S/MIME для подписывания и шифрования сообщений в Exchange Server
Применимо к: Exchange Server 2013
S/MIME (безопасные и многоцелевые расширения электронной почты) — это широко распространенный метод (или, точнее, протокол) для отправки сообщений с цифровой подписью и шифрованием. S/MIME позволяет шифровать электронные письма и добавлять к ним цифровую подпись. При использовании S/MIME с сообщением электронной почты пользователи, получающие это сообщение, могут убедиться, что то, что они видят в папке "Входящие", является точным сообщением, которое началось с отправителя. Это также поможет людям, получающим сообщения, убедиться, что сообщение поступило от конкретного отправителя, а не от того, кто притворяется отправителем. Для этого S/MIME предоставляет службы криптографической безопасности, такие как проверка подлинности, обеспечение целостности сообщений и неотрекаемости источника (с помощью цифровых подписей). Это также помогает повысить конфиденциальность и безопасность данных (с помощью шифрования) для электронных сообщений. Полный обзор истории и архитектуры S/MIME в контексте электронной почты см. в этой статье.
Администратор Exchange может включить безопасность на основе S/MIME для почтовых ящиков в вашей организации. Чтобы настроить S/MIME, воспользуйтесь рекомендациями, приведенными здесь, вместе с командной консолью Exchange. Чтобы использовать S/MIME в поддерживаемых почтовых клиентах, пользователи в вашей организации должны иметь сертификаты, выданные для подписывания и шифрования, а также данные, опубликованные в вашей локальной доменной службе Active Directory (AD DS). Ad DS должны находиться на компьютерах в физическом расположении, которое вы контролируете, а не в удаленном объекте или облачной службе в Интернете. Дополнительные сведения о доменных службах Active Directory см. в разделе Доменные службы Active Directory.
Поддерживаемые сценарии и технические рекомендации
S/MIME можно настроить для работы со следующими конечными точками:
Outlook 2010 или более поздней версии;
Outlook Web App (OWA)
Exchange ActiveSync (EAS).
Действия, которые необходимо выполнить для настройки S/MIME с каждой из этих конечных точек, немного отличаются. Как правило, вам потребуется выполнить следующие действия.
Установите центр сертификации на основе Windows и настройте инфраструктуру открытых ключей для выдачи сертификатов S/MIME. Также поддерживаются сертификаты, выданные сторонними поставщиками сертификатов. Дополнительные сведения см. в статье Обзор служб сертификатов Active Directory.
Опубликуйте сертификат пользователя в локальной учетной записи AD DS в атрибутах UserSMIMECertificate и (или ) UserCertificate .
Настройте коллекцию виртуальных сертификатов для проверки S/MIME. Эти сведения используются OWA при проверке подписи электронной почты и обеспечении его подписи доверенным сертификатом.
Настройте конечную точку Outlook или EAS для использования S/MIME.
Настройка S/MIME с помощью Outlook Web App
Настройка S/MIME в OWA включает следующие ключевые шаги.
Настройка параметров S/MIME в Exchange Server для Outlook Web App
Настройка коллекции виртуальных сертификатов в Exchange Server для проверки S/MIME
Технологии шифрования сообщений
По мере того как безопасность сообщений становится более важной, администраторы должны понимать принципы и концепции безопасного обмена сообщениями. Это понимание особенно важно из-за растущего разнообразия доступных технологий, связанных с защитой (включая S/MIME). Дополнительные сведения о S/MIME и его работе в контексте электронной почты см. в статье Общие сведения о S/MIME. Различные технологии шифрования совместно обеспечивают защиту неактивных и передаваемых сообщений. S/MIME может работать одновременно со следующими технологиями, но не зависит от них:
Tls шифрует туннель или маршрут между серверами электронной почты, чтобы предотвратить перехват и перехват.
Ssl шифрует подключение между почтовыми клиентами и серверами Microsoft 365 или Office 365.
BitLocker шифрует данные на жестком диске в центре обработки данных, чтобы, если кто-то получил несанкционированный доступ, он не смог прочитать их.
Сравнение S/MIME с шифрованием сообщений
Для применения S/MIME требуется сертификат и инфраструктура публикации, которая часто используется при взаимодействии с корпоративными клиентами и конечными потребителями. Пользователь управляет криптографическими ключами в S/MIME и может выбрать, будут ли они применяться для каждого отправляемого сообщения. Почтовые программы, такие как Outlook, выполняют поиск в расположении доверенного корневого центра сертификации для добавления цифровой подписи и ее проверки. Шифрование сообщений — это служба шифрования на основе политик, которая может быть настроена администратором, а не отдельным пользователем, для шифрования почты, отправляемой кому-либо в организации или за ее пределами. Это веб-служба, созданная на основе Azure Rights Management (RMS) и не используюющая инфраструктуру открытых ключей. Шифрование сообщений также предоставляет дополнительные возможности, такие как возможность настройки почты с использованием фирменной символики организации. Дополнительные сведения о шифровании сообщений см. в разделе Шифрование.