為郵件簽章和加密的 S/MIME

  • 發行項

身為Exchange Server的系統管理員,您可以為組織啟用安全/多用途網際網路郵件擴充功能 (S/MIME) 。 S/MIME 是廣受接受的方法, (更精確地來說,這是用來傳送數位簽署和加密訊息的通訊協定) 。 S/MIME 可讓您將電子郵件加密和進行數位簽署。 當您使用 S/MIME 時,它會透過下列方式協助接收訊息的人員:

  • 確定其收件匣中的訊息是以寄件者開頭的確切訊息。

  • 確保訊息來自特定寄件者,而不是來自偽裝成寄件者的人。

為了達到此目的,S/MIME 提供密碼編譯的安全性服務,例如驗證、訊息完整性和來源不可否認性 (使用數位簽章)。 S/MIME 也有助於增強使用加密) 進行電子訊息的隱私權和資料安全性 (。

S/MIME 需要憑證和發佈基礎結構 (常用於企業對企業及企業對消費者情況)。 在 S/MIME 中,由使用者控制密碼編譯金鑰,且在他們所傳送的每一封郵件上,都可選擇是否使用金鑰。 電子郵件程式 (例如 Outlook) 會搜尋受信任的根憑證授單位,以進行數位簽署並驗證簽章。

如需 S/MIME 在電子郵件方面的歷史和架構的完整背景資訊,請參閱<瞭解 S/MIME>。

S/MIME 支援的案例和技術考慮

您可以設定 S/MIME 供下列任何端點使用:

  • Outlook 2010 或更新版本

  • Outlook 網頁版 (先前為 Outlook Web App)

  • Exchange ActiveSync (EAS)

您針對每個端點設定 S/MIME 所遵循的步驟稍有不同。 一般而言,您需要完成下列步驟:

  1. 安裝以 Windows 為基礎的憑證授權單位,並且設定公開金鑰基礎結構,來核發 S/MIME 憑證。 支援協力廠商憑證提供者所簽發的憑證。 如需詳細資訊,請參閱 伺服器憑證部署概觀

  2. userSMIMECertificate和/或UserCertificate屬性中,將內部部署的 Active Directory網域服務中的使用者憑證發佈 (AD DS) 帳戶。 您的 AD DS 必須位於您所控制實體位置的電腦上,而不是位於網際網路上某處的遠端設施或雲端式服務。 如需 AD DS 的詳細資訊,請參閱 Active Directory 網域服務概觀

  3. 設定虛擬憑證集合以驗證 S/MIME。 Outlook 網頁版會使用此資訊來驗證電子郵件的簽章,以確保電子郵件是以信任的憑證所簽署。

  4. 設定 Outlook 或 EAS 端點來使用 S/MIME。

使用 Outlook 網頁版 設定 S/MIME

使用 Outlook 網頁版 設定 S/MIME 包含下列重要步驟:

  1. Exchange Server中Outlook 網頁版的 S/MIME 設定

  2. Set up Virtual Certificate Collection to Validate S/MIME

如需如何在 Outlook 網頁版 中傳送 S/MIME 加密訊息的相關資訊,請參閱在Outlook 網頁版 中使用 S/MIME 加密訊息

各種加密技術會一起運作,為待用和傳輸中的訊息提供保護。 S/MIME 可以同時使用下列技術,但不相依于這些技術:

  • 傳輸層安全性 (TLS) :加密電子郵件服務器之間的通道或路由,以協助防止窺探和竊聽,並加密電子郵件用戶端與伺服器之間的連線。

    注意事項

    安全通訊端層 (SSL) 是以傳輸層安全性 (TLS) 取代,做為用來加密電腦系統之間傳送的資料的通訊協定。 它們密切相關,以至於 "SSL" 和 "TLS" (不含版本) 術語經常交換使用。 因為這個相似性,Exchange 主題、Exchange 系統管理中心,和 Exchange 管理命令介面 中的 "ssl" 參考常用來包含 SSL 及 TLS 通訊協定。 通常,僅當也提供版本 (例如,SSL 3.0) 時,"SSL" 才是指實際的 SSL 通訊協定。 若要了解為何您應該停用 SSL 通訊協定並轉換為 TLS,請參閱防止 SSL 3.0 弱點

  • BitLocker:加密資料中心硬碟上的資料,以便如果有人取得未經授權的存取權,他們就無法讀取它。 如需詳細資訊,請參閱BitLocker:如何在Windows Server 2012和更新版本上部署