用于Exchange Server中消息签名和加密的 S/MIME
适用于:Exchange Server 2013
S/MIME (Secure/Multipurpose Internet Mail Extensions) 是一种广为接受的方法, (或更确切地说,是用于发送数字签名和加密邮件的协议) 。 S/MIME 允许你加密电子邮件,并对它们进行数字签名。 当你将 S/MIME 用于电子邮件时,它可帮助接收该邮件的人员确保他们在收件箱中看到的内容是发件人开头的确切邮件。 它还可帮助接收邮件的人员确定邮件来自特定发件人,而不是来自假装发件人的人。 为此,S/MIME 提供了加密安全服务,例如身份验证、邮件完整性和防发送方抵赖(使用数字签名)。 它还有助于增强 (使用电子消息加密) 的隐私和数据安全。 有关电子邮件上下文中 S/MIME 的历史记录和体系结构的更多完整背景,请参阅了解 S/MIMEE。
作为 Exchange 管理员,可以为组织中的邮箱启用基于 S/MIME 的安全性。 使用此处链接的主题中的指南以及 Exchange 命令行管理程序来设置 S/MIME。 若要在支持的电子邮件客户端中使用 S/MIME,组织中的用户必须颁发用于签名和加密目的的证书,并将数据发布到 本地 Active Directory 域服务 (AD DS) 。 AD DS 必须位于你控制的物理位置的计算机上,而不是位于 Internet 上某个位置的远程设施或基于云的服务中。 有关 AD DS 的详细信息,请参阅 Active Directory 域服务。
支持的方案和技术注意事项
可以将 S/MIME 设置为用于以下任一终结点:
Outlook 2010 或更高版本
Outlook Web App (OWA)
Exchange ActiveSync (EAS)
使用每个终结点设置 S/MIME 的步骤略有不同。 通常,需要执行以下步骤:
安装基于 WIndows 的证书颁发机构,并设置公钥基础结构以颁发 S/MIME 证书。 还支持由第三方证书提供程序颁发的证书。 有关详细信息,请参阅 Active Directory 证书服务概述。
在 UserSMIMECertificate 和/或 UserCertificate 属性的本地 AD DS 帐户中发布用户证书。
设置虚拟证书集合以验证 S/MIME。 OWA 在验证电子邮件签名并确保电子邮件由受信任的证书签名时使用此信息。
将 Outlook 或 EAS 终结点设置为使用 S/MIME。
使用 Outlook Web App 设置 S/MIME
使用 OWA 设置 S/MIME 涉及以下关键步骤:
相关邮件加密技术
随着消息安全性变得越来越重要,管理员需要了解安全消息传送的原则和概念。 这种理解尤其重要,因为保护相关技术 (包括可用的 S/MIME) 在内的各种技术越来越多。 若要详细了解 S/MIME 及其在电子邮件上下文中的工作方式,请参阅 了解 S/MIME。 各种加密技术协同工作,为静态和传输中的消息提供保护。 S/MIME 可以与以下技术同时工作,但不依赖于它们:
传输层安全性 (TLS) 加密电子邮件服务器之间的隧道或路由,以帮助防止窥探和窃听。
安全套接字层 (SSL) 加密电子邮件客户端与 Microsoft 365 或 Office 365 服务器之间的连接。
BitLocker 对数据中心的硬盘驱动器上的数据进行加密,以便在有人获得未经授权的访问时,他们无法读取数据。
S/MIME 与消息加密的比较
S/MIME 需要证书和发布基础结构,通常用于企业到企业和企业到消费者的情况。 用户控制 S/MIME 中的加密密钥,并且可以选择是否为他们发送的每封邮件使用密钥。 Outlook 等电子邮件程序搜索可信任根证书颁发机构位置,以执行数字签名和签名验证。 邮件加密是一种基于策略的加密服务,可由管理员(而不是单个用户)配置,以加密发送给组织内外任何人的邮件。 它是一项基于 Azure Rights Management (RMS) 构建的联机服务,不依赖于公钥基础结构。 邮件加密还提供其他功能,例如使用组织的品牌自定义邮件的功能。 有关消息加密的详细信息,请参阅 加密。