S/MIME для подписи и шифрования сообщенийS/MIME for message signing and encryption

Как администратор в Exchange Server вы можете включить S/MIME для своей организации.As an administrator in Exchange Server, you can enable Secure/Multipurpose Internet Mail Extensions (S/MIME) for your organization. S/MIME — это общепринятый способ, а точнее протокол для передачи зашифрованных сообщений с цифровой подписью.S/MIME is a widely accepted method (more precisely, a protocol) for sending digitally signed and encrypted messages. S/MIME позволяет шифровать электронные письма и добавлять к ним цифровую подпись.S/MIME allows you to encrypt emails and digitally sign them. При использовании S/MIME получатели могут быть уверены, что:When you use S/MIME, it helps the people who receive the message by:

  • сообщение в их почтовом ящике — точная копия отправленного;Ensuring that the message in their inbox is the exact message that started with the sender.

  • сообщение поступило от определенного отправителя, а не от мошенника.Ensuring that the message came from the specific sender and not from someone pretending to be the sender.

Для этого S/MIME предоставляет службы криптографической безопасности, такие как проверка подлинности, обеспечение целостности сообщений и неотрекаемости источника (с помощью цифровых подписей). Протокол S/MIME также помогает повысить конфиденциальность и безопасность обмена электронными сообщениями (с помощью шифрования).To do this, S/MIME provides for cryptographic security services such as authentication, message integrity, and non-repudiation of origin (using digital signatures). S/MIME also helps enhance privacy and data security (using encryption) for electronic messaging.

Для применения S/MIME требуется сертификат и инфраструктура публикации, которая часто используется при взаимодействии с корпоративными клиентами и конечными потребителями. Пользователь управляет криптографическими ключами в S/MIME и может выбрать, будут ли они применяться для каждого отправляемого сообщения. Почтовые программы, такие как Outlook, выполняют поиск в расположении доверенного корневого центра сертификации для добавления цифровой подписи и ее проверки.S/MIME requires a certificate and publishing infrastructure that is often used in business-to-business and business-to-consumer situations. The user controls the cryptographic keys in S/MIME and can choose whether to use them for each message they send. Email programs such as Outlook search a trusted root certificate authority location to perform digital signing and verification of the signature.

Полный обзор истории и архитектуры S/MIME в контексте электронной почты см. в этой статье.For a more complete background about the history and architecture of S/MIME in the context of email, see Understanding S/MIME.

Поддерживаемые сценарии и технические особенности S/MIMESupported scenarios and technical considerations for S/MIME

S/MIME можно настроить для работы со следующими конечными точками:You can set up S/MIME to work with any of the following end points:

  • Outlook 2010 или более поздней версии;Outlook 2010 or later

  • Outlook в Интернете (предыдущее название — Outlook Web App);Outlook on the web (formerly known as Outlook Web App)

  • Exchange ActiveSync (EAS).Exchange ActiveSync (EAS)

Действия по настройке S/MIME для каждой из этих конечных точек несколько различаются. Ниже приведены общие инструкции.The steps that you follow to set up S/MIME with each of these endpoints are slightly different. Generally, you need to complete these steps:

  1. Установите основанный на Windows сертификационный орган и настройте инфраструктуру открытых ключей для выдачи сертификатов S/MIME.Install a Windows-based Certification Authority and set up a public key infrastructure to issue S/MIME certificates. Поддерживаются сертификаты, выдамые сторонними поставщиками сертификатов.Certificates issued by third-party certificate providers are supported. Подробные сведения см. в обзоре развертывания сертификатов сервера.For details, see Server Certificate Deployment Overview.

  2. Опубликуем сертификат пользователя в локальной учетной записи доменных служб Active Directory (AD DS) в атрибутах UserSMIMECertificate и/или UserCertificate.Publish the user certificate in an on-premises Active Directory Domain Services (AD DS) account in the UserSMIMECertificate and/or UserCertificate attributes. Ваши AD DS должны быть расположены на компьютерах в физическом расположении, которое вы контролируете, а не в удаленном объекте или облачной службе где-либо в Интернете.Your AD DS needs to be located on computers at a physical location that you control and not at a remote facility or cloud-based service somewhere on the Internet. Дополнительные сведения о доменных службах Active Directory см. в обзоре доменных служб Active Directory.For more information about AD DS, see Active Directory Domain Services Overview.

  3. Настройте коллекцию виртуальных сертификатов для проверки S/MIME. Эта информация используется Outlook в Интернете при проверке подписи сообщения электронной почты для подтверждения того, что оно было подписано доверенным сертификатом.Set up a virtual certificate collection in order to validate S/MIME. This information is used by Outlook on the web when validating the signature of an email and ensuring that it was signed by a trusted certificate.

  4. Настройте конечную точку Outlook или EAS для использования S/MIME.Set up the Outlook or EAS end point to use S/MIME.

Настройка S/MIME для Outlook в ИнтернетеSet up S/MIME with Outlook on the web

Настройка S/MIME для Outlook в Интернете состоит из следующих этапов:Setting up S/MIME with Outlook on the web involves these key steps:

  1. Параметры S/MIME для Outlook в Интернете в Exchange Server.S/MIME settings for Outlook on the web in Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIMESet up Virtual Certificate Collection to Validate S/MIME

Сведения о том, как отправлять зашифрованное сообщение S/MIME в Outlook в Интернете, см. в подметок "Шифрование сообщений с помощью S/MIME"в Outlook в Интернете.For information about how to send an S/MIME encrypted message in Outlook on the web, see Encrypt messages by using S/MIME in Outlook on the web.

Различные технологии шифрования используются совместно для обеспечения защиты сообщений, хранящихся в почтовых ящиках и при пересылке. Протокол S/MIME может работать одновременно со следующими технологиями, но не зависит от них:A variety of encryption technologies work together to provide protection for messages at rest and in transit. S/MIME can work simultaneously with the following technologies but isn't dependent on them:

  • TLS : шифрует туннель или маршрут между почтовыми серверами, чтобы предотвратить прослушивание и перехват, а также шифрует соединение между почтовыми клиентами и серверами.Transport Layer Security (TLS): Encrypts the tunnel or the route between email servers in order to help prevent snooping and eavesdropping, and encrypts the connection between email clients and servers.

    Примечание

    Теперь для шифрования данных, которыми обмениваются компьютерные системы, используется протокол TLS вместо протокола SSL. Эти протоколы настолько сходны между собой, что термины "SSL" и "TLS" (без версий) часто используются как взаимозаменяемые. Поэтому когда в статьях по Exchange, Центр администрирования Exchange и Командная консоль Exchange упоминается термин "SSL", часто под ним подразумевается как протокол SSL, так и протокол TLS. Как правило, термин "SSL" обозначает именно протокол SSL только в тех случаях, когда указан номер версии (например, SSL 3.0). О том, почему следует отключить протокол SSL и перейти на протокол TLS, см. в статье Как устранить уязвимость SSL 3.0.Secure Sockets Layer (SSL) is being replaced by Transport Layer Security (TLS) as the protocol that's used to encrypt data sent between computer systems. They're so closely related that the terms "SSL" and "TLS" (without versions) are often used interchangeably. Because of this similarity, references to "SSL" in Exchange topics, the Exchange admin center, and the Exchange Management Shell have often been used to encompass both the SSL and TLS protocols. Typically, "SSL" refers to the actual SSL protocol only when a version is also provided (for example, SSL 3.0). To find out why you should disable the SSL protocol and switch to TLS, check out Protecting you against the SSL 3.0 vulnerability.

  • BitLocker: шифрует данные на жестком диске в центр обработки данных, чтобы если кто-то получил несанкционированный доступ, он не сможет их прочитать.BitLocker: Encrypts the data on a hard drive in a datacenter so that if someone gets unauthorized access, they can't read it. Дополнительные сведения см. в bitLocker: развертывание в Windows Server 2012 и более поздних версияхFor more information, see BitLocker: How to deploy on Windows Server 2012 and later