用于邮件签名和加密的 S/MIME

作为 Exchange Server 中的管理员，可以为组织启用安全/多用途 Internet 邮件扩展 (S/MIME) 。 S/MIME 是被广泛接受的用于发送数字签名和加密邮件的方法（或者更确切地说是一种协议）。 S/MIME 允许你加密电子邮件，并对它们进行数字签名。 使用 S/MIME 时，它可以通过以下方法帮助接收邮件的人员：

• 确保收件箱中的邮件正是以发件人开头的邮件。

• 确保邮件来自特定的发件人，而不是冒充此发件人的人。

为此，S/MIME 提供了加密安全服务，例如身份验证、邮件完整性和防发送方抵赖（使用数字签名）。 S/MIME 还有助于增强电子邮件的隐私和数据安全（使用加密）。

S/MIME 需要证书和发布基础结构，通常用于企业到企业和企业到消费者的情况。 用户控制 S/MIME 中的加密密钥，并且可以选择是否为他们发送的每封邮件使用密钥。 Outlook 等电子邮件程序搜索可信任根证书颁发机构位置，以执行数字签名和签名验证。

有关电子邮件上下文中 S/MIME 的历史记录和体系结构的更多完整背景，请参阅了解 S/MIMEE。

S/MIME 支持的场景和技术考虑因素

可以将 S/MIME 设置为用于以下任一终结点：

• Outlook 2010 或更高版本

• Web 上的 Outlook（以前称为 Outlook Web App）

• Exchange ActiveSync (EAS)

为这些终结点设置 S/MIME 时需遵循的步骤可能略有不同。 通常情况下，需要完成以下步骤：

1. 安装基于 WIndows 的证书颁发机构，并设置公钥基础结构以颁发 S/MIME 证书。 支持第三方证书提供商颁发的证书。 有关详细信息，请参阅 服务器证书部署概述。

2. 在本地 Active Directory 域服务 (AD DS) 帐户的 UserSMIMECertificate 和/或 UserCertificate 属性中发布用户证书。 AD DS 需要位于由你控制的物理位置的计算机上，而不是 Internet 上其他位置的远程设施或基于云的服务。 有关 AD DS 的详细信息，请参阅Active Directory 域服务概述。

3. 设置虚拟证书集合以验证 S/MIME。 此信息供 Web 上的 Outlook 用于验证电子邮件的签名并确保它是由可信证书签名的。

4. 将 Outlook 或 EAS 终结点设置为使用 S/MIME。

设置 Web 上的 Outlook 的 S/MIME

设置 Web 上的 Outlook 的 S/MIME，涉及以下关键步骤：

1. Exchange Server中Outlook 网页版的 S/MIME 设置。

2. Set up Virtual Certificate Collection to Validate S/MIME

有关如何在 Outlook 网页版 中发送 S/MIME 加密消息的信息，请参阅在 Outlook 网页版 中使用 S/MIME 加密消息。

相关邮件加密技术

各种加密技术配合使用，为处于静止和传送状态的邮件提供保护。 S/MIME 可与以下技术一起使用，但并不依赖于这些技术。

• 传输层安全性 (TLS) ：加密电子邮件服务器之间的隧道或路由，以帮助防止窃听和窃听，并加密电子邮件客户端和服务器之间的连接。

  注意

  安全套接字层 (SSL) 将由传输层安全性 (TLS) 替代作为用于加密计算机系统之间发送的数据的协议。 它们是如此密切相关，以至于术语"SSL"和"TLS"（不带版本）经常互换使用。 由于此相似性，Exchange 主题、Exchange 管理中心 和 Exchange 命令行管理程序 中对"SSL"的引用通常用来同时涵盖 SSL 和 TLS 协议。 通常，"SSL"仅在提供版本的情况下指的是实际的 SSL 协议（例如，SSL 3.0）。 若要找出您应禁用 SSL 协议并切换到 TLS 的原因，请查看防御 SSL 3.0 漏洞。

• BitLocker：加密数据中心硬盘驱动器上的数据，以便在有人获得未经授权的访问时，他们无法读取数据。 有关详细信息，请参阅 BitLocker：如何在 Windows Server 2012 及更高版本上部署