Adresat nie może wyświetlić wiadomości e-mail zakodowanej przy użyciu protokołu S/MIME

Oryginalny numer artykułu KB:   2621062

Symptomy

Uwzględnij następujące scenariusze:

Scenariusz 1

  • Uzyskujesz dostęp do skrzynki pocztowej hostowanej w programie Exchange Server 2010 z dodatkiem Service Pack 2 (SP2).
  • Pobierzesz i zainstalujesz kontrolkę S/MIME (Secure/Multipurpose Internet Mail Extensions) w aplikacji Outlook Web App (OWA). Następnie wykonaj dowolną z następujących czynności:
    • Za pomocą kontrolki S/MIME w programie OWA można zaszyfrować wiadomość e-mail.
    • Za pomocą programu Outlook można zaszyfrować wiadomość e-mail.
  • Wysyłasz wiadomość e-mail do listy dystrybucyjnej.
  • Odbiorca usiłuje otworzyć wiadomość e-mail w programie Outlook.

W tym scenariuszu adresat może otrzymać ten komunikat o błędzie:

Nie można otworzyć tego elementu. Twój system zabezpieczeń nie może znaleźć nazwy Twojego identyfikatora cyfrowego

Scenariusz 2

  • Uzyskujesz dostęp do skrzynki pocztowej hostowanej w programie Exchange Server 2010 z dodatkiem SP2.
  • Po pobraniu i zainstalowaniu kontrolki S/MIME w aplikacji Outlook Web App (OWA). Następnie wykonaj dowolną z następujących czynności:
    • Za pomocą kontrolki S/MIME w programie OWA można zaszyfrować wiadomość e-mail.
    • Za pomocą programu Outlook można zaszyfrować wiadomość e-mail.
  • Wysyłasz wiadomość e-mail do listy dystrybucyjnej.
  • Odbiorca usiłuje otworzyć wiadomość e-mail w aplikacji Outlook Web App (OWA).

W tym scenariuszu adresat może otrzymać ten komunikat o błędzie:

Nie można odszyfrować tej wiadomości, ponieważ jej algorytm szyfrowania nie jest obsługiwany lub nie można znaleźć identyfikatora cyfrowego. Jeśli masz identyfikator cyfrowy oparty na karcie inteligentnej, włóż kartę i spróbuj ponownie otworzyć wiadomość.

Przyczyna

Ten problem może wystąpić, jeśli są spełnione wszystkie te warunki:

  • Administrator programu Exchange zdefiniował zasady książki adresowej.
  • Zakres zasad książki adresowej nie obejmuje wszystkich członków grupy dystrybucyjnej.

Uwaga

Takie działanie jest celowe.

Rozwiązanie — Metoda 1

Korzystanie z funkcji kontakty. Aby to zrobić, wykonaj następujące kroki.

  1. Za pomocą programu Outlook otwórz cyfrowo podpisaną wiadomość od nadawcy, którego nie ma w Twojej książce adresowej.
  2. W wierszu od: kliknij prawym przyciskiem myszy nazwę nadawcy, a następnie wybierz pozycję Dodaj do kontaktów programu Outlook.
  3. W oknie kontakt wybierz pozycję Certyfikaty w grupie Pokazywanie .
  4. Zweryfikuj certyfikat klucza publicznego kontaktu.
  5. Wybierz pozycję zapisz & Zamknij.
  6. Użyj funkcji kontakty, aby dodać użytkownika do listy adresatów wiadomości e-mail zawierającej grupę dystrybucyjną. Aby to zrobić, wykonaj następujące kroki.
    1. W programie Outlook wybierz pozycję Nowy, wybierz pozycję wiadomość pocztowa, a następnie wybierz pozycję do.
    2. W obszarze książka adresowa wybierz pozycję kontakty.
    3. Kliknij dwukrotnie użytkownika, którego chcesz dodać.

Rozwiązanie — Metoda 2

Nie twórz list dystrybucyjnych zawierających członków, którzy mogą obejmować wiele zasad książki adresowej.

Więcej informacji

W programie Exchange Server 2010 z dodatkiem SP2 Administratorzy mogą zaimplementować nową funkcję nazywaną zasadami książki adresowej. Ta funkcja umożliwia administratorom definiowanie, które obiekty programu Exchange mogą być widoczne dla użytkownika skrzynki pocztowej. Ta zasada jest następnie oceniana przez usługę książka adresowa na serwerze dostępu klienta, gdy użytkownik wykonuje kwerendę książki adresowej. Jeśli obiekt żądany w zapytaniu jest niezgodny z zakresem zdefiniowanym dla zasad, użytkownik skrzynki pocztowej nie może zobaczyć tego obiektu.

W przypadku grup dystrybucyjnych (DG) Użytkownicy skrzynki pocztowej mogą nie widzieć całego członkostwa w grupie, jeśli zakres ich zasad książki adresowej obejmuje wszystkich członków tej grupy. Usługa książki adresowej w programie Exchange Server 2010 z dodatkiem SP2 implementuje segregację Named Service Provider Interface (NSPI). Gdy klient poczty próbuje wykonać rozszerzenie listy rozwijanej i odszukać certyfikaty publiczne dla wszystkich członków listy dystrybucyjnej, klient poczty nie widzi użytkowników, którzy nie pasują do zakresu tej zasady. Dlatego klient poczty nie próbuje wyszukać certyfikatów dla użytkowników, których nie może zobaczyć.

Po wysłaniu wiadomości centralny transport nie podlega zasadom książki adresowej. Z tego powodu transport może wysłać wiadomość do aktualnego członkostwa listy dystrybucyjnej, gdy jest wykonywana ekspansja listy dystrybucyjnej.

Gdy wysyłasz do listy dystrybucyjnej zawierającej członków, których nie widzisz, programy Outlook i Outlook Web App nie mogą zlokalizować informacji o certyfikacie adresata w usługach domenowych Active Directory. Dlatego informacje o certyfikacie nie są używane do kodowania skrytki, a adresat nie może zlokalizować certyfikatu i klucza prywatnego, aby odszyfrować wiadomość.

W przypadku korzystania z jednej z metod wymienionych w sekcji rozwiązanie do szyfrowania wiadomości e-mail adresat może określić, jak zlokalizować certyfikat i klucz prywatny, aby odszyfrować wiadomość.

Informacje

Aby uzyskać więcej informacji na temat zasad książki adresowej, zobacz Opis zasad książki adresowej.