Implementazione di Outlook Web Access con controllo S/MIME

  • Articolo

 

Ultima modifica dell'argomento: 2006-02-20

Il supporto per Outlook Web Access con controllo S/MIME viene fornito automaticamente da Exchange 2003. L'amministratore di Exchange Server non deve installare componenti separati per abilitare questo supporto. Tuttavia, per consentire l'utilizzo di Outlook Web Access con controllo S/MIME è necessario apportare alcune modifiche alla configurazione sia sul sistema client che sul server Exchange dell'utente.

Il funzionamento di Outlook Web Access con controllo S/MIME è analogo a quello di Outlook Web Access poiché in entrambi i casi il browser Web che esegue il sistema client interagisce con il server Exchange in modo da fornire la funzionalità di client di posta elettronica. Come descritto in Implementazione e gestione di Exchange 2003 per il supporto della protezione dei messaggi in un sistema di protezione dei messaggi basato su Exchange 2003, i servizi associati a S/MIME sono il risultato dell'interazione tra il client di posta elettronica e l'infrastruttura PKI. Per implementare Outlook Web Access con controllo S/MIME, l'amministratore abilita il supporto per questo client di posta elettronica e quindi ne esegue l'integrazione con l'infrastruttura PKI dell'organizzazione.

Configurazione di un sistema client dell'utente

Per configurare un sistema client per il supporto di Outlook Web Access con controllo S/MIME è necessario eseguire due operazioni:

  • Distribuire Outlook Web Access con controllo S/MIME sul sistema client.
  • Rendere disponibili su tale sistema i certificati digitali appropriati.

Distribuzione del controllo S/MIME

Per poter essere utilizzato, Outlook Web Access con controllo S/MIME deve essere installato nel sistema client su cui è in esecuzione Internet Explorer. La funzionalità S/MIME di Outlook Web Access non può essere utilizzata su un sistema in cui non è installato Outlook Web Access con controllo S/MIME.

Importante

Per utilizzare Outlook Web Access con controllo S/MIME è necessario che nel sistema client siano installati Microsoft Windows® 2000 o versioni successive e Internet Explorer 6 o versioni successive. Non è possibile installare il controllo S/MIME in un sistema che non soddisfa questi due requisiti. Inoltre, per utilizzare la funzionalità di Outlook Web Access con controllo S/MIME, è necessario eseguire Internet Explorer. Non è possibile utilizzare la funzionalità S/MIME di Outlook Web Access con browser diversi da Internet Explorer 6.

Il controllo S/MIME può essere scaricato tramite la pagina Opzioni di Outlook Web Access. Per distribuire Outlook Web Access con controllo S/MIME, è necessario fornire agli utenti le istruzioni per scaricare e installare il controllo nei rispettivi sistemi client. Per la procedura dettagliata, vedere Installazione del controllo S/MIME per Outlook Web Access.

Il controllo S/MIME verrà scaricato dal server Exchange nel computer locale. Una volta installato, il controllo potrà essere utilizzato da qualsiasi utente del sistema, inclusi quelli che non dispongono di privilegi di amministratore. Per il corretto funzionamento del controllo S/MIME, nell'area di Internet Explorer a cui l'utente si connette per Outlook Web Access devono essere configurate le seguenti impostazioni:

  • Scarica controlli ActiveX con firma elettronica impostata su Chiedi conferma o Attiva.
  • Esegui controlli ActiveX e Plug-in impostata su Attiva (o Autorizzazione amministratore con controllo S/MIME come controllo approvato).
  • Esegui script controlli ActiveX contrassegnati come sicuri impostata su Attiva.

Per impostazione predefinita, queste opzioni sono attivate nelle aree Internet e intranet.

URLScan o altri software per il blocco dei file

Presso numerose aziende viene utilizzato URLScan sui server HTTP front-end per Outlook Web Access. Questo software esegue il controllo degli URL e consente agli utenti di impedire l'invio di tipi di file specifici, ad esempio i file EXE e VBS, al client di Outlook Web Access. In caso di utilizzo di URLScan o di un software analogo per la protezione del client Outlook Web Access e se si desidera rendere disponibile il controllo S/MIME esternamente al firewall aziendale, sarà necessario consentire il passaggio dei tipi di file eseguibili (EXE) attraverso URLScan e il firewall.

Altre opzioni di distribuzione per il controllo S/MIME

I criteri di protezione di numerose organizzazioni non consentono agli utenti di accedere con privilegi di amministratore ai rispettivi client e quindi gli utenti non possono scaricare e installare il controllo S/MIME. In questo caso, l'amministratore dei client di posta elettronica dovrà collaborare con gli amministratori dei sistemi desktop per definire un metodo di distribuzione del controllo S/MIME ai desktop in base ai criteri di protezione dell'organizzazione.

