S/MIME para assinatura e criptografia de mensagens

  • Artigo

Como administrador no Exchange Server, você pode habilitar extensões de email da Internet (S/MIME) de segurança/multiuso para sua organização. S/MIME é um método amplamente aceito (mais precisamente, um protocolo) para o envio de mensagens assinadas digitalmente e criptografadas. S/MIME permite que você criptografe email e os assine digitalmente. Quando você usa S/MIME, ele ajuda as pessoas que recebem a mensagem por:

  • Garantir que a mensagem na caixa de entrada seja a mensagem exata que começou com o remetente.

  • Garantindo que a mensagem veio do remetente específico e não de alguém que finge ser o remetente.

Para fazer isso, S/MIME presta serviços de segurança criptográfica como autenticação, integridade da mensagem e não recusa da origem (usando assinaturas digitais). O S/MIME também ajuda a aprimorar a privacidade e a segurança de dados (usando criptografia) para mensagens eletrônicas.

S/MIME requer uma infraestrutura de certificado e publicação que é geralmente usada em situações entre empresas e entre empresas e consumidores. O usuário controla as chaves criptográficas no S/MIME e pode escolher se as usará para cada mensagem que enviar. Programas de email como o Outlook procuram um local de autoridade de certificado raiz confiável para realizar a assinatura digital e a verificação da assinatura.

Para obter informações mais completas sobre o histórico e a arquitetura de S/MIME no contexto de email, consulte Compreendendo S/MIME.

Cenários com suporte e considerações técnicas para S/MIME

Você pode configurar o S/MIME para trabalhar com qualquer um dos seguintes pontos de extremidade:

  • Outlook 2010 ou posterior

  • Outlook na Web (anteriormente conhecido como Outlook Web App)

  • Exchange ActiveSync (EAS)

As etapas que você segue para configurar o S/MIME com cada um desses pontos de extremidade são ligeiramente diferentes. Geralmente, você precisa concluir estas etapas:

  1. Instale uma autoridade de certificação com base no Windows e configure uma infraestrutura de chave pública para emitir certificados S/MIME. Há suporte para certificados emitidos por provedores de certificados de terceiros. Para obter detalhes, confira Visão geral da implantação do certificado do servidor.

  2. Publique o certificado de usuário em uma conta do AD DS (Serviços de Domínio Active Directory local) nos atributos UserSMIMECertificate e/ou UserCertificate. Seu AD DS precisa estar localizado em computadores em um local físico que você controla e não em uma instalação remota ou serviço baseado em nuvem em algum lugar na Internet. Para obter mais informações sobre o AD DS, consulte Active Directory Domain Services Visão geral.

  3. Configurar uma coletânea de certificados virtuais para validar S/MIME. Essas informações são usadas por Outlook na Web ao validar a assinatura de um email e garantir que elas foram assinadas por um certificado confiável.

  4. Configurar o ponto final do Outlook ou EAS para usar S/MIME.

Configurar o S/MIME com Outlook na Web

Configurar o S/MIME com Outlook na Web envolve estas etapas principais:

  1. Configurações de S/MIME para Outlook na Web no Exchange Server.

  2. Set up Virtual Certificate Collection to Validate S/MIME

Para obter informações sobre como enviar uma mensagem criptografada S/MIME em Outlook na Web, consulte Criptografar mensagens usando S/MIME em Outlook na Web.

Uma variedade de tecnologias de criptografia trabalham juntas para fornecer proteção para mensagens em repouso e em trânsito. O S/MIME pode funcionar simultaneamente com as seguintes tecnologias, mas não depende delas:

  • Segurança da Camada de Transporte (TLS): criptografa o túnel ou a rota entre servidores de email para ajudar a evitar bisbilhotar e escutar e criptografar a conexão entre clientes de email e servidores.

    Observação

    Estamos substituindo o protocolo SSL pelo protocolo TLS como o protocolo usado para criptografar dados enviados entre os sistemas de computador. Eles estão estreitamente relacionados, de modo que os termos "SSL" e "TLS" (sem versões) geralmente são intercambiáveis. Devido a essa semelhança, as referências ao "SSL" em tópicos do Exchange, o Centro de administração do Exchange e o Shell de Gerenciamento do Exchange tem sido usados frequentemente para abranger os protocolos SSL e TLS. Normalmente, o "SSL" se refere ao protocolo SSL real somente quando uma versão também é fornecida (por exemplo, SSL 3.0). Para descobrir porque você deve desabilitar o protocolo SSL e alternar para TLS, confira o artigo Proteger você contra a vulnerabilidade do SSL 3.0.

  • BitLocker: criptografa os dados em um disco rígido em um datacenter para que, se alguém tiver acesso não autorizado, não possa lê-los. Para obter mais informações, confira BitLocker: como implantar em Windows Server 2012 e posterior