S/MIME para assinatura e criptografia de mensagens

  • Artigo
  • 2 minutos para ler

Como administrador no Exchange Server, você pode habilitar Extensões de Email de Internet Segura/Multiuso (S/MIME) para sua organização. S/MIME é um método amplamente aceito (mais precisamente, um protocolo) para enviar mensagens assinadas digitalmente e criptografadas. S/MIME permite que você criptografe email e os assine digitalmente. Quando você usa S/MIME, ele ajuda as pessoas que recebem a mensagem por:

  • Garantindo que a mensagem em sua caixa de entrada seja a mensagem exata que começou com o remetente.

  • Garantindo que a mensagem veio do remetente específico e não de alguém que está se passando por remetente.

Para fazer isso, S/MIME presta serviços de segurança criptográfica como autenticação, integridade da mensagem e não recusa da origem (usando assinaturas digitais). O S/MIME também ajuda a aprimorar a privacidade e a segurança de dados (usando criptografia) para mensagens eletrônicas.

S/MIME requer uma infraestrutura de certificado e publicação que é geralmente usada em situações entre empresas e entre empresas e consumidores. O usuário controla as chaves criptográficas no S/MIME e pode escolher se as usará para cada mensagem que enviar. Programas de email como o Outlook procuram um local de autoridade de certificado raiz confiável para realizar a assinatura digital e a verificação da assinatura.

Para obter informações mais completas sobre o histórico e a arquitetura de S/MIME no contexto de email, consulte Compreendendo S/MIME.

Cenários com suporte e considerações técnicas para S/MIME

Você pode configurar S/MIME para trabalhar com qualquer um dos seguintes pontos de extremidade:

  • Outlook 2010 ou posterior

  • Outlook na Web (anteriormente conhecido como Outlook Web App)

  • Exchange ActiveSync (EAS)

As etapas a seguir para configurar o S/MIME com cada um desses pontos de extremidade são ligeiramente diferentes. Geralmente, você precisa concluir estas etapas:

  1. Instale uma autoridade de certificação com base no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Há suporte para certificados emitidos por provedores de certificados de terceiros. Para obter detalhes, consulte Visão geral da implantação do certificado do servidor.

  2. Publique o certificado de usuário em uma conta local dos Serviços de Domínio do Active Directory (AD DS) nos atributos UserSMIMECertificate e/ou UserCertificate . Seu AD DS precisa estar localizado em computadores em um local físico que você controla e não em uma instalação remota ou serviço baseado em nuvem em algum lugar da Internet. Para obter mais informações sobre o AD DS, consulte Visão geral dos Serviços de Domínio do Active Directory.

  3. Configurar uma coletânea de certificados virtuais para validar S/MIME. Essas informações são usadas Outlook na Web validar a assinatura de um email e garantir que ela foi assinada por um certificado confiável.

  4. Configurar o ponto final do Outlook ou EAS para usar S/MIME.

Configurar S/MIME com Outlook na Web

Configurar O S/MIME com Outlook na Web envolve estas etapas principais:

  1. Configurações de S/MIME para Outlook na Web no Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Para obter informações sobre como enviar uma mensagem criptografada S/MIME no Outlook na Web, consulte Criptografar mensagens usando S/MIME no Outlook na Web.

Uma variedade de tecnologias de criptografia trabalham em conjunto para fornecer proteção para mensagens em repouso e em trânsito. O S/MIME pode funcionar simultaneamente com as seguintes tecnologias, mas não depende delas:

  • Segurança da Camada de Transporte (TLS): criptografa o túnel ou a rota entre servidores de email para ajudar a evitar a escuta e a escuta e criptografa a conexão entre clientes de email e servidores.

    Observação

    Estamos substituindo o protocolo SSL pelo protocolo TLS como o protocolo usado para criptografar dados enviados entre os sistemas de computador. Eles estão estreitamente relacionados, de modo que os termos "SSL" e "TLS" (sem versões) geralmente são intercambiáveis. Devido a essa semelhança, as referências ao "SSL" em tópicos do Exchange, o Centro de administração do Exchange e o Shell de Gerenciamento do Exchange tem sido usados frequentemente para abranger os protocolos SSL e TLS. Normalmente, o "SSL" se refere ao protocolo SSL real somente quando uma versão também é fornecida (por exemplo, SSL 3.0). Para descobrir porque você deve desabilitar o protocolo SSL e alternar para TLS, confira o artigo Proteger você contra a vulnerabilidade do SSL 3.0.

  • BitLocker: criptografa os dados em um disco rígido em um datacenter para que, se alguém tiver acesso não autorizado, ele não poderá lê-los. Para obter mais informações, consulte BitLocker: How to deploy on Windows Server 2012 and later