S/MIME для подписи и шифрования сообщений

  • Статья

Как администратор в Exchange Server вы можете включить безопасные и многоцелевые расширения электронной почты (S/MIME) для своей организации. S/MIME — это общепринятый способ, а точнее протокол для передачи зашифрованных сообщений с цифровой подписью. S/MIME позволяет шифровать электронные письма и добавлять к ним цифровую подпись. При использовании S/MIME получатели могут быть уверены, что:

  • сообщение в их почтовом ящике — точная копия отправленного;

  • сообщение поступило от определенного отправителя, а не от мошенника.

Для этого S/MIME предоставляет службы криптографической безопасности, такие как проверка подлинности, обеспечение целостности сообщений и неотрекаемости источника (с помощью цифровых подписей). Протокол S/MIME также помогает повысить конфиденциальность и безопасность обмена электронными сообщениями (с помощью шифрования).

Для применения S/MIME требуется сертификат и инфраструктура публикации, которая часто используется при взаимодействии с корпоративными клиентами и конечными потребителями. Пользователь управляет криптографическими ключами в S/MIME и может выбрать, будут ли они применяться для каждого отправляемого сообщения. Почтовые программы, такие как Outlook, выполняют поиск в расположении доверенного корневого центра сертификации для добавления цифровой подписи и ее проверки.

Полный обзор истории и архитектуры S/MIME в контексте электронной почты см. в этой статье.

Поддерживаемые сценарии и технические особенности S/MIME

S/MIME можно настроить для работы со следующими конечными точками:

  • Outlook 2010 или более поздней версии;

  • Outlook в Интернете (предыдущее название — Outlook Web App);

  • Exchange ActiveSync (EAS).

Действия по настройке S/MIME для каждой из этих конечных точек несколько различаются. Ниже приведены общие инструкции.

  1. Установите центр сертификации на основе Windows и настройте инфраструктуру открытых ключей для выдачи сертификатов S/MIME. Поддерживаются сертификаты, выданные сторонними поставщиками сертификатов. Дополнительные сведения см. в статье Общие сведения о развертывании сертификатов сервера.

  2. Опубликуйте сертификат пользователя в учетной записи доменных служб локальная служба Active Directory (AD DS) в атрибутах UserSMIMECertificate и (или) UserCertificate. Ad DS должны находиться на компьютерах в физическом расположении, которое вы контролируете, а не в удаленном объекте или облачной службе в Интернете. Дополнительные сведения об AD DS см. в разделе Обзор доменные службы Active Directory.

  3. Настройте коллекцию виртуальных сертификатов для проверки S/MIME. Эта информация используется Outlook в Интернете при проверке подписи сообщения электронной почты для подтверждения того, что оно было подписано доверенным сертификатом.

  4. Настройте конечную точку Outlook или EAS для использования S/MIME.

Настройка S/MIME для Outlook в Интернете

Настройка S/MIME для Outlook в Интернете состоит из следующих этапов:

  1. Параметры S/MIME для Outlook в Интернете в Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Сведения об отправке зашифрованного сообщения S/MIME в Outlook в Интернете см. в разделе Шифрование сообщений с помощью S/MIME в Outlook в Интернете.

Различные технологии шифрования используются совместно для обеспечения защиты сообщений, хранящихся в почтовых ящиках и при пересылке. Протокол S/MIME может работать одновременно со следующими технологиями, но не зависит от них:

  • Безопасность транспортного уровня (TLS): шифрует туннель или маршрут между почтовыми серверами, чтобы предотвратить перехват и перехват, а также шифрует подключение между клиентами электронной почты и серверами.

    Примечание.

    Теперь для шифрования данных, которыми обмениваются компьютерные системы, используется протокол TLS вместо протокола SSL. Они настолько тесно связаны, что термины "SSL" и "TLS" (без версий) часто используются взаимозаменяемо. Из-за этого сходства ссылки на "SSL" в разделах Exchange, Центре администрирования Exchange и командной консоли Exchange часто используются для охвата протоколов SSL и TLS. Как правило, термин "SSL" обозначает именно протокол SSL только в тех случаях, когда указан номер версии (например, SSL 3.0). Чтобы узнать, почему следует отключить протокол SSL и переключиться на TLS, см. статью Защита от уязвимости SSL 3.0.

  • BitLocker. Шифрует данные на жестком диске в центре обработки данных, чтобы, если кто-то получил несанкционированный доступ, он не смог прочитать их. Дополнительные сведения см. в статье BitLocker: развертывание на Windows Server 2012 и более поздних версий.