.
I limiti sul numero dei destinatari possono essere impostati sia a livello di organizzazione globale che per ogni singolo utente. L'impostazione per singolo utente ha la priorità su quella a livello globale. Per la procedura dettagliata, vedere: