用于邮件签名和加密的 S/MIME

作为 Exchange Server 中的管理员,可以为组织启用安全/多用途 Internet 邮件扩展 (S/MIME) 。 S/MIME 是被广泛接受的用于发送数字签名和加密邮件的方法(或者更确切地说是一种协议)。 S/MIME 允许你加密电子邮件,并对它们进行数字签名。 使用 S/MIME 时,它可以通过以下方法帮助接收邮件的人员:

  • 确保收件箱中的邮件正是以发件人开头的邮件。

  • 确保邮件来自特定的发件人,而不是冒充此发件人的人。

为此,S/MIME 提供了加密安全服务,例如身份验证、邮件完整性和防发送方抵赖(使用数字签名)。 S/MIME 还有助于增强电子邮件的隐私和数据安全(使用加密)。

S/MIME 需要证书和发布基础结构,通常用于企业到企业和企业到消费者的情况。 用户控制 S/MIME 中的加密密钥,并且可以选择是否为他们发送的每封邮件使用密钥。 Outlook 等电子邮件程序搜索可信任根证书颁发机构位置,以执行数字签名和签名验证。

有关电子邮件上下文中 S/MIME 的历史记录和体系结构的更多完整背景,请参阅了解 S/MIMEE

S/MIME 支持的场景和技术考虑因素

可以将 S/MIME 设置为用于以下任一终结点:

  • Outlook 2010 或更高版本

  • Web 上的 Outlook(以前称为 Outlook Web App)

  • Exchange ActiveSync (EAS)

为这些终结点设置 S/MIME 时需遵循的步骤可能略有不同。 通常情况下,需要完成以下步骤:

  1. 安装基于 WIndows 的证书颁发机构,并设置公钥基础结构以颁发 S/MIME 证书。 支持第三方证书提供商颁发的证书。 有关详细信息,请参阅 服务器证书部署概述

  2. 在本地 Active Directory 域服务 (AD DS) 帐户的 UserSMIMECertificate 和/或 UserCertificate 属性中发布用户证书。 AD DS 需要位于由你控制的物理位置的计算机上,而不是 Internet 上其他位置的远程设施或基于云的服务。 有关 AD DS 的详细信息,请参阅Active Directory 域服务概述

  3. 设置虚拟证书集合以验证 S/MIME。 此信息供 Web 上的 Outlook 用于验证电子邮件的签名并确保它是由可信证书签名的。

  4. 将 Outlook 或 EAS 终结点设置为使用 S/MIME。

设置 Web 上的 Outlook 的 S/MIME

设置 Web 上的 Outlook 的 S/MIME,涉及以下关键步骤:

  1. Exchange Server中Outlook 网页版的 S/MIME 设置

  2. Set up Virtual Certificate Collection to Validate S/MIME

有关如何在 Outlook 网页版 中发送 S/MIME 加密消息的信息,请参阅在 Outlook 网页版 中使用 S/MIME 加密消息

各种加密技术配合使用,为处于静止和传送状态的邮件提供保护。 S/MIME 可与以下技术一起使用,但并不依赖于这些技术。

  • 传输层安全性 (TLS) :加密电子邮件服务器之间的隧道或路由,以帮助防止窃听和窃听,并加密电子邮件客户端和服务器之间的连接。

    注意

    安全套接字层 (SSL) 将由传输层安全性 (TLS) 替代作为用于加密计算机系统之间发送的数据的协议。 它们是如此密切相关,以至于术语"SSL"和"TLS"(不带版本)经常互换使用。 由于此相似性,Exchange 主题、Exchange 管理中心 和 Exchange 命令行管理程序 中对"SSL"的引用通常用来同时涵盖 SSL 和 TLS 协议。 通常,"SSL"仅在提供版本的情况下指的是实际的 SSL 协议(例如,SSL 3.0)。 若要找出您应禁用 SSL 协议并切换到 TLS 的原因,请查看防御 SSL 3.0 漏洞

  • BitLocker:加密数据中心硬盘驱动器上的数据,以便在有人获得未经授权的访问时,他们无法读取数据。 有关详细信息,请参阅 BitLocker:如何在 Windows Server 2012 及更高版本上部署