A questo scopo, si consiglia di valutare le seguenti strategie di distribuzione:

  • Integrazione del controllo S/MIME in un'immagine del desktop preconfigurata.
  • Distribuzione del pacchetto di installazione del controllo S/MIME utilizzando il sistema di gestione del software aziendale dell'organizzazione.

Una volta installato in un sistema client, il controllo S/MIME è disponibile a tutti gli utenti, inclusi quelli che non dispongono di diritti di amministratore. L'integrazione del controllo S/MIME in un'immagine standardizzata rappresenta una soluzione valida per le organizzazioni che adottano già questa strategia per la gestione delle configurazioni desktop.

Le organizzazioni che non utilizzano un'immagine standardizzata del desktop, ma desiderano distribuire il controllo S/MIME agli utenti che non dispongono di privilegi di amministratore, dovranno distribuire il programma di installazione del controllo S/MIME utilizzando il sistema di gestione del software aziendale dell'organizzazione.

Nota

Novità di SP1   In Exchange Server 2003 SP1, il programma di installazione del controllo S/MIME è un file di Microsoft Installer (MSI) contenuto in un file eseguibile autoestraente. Questa soluzione consente la distribuzione del controllo S/MIME al desktop mediante i sistemi di gestione del software aziendale. Nella versione precedente di Exchange 2003 è stato utilizzato un diverso meccanismo di installazione del controllo S/MIME non compatibilie con gli strumenti di gestione e distribuzione aziendali. Il pacchetto di installazione è denominato Setupmcl.exe e si trova nella seguente directory di installazione di Exchange 2003 SP1, dove versione è il numero di build di SP1:

    drive:\program files\exchsrvr\exchweb\version\cabs\setupmcl.exe

Per informazioni sull'utilizzo del sistema di gestione del software aziendale per gestire e distribuire installazioni personalizzate, vedere la relativa documentazione.

Disponibilità dei certificati digitali sul sistema client

In Implementazione e gestione dell'infrastruttura PKI per il supporto della protezione dei messaggi in Exchange 2003 sono riportate informazioni sulla convalida dei certificati eseguita da Outlook Web Access con controllo S/MIME a supporto dell'infrastruttura PKI. In qualità di amministratore dei client di posta elettronica, è necessario rendere disponibili al sistema client i certificati digitali appropriati installandoli nell'archivio dei certificati personali dell'utente o utilizzando una smart card. Si consiglia di concordare con l'amministratore dell'infrastruttura PKI il modo in cui i certificati digitali dell'utente verranno resi disponibili al sistema client.

Configurazione dei server Exchange

Oltre ai sistemi client, è necessario configurare i server Exchange degli utenti per il supporto di Outlook Web Access con controllo S/MIME. La configurazione dei server consente la gestione e la convalida dei certificati digitali. In particolare, il server Exchange di un utente deve disporre dei certificati principali appropriati presenti nell'archivio dei certificati personali dell'account del computer locale e deve essere in grado di recuperare le informazioni che le infrastrutture PKI rendono disponibili per la convalida dei certificati, in genere attraverso la rete tramite HTTP o LDAP.

Nota

In una configurazione front-end e back-end, i certificati digitali devono essere aggiunti all'archivio dei certificati personali del server back-end.

Come per la configurazione dei sistemi client degli utenti, è opportuno contattare l'amministratore dell'infrastruttura PKI, che determinerà gli eventuali certificati che dovranno essere disponibili sul server Exchange di un utente. Se l'amministratore dell'infrastruttura PKI determina che devono essere aggiunti dei certificati digitali all'archivio dei certificati personali dell'account del computer locale sul server Exchange, sarà necessario aggiungerli manualmente oppure propagarli tramite Criteri di gruppo. Si consiglia di adottare la seconda soluzione, quando possibile. Per informazioni sull'utilizzo di Criteri di gruppo per la propagazione dei certificati digitali, vedere la documentazione di Windows Server™ 2003. Per la procedura su come aggiungere manualmente i certificati digitali al server Exchange degli utenti, vedere Risoluzione dei problemi relativi al sistema S/MIME in Exchange Server 2003.

Il sistema client gestisce i certificati digitali relativi alla chiave privata dell'utente, mentre il server Exchange gestisce i certificati digitali relativi alle chiavi pubbliche degli altri utenti e convalida i certificati digitali relativi a entrambe le chiavi pubbliche.

