Compartilhar via

S/MIME para assinatura e criptografia de mensagens

APLICA-SE A:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Como administrador no Exchange Server, pode ativar Extensões de Correio da Internet (S/MIME) Seguras/Multiusos para a sua organização. O S/MIME é um método amplamente aceite (mais precisamente, um protocolo) para enviar mensagens assinadas e encriptadas digitalmente. S/MIME permite que você criptografe email e os assine digitalmente. Quando utiliza S/MIME, ajuda as pessoas que recebem a mensagem ao:

  • Garantir que a mensagem na respetiva caixa de entrada é a mensagem exata que começou com o remetente.

  • Garantir que a mensagem veio do remetente específico e não de alguém que finge ser o remetente.

Para fazer isso, S/MIME presta serviços de segurança criptográfica como autenticação, integridade da mensagem e não recusa da origem (usando assinaturas digitais). O S/MIME também ajuda a melhorar a privacidade e a segurança dos dados (através da encriptação) para mensagens eletrónicas.

S/MIME requer uma infraestrutura de certificado e publicação que é geralmente usada em situações entre empresas e entre empresas e consumidores. O usuário controla as chaves criptográficas no S/MIME e pode escolher se as usará para cada mensagem que enviar. Programas de email como o Outlook procuram um local de autoridade de certificado raiz confiável para realizar a assinatura digital e a verificação da assinatura.

Para obter informações mais completas sobre o histórico e a arquitetura de S/MIME no contexto de email, consulte Compreendendo S/MIME.

Cenários suportados e considerações técnicas para S/MIME

Pode configurar o S/MIME para trabalhar com qualquer um dos seguintes pontos finais:

  • Outlook 2010 ou posterior

  • Outlook na Web (anteriormente conhecido como Outlook Web App)

  • Exchange ActiveSync (EAS)

Os passos que segue para configurar o S/MIME com cada um destes pontos finais são ligeiramente diferentes. Geralmente, tem de concluir estes passos:

  1. Instale uma autoridade de certificação com base no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Os certificados emitidos por fornecedores de certificados de terceiros são suportados. Para obter detalhes, veja Descrição Geral da Implementação de Certificados de Servidor.

  2. Publique o certificado de utilizador numa conta do Active Directory local Domain Services (AD DS) nos atributos UserSMIMECertificate e/ou UserCertificate. O AD DS tem de estar localizado em computadores numa localização física que controla e não numa instalação remota ou num serviço baseado na cloud algures na Internet. Para obter mais informações sobre o AD DS, veja Descrição Geral do Active Directory Domain Services.

  3. Configurar uma coletânea de certificados virtuais para validar S/MIME. Estas informações são utilizadas por Outlook na Web ao validar a assinatura de um e-mail e ao garantir que foi assinada por um certificado fidedigno.

  4. Configurar o ponto final do Outlook ou EAS para usar S/MIME.

Configurar o S/MIME com Outlook na Web

A configuração do S/MIME com Outlook na Web envolve estes passos principais:

  1. Definições S/MIME para Outlook na Web no Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Para obter informações sobre como enviar uma mensagem encriptada S/MIME no Outlook na Web, consulte Encriptar mensagens com S/MIME no Outlook na Web.

Uma variedade de tecnologias de encriptação funcionam em conjunto para fornecer proteção para mensagens inativas e em trânsito. O S/MIME pode funcionar em simultâneo com as seguintes tecnologias, mas não depende das mesmas:

  • Transport Layer Security (TLS): encripta o túnel ou a rota entre servidores de e-mail para ajudar a impedir a escuta e escutas e encripta a ligação entre clientes de e-mail e servidores.

    Observação

    Estamos substituindo o protocolo SSL pelo protocolo TLS como o protocolo usado para criptografar dados enviados entre os sistemas de computador. Eles estão estreitamente relacionados, de modo que os termos "SSL" e "TLS" (sem versões) geralmente são intercambiáveis. Devido a essa semelhança, as referências ao "SSL" em tópicos do Exchange, o Centro de administração do Exchange e o Shell de Gerenciamento do Exchange tem sido usados frequentemente para abranger os protocolos SSL e TLS. Normalmente, o "SSL" se refere ao protocolo SSL real somente quando uma versão também é fornecida (por exemplo, SSL 3.0). Para descobrir porque você deve desabilitar o protocolo SSL e alternar para TLS, confira o artigo Proteger você contra a vulnerabilidade do SSL 3.0.

  • BitLocker: encripta os dados num disco rígido num datacenter para que, se alguém obtiver acesso não autorizado, não os consiga ler. Para obter mais informações, consulte BitLocker: Como implementar no Windows Server 2012 e posterior