S/MIME para la firma y el cifrado de mensajes

Como administrador de Exchange Server, puede habilitar extensiones de correo de Internet seguras/multipropósito (S/MIME) para su organización. S/MIME es un método (más concretamente, un protocolo) ampliamente aceptado para enviar mensajes cifrados y firmados digitalmente. S/MIME permite cifrar mensajes de correo electrónico y firmarlos digitalmente. Cuando utiliza S/MIME, ayuda a las personas que reciben el mensaje al:

  • Asegurarse de que el mensaje de su Bandeja de entrada es el mensaje exacto que envió el remitente.

  • Asegurarse de que el mensaje proviene del remitente específico y no de alguien que pretende ser el remitente.

Para ello, S/MIME proporciona servicios de seguridad criptográfica como autenticación, integridad de mensajes y no rechazo de origen (usando firmas digitales). S/MIME también ayuda a mejorar la privacidad y la seguridad de los datos (mediante cifrado) en la mensajería electrónica.

S/MIME requiere una infraestructura de certificados y publicación que suele usarse en situaciones de negocio a negocio y de negocio a consumidor. El usuario controla las claves criptográficas en S/MIME y puede elegir si desea usarlas para cada mensaje que envíe. Los programas de correo electrónico como Outlook buscan una ubicación de entidades de certificación raíz de confianza para llevar a cabo la firma digital y la comprobación de la firma.

Para obtener más información sobre la historia y la arquitectura de S/MIME en el contexto del correo electrónico, consulte Descripción de S/MIME.

Consideraciones técnicas y escenarios admitidos para S/MIME

Puede configurar S/MIME para trabajar con cualquiera de los siguientes extremos:

  • Outlook 2010 o posterior

  • Outlook en la web (anteriormente conocida como Outlook Web App)

  • Exchange ActiveSync (EAS)

Los pasos que debe seguir para configurar S/MIME con cada uno de estos extremos son ligeramente diferentes. En general, debe completar estos pasos:

  1. Instale una entidad emisora de certificados basada en Windows y configure una infraestructura de clave pública para emitir certificados S/MIME. Se admiten los certificados emitidos por los proveedores de certificados de terceros. Para obtener más información, vea Server Certificate Deployment Overview.

  2. Publicar el certificado de usuario en una cuenta local de Servicios de dominio de Active Directory (AD DS) en los atributos UserSMIMECertificate y UserCertificate. Su AD DS debe encontrarse en equipos en una ubicación física bajo su control, y no en una instalación remota o en un servicio basado en la nube en algún lugar de Internet. Para obtener más información acerca de AD DS, vea Información general sobre los servicios de dominio de Active Directory.

  3. Crear una colección virtual de certificados para validar S/MIME. Outlook en la web usa esta información para validar la firma de un correo electrónico y garantizar que se ha firmado con un certificado de confianza.

  4. Configurar el extremo de Outlook o EAS para usar S/MIME.

Configurar S/MIME con Outlook en la web

Configuración S/MIME con Outlook en la web implica estos pasos clave:

  1. Configuración de S/MIME para Outlook en la Web en Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Para obtener información sobre cómo enviar un mensaje cifrado S/MIME en Outlook en la Web, vea Cifrar mensajes mediante S/MIME en Outlook en la Web.

Diversas tecnologías de cifrado trabajan juntas para proporcionar protección a los mensajes en reposo y en tránsito. S/MIME puede trabajar simultáneamente con las siguientes tecnologías pero no depende de ellas:

  • Seguridad de la capa de transporte (TLS): cifra el túnel o la ruta entre servidores de correo electrónico para ayudar a evitar el espionaje y el escucha, y cifra la conexión entre los clientes de correo electrónico y los servidores.

    Nota

    Capa de sockets seguros (SSL) se está reemplazando por Seguridad de la capa de transporte (TLS) como protocolo usado para cifrar los datos enviados entre sistemas informáticos. Están tan estrechamente relacionadas que a menudo los términos "SSL" y "TLS" (sin versiones) se usan indistintamente. Debido a esta similitud, las referencias a "SSL" en los temas de Exchange, el Centro de administración de Exchange y el Shell de administración de Exchange se han usado a menudo para englobar los protocolos SSL y TLS. Normalmente, "SSL" hace referencia al protocolo SSL real solo cuando también se proporciona una versión (por ejemplo, SSL 3.0). Para averiguar por qué debería deshabilitar el protocolo SSL y cambiar a TLS, consulte Protecting you against the SSL 3.0 vulnerability (Protección contra la vulnerabilidad de SSL 3.0).

  • BitLocker: cifra los datos de un disco duro en un centro de datos para que, si alguien obtiene acceso no autorizado, no pueda leerlo. Para obtener más información, vea BitLocker: How to deploy on Windows Server 2012 and later