Per accedere alle informazioni rese disponibili dalle infrastrutture PKI per la convalida dei certificati, nel caso in cui i server Exchange siano protetti da un firewall, assicurarsi che tali server siano in grado di connettersi attraverso il firewall utilizzando i protocolli appropriati, in genere HTTP o LDAP. Contattare l'amministratore dell'infrastruttura PKI per determinare la configurazione necessaria per il supporto della convalida dei certificati sul sistema client e l'amministratore del firewall per implementare le modifiche appropriate.

Nota

Quando si utilizza Windows Server 2003, è possibile eseguire l'utilità Proxycfg.exe per configurare il client proxy HTTP predefinito anziché installare un client proxy. Tuttavia, il proxy predefinito non supporta LDAP. Per accedere alle informazioni relative alla convalida dei certificati tramite LDAP, è necessario installare client firewall con supporto LDAP. Per ulteriori informazioni sull'utilizzo e sulla configurazione del client proxy di Windows Server 2003, vedere la Guida in linea relativa a Proxycfg.exe.

Dopo avere installato il controllo S/MIME nei sistemi client degli utenti ed essersi assicurati che i sistemi client e i server Exchange siano configurati per il supporto della gestione e della convalida dei certificati digitali, sarà possibile collaborare con l'amministratore dell'infrastruttura PKI per realizzare l'integrazione di Outlook Web Access con controllo S/MIME con l'infrastruttura PKI.

Integrazione di Outlook Web Access con controllo S/MIME con l'infrastruttura PKI

Outlook Web Access con controllo S/MIME è stato progettato per l'utilizzo di qualsiasi certificato digitale conforme allo standard S/MIME versione 3. È possibile integrare Outlook Web Access con controllo S/MIME con un'infrastruttura PKI esistente oppure implementare una nuova infrastruttura PKI a supporto di S/MIME in Exchange 2003, purché lo standard S/MIME versione 3 sia supportato.

Durante la fase di pianificazione dell'integrazione di Outlook Web Access con controllo S/MIME con l'infrastruttura PKI, l'amministratore dei client di posta elettronica deve principalmente assicurarsi che l'amministratore dell'infrastruttura PKI renda disponibili i certificati digitali appropriati nel servizio directory di Microsoft Active Directory® e nel sistema client dell'utente. Questa operazione può essere eseguita archiviando i certificati nell'archivio dei certificati del sistema client dell'utente oppure rendendoli disponibili tramite una smart card o l'utilizzo di provider del servizio di crittografia (CSP, Cryptographic Service Provider) che forniscono il supporto per il roaming dei certificati tramite software. Durante la pianificazione dell'implementazione di Outlook Web Access con controllo S/MIME, l'amministratore dell'infrastruttura PKI dovrebbe leggere Implementazione e gestione dell'infrastruttura PKI per il supporto della protezione dei messaggi in Exchange 2003, in cui sono riportate informazioni supplementari alla documentazione dell'infrastruttura PKI relative all'integrazione con un sistema basato su Exchange 2003. Nella sezione sono incluse informazioni sul supporto di Outlook Web Access con controllo S/MIME nell'infrastruttura PKI.

Se non si desidera implementare un'infrastruttura PKI, sarà possibile utilizzare reti PKI pubbliche per fornire il supporto necessario per abilitare S/MIME. Per ottenere un elenco dei provider di PKI pubbliche per l'utilizzo con Outlook Web Access con controllo S/MIME, vedere "Where to Get Your Digital ID" e "Digital ID" (informazioni in lingua inglese).

Utilizzo di Outlook Web Access con controllo S/MIME

Al termine dell'installazione e della configurazione, una volta emessi i certificati digitali appropriati, Outlook Web Access con controllo S/MIME potrà inviare messaggi di posta elettronica con firma digitale e crittografati.

Outlook Web Access con controllo S/MIME fornisce i servizi di protezione S/MIME per i messaggi di posta elettronica inviati e ricevuti tramite Outlook Web Access. I messaggi vengono gestiti esattamente come in Outlook Web Access, ma sono consentiti anche l'invio e la ricezione di messaggi con firma digitale e crittografati.

Outlook Web Access con controllo S/MIME fornisce tre possibili soluzioni per l'utilizzo della funzionalità S/MIME:

  • Gli utenti possono utilizzare Outlook Web Access per firmare digitalmente o crittografare singoli messaggi di posta elettronica.
  • Gli utenti possono configurare Outlook Web Access con controllo S/MIME in modo da firmare digitalmente o crittografare i messaggi di posta elettronica per impostazione predefinita.
  • Gli amministratori possono configurare Outlook Web Access con controllo S/MIME in modo da richiedere la firma digitale o la crittografia di tutti i messaggi di posta elettronica per gli utenti di uno specifico server Exchange.

Per ulteriori informazioni sui problemi comuni relativi all'invio e alla ricezione di messaggi di posta elettronica con firma digitale e crittografati, vedere Risoluzione dei problemi relativi al sistema S/MIME in Exchange Server 2003.

Nota

Dopo l'installazione del controllo S/MIME, gli allegati aperti direttamente dai messaggi di posta elettronica firmati e crittografati verranno eliminati dalla cache di Internet Explorer al momento della chiusura dei messaggi. Questo si verifica solo nel caso di messaggi firmati e crittografati. Gli allegati aperti da messaggi non firmati e non crittografati non vengono eliminati.

Firma e crittografia di singoli messaggi di posta elettronica

Per impostazione predefinita, Outlook Web Access con controllo S/MIME è configurato in modo da non firmare né crittografare i messaggi di posta elettronica. L'utente deve selezionare le firme digitali o la crittografia per ogni singolo messaggio oppure modificare l'impostazione predefinita.

Dopo l'installazione del controllo S/MIME, sulla barra degli strumenti vengono aggiunti dei pulsanti che vengono visualizzati al momento della composizione di un messaggio di posta elettronica. Per firmare digitalmente o crittografare il messaggio, l'utente deve fare clic sul pulsante appropriato. Al momento dell'invio, al messaggio verrà aggiunto automaticamente il servizio S/MIME associato al pulsante selezionato. Per la procedura dettagliata, vedere:

Firma e crittografia predefinite dei messaggi di posta elettronica

Oltre ai pulsanti per la firma e la crittografia dei messaggi sulla barra degli strumenti, in Outlook Web Access con controllo S/MIME vengono aggiunte due caselle di controllo nell'area Protezione posta elettronica della pagina Opzioni per abilitare la firma digitale e la crittografia predefinite per tutti i messaggi di posta elettronica. Per la procedura dettagliata, vedere Configurazione delle impostazioni S/MIME predefinite in Outlook Web Access.

Firma e crittografia obbligatorie per tutti i messaggi di posta elettronica

È possibile impostare la firma digitale o la crittografia obbligatoria per tutti i messaggi di posta elettronica, in modo da impedire all'utente di inviare messaggi non firmati o non crittografati. Queste impostazioni possono essere definite nell'ambito dei criteri di protezione dell'organizzazione relativi all'utilizzo della posta elettronica.

Una volta implementate queste impostazioni, gli utenti non potranno inviare messaggi non firmati o non crittografati. Si consiglia di implementarle con attenzione poiché se non possono ottenere i certificati digitali appropriati gli utenti non potranno inviare messaggi. Queste impostazioni non influiscono sulla capacità di inviare messaggi di posta elettronica mediante altri client oppure Outlook Web Access con controllo S/MIME. Per rendere conforme a questi requisiti la modalità di utilizzo dell'intero sistema di posta elettronica, è necessario impostare le stesse limitazioni sugli altri client e impedire l'accesso al server Exchange a quelli che non possono essere controllati.

Queste impostazioni sono controllate dalle seguenti chiavi del Registro di sistema sul server Exchange dell'utente:

  • AlwaysSign
  • AlwaysEncrypt

Per ulteriori informazioni sulle chiavi del Registro di sistema e sulle relative impostazioni, vedere Impostazioni di Outlook Web Access con controllo S/MIME.

Visualizzazione dei messaggi di posta elettronica firmati e crittografati

Per visualizzare i messaggi di posta elettronica con firma digitale o crittografati, l'utente deve fornire un PIN (Personal Identification Number) o una password solo se la propria chiave privata utilizza una protezione chiave avanzata. In Outlook Web Access con controllo S/MIME questi messaggi vengono elaborati automaticamente e viene chiesto all'utente di specificare gli eventuali dati necessari in base al certificato digitale. Per i messaggi con firma digitale, il sistema client dell'utente verifica la firma del messaggio, ovvero decrittografa il valore hash con la chiave pubblica e quindi calcola e confronta il valore hash del messaggio, mentre il server Exchange verifica la validità del certificato di firma (scadenza, attendibilità e revoca). Per i messaggi crittografati, il sistema client dell'utente tenta automaticamente di recuperare le chiavi private appropriate, chiede all'utente di specificare le informazioni necessarie e, se l'operazione viene completata correttamente, visualizza il messaggio di posta elettronica. Per la procedura dettagliata di visualizzazione della posta S/MIME in Outlook Web Access, vedere le seguenti risorse:

Per ulteriori informazioni sui problemi relativi alla ricezione di messaggi di posta elettronica con firma digitale e crittografati, vedere Risoluzione dei problemi relativi al sistema S/MIME in Exchange Server 2003.