В этом разделе содержится краткое описание использования S/MIME для обеспечения безопасности сообщений. В Microsoft Exchange Server 2007 с пакетом обновления 1 (SP1) возобновлена поддержка S/MIME в Microsoft Office Outlook Web Access.

Использование S/MIME позволяет предотвратить олицетворение и подделку сообщений электронной почты в Outlook Web Access. S/MIME позволяет пользователям шифровать исходящие сообщения и вложения, чтобы их могли прочитать только те получатели, которые имеют цифровое удостоверение, также называемое сертификатом. Кроме того, S/MIME позволяет пользователям подписывать исходящие сообщения цифровой подписью. Наличие цифровой подписи позволяет получателю проверить идентификатор отправителя и исключить тем самым возможность подделки сообщения.

Чтобы иметь возможность отправлять зашифрованные сообщения и использовать цифровую подпись в Outlook Web Access, пользователи должны иметь цифровое удостоверение и установить элемент управления S/MIME для Outlook Web Access. Наличие цифрового удостоверения и элемента управления S/MIME также необходимо для чтения зашифрованных сообщений в Outlook Web Access. Элемент управления S/MIME необходим для проверки цифровой подписи сообщения.

Установка элемента управления S/MIME для Outlook Web Access на компьютер пользователя выполняется через меню «Параметры» на странице «Защита электронной почты Outlook Web Access». После получения цифрового удостоверения и установки элемента управления S/MIME на компьютер пользователи могут использовать S/MIME для защиты сообщений электронной почты.

Поддержка S/MIME

Чтобы обеспечить поддержку S/MIME в организации Exchange, необходимо построить инфраструктуру открытого ключа (PKI).

PKI представляет собой систему цифровых сертификатов, центров сертификации и центров регистрации, которые проверяют допустимость каждого компонента, участвующего в электронной транзакции, с использованием шифрования с открытым ключом. При внедрении центра сертификации в организации, использующей службу каталогов Active Directory, создается инфраструктура для управления жизненным циклом сертификатов, их обновления, управления доверием и отзыва сертификатов. Однако для создания сертификатов инфраструктуры открытого ключа (PKI) Microsoft Windows и управления ими необходимо выделить дополнительные средства на развертывание серверов и инфраструктуры.

Для развертывания инфраструктуры открытого ключа (PKI) Windows необходимы службы сертификации, которые можно установить с помощью компонента «Установка и удаление программ» панели управления. Службы сертификации можно установить на любом сервере в домене.

Если сертификаты выдает центр сертификации, подключенный к домену Windows, можно использовать его для запроса и подписи сертификатов, выдаваемых серверам или компьютерам в сети. Это позволяет использовать инфраструктуру PKI, аналогичную той, которую используют сторонние поставщики сертификатов, но менее дорогую. В отличие от сертификатов других типов такие сертификаты PKI нельзя развернуть для общего использования, однако когда центр сертификации PKI подписывает сертификат запросившей стороны с помощью закрытого ключа, выполняется проверка инициатора запросившей стороны. Открытый ключ такого центра сертификации является частью сертификата. Сервер, имеющий такой сертификат в доверенном корневом хранилище сертификатов, может использовать этот открытый ключ для расшифровки сертификата запросившей стороны и проверки ее подлинности.

Инфраструктура открытого ключа (PKI) позволяет организациям публиковать собственные сертификаты. Клиенты могут запрашивать и получать сертификаты от инфраструктуры открытого ключа (PKI) во внутренней сети. Инфраструктура открытого ключа (PKI) может обновлять и отзывать сертификаты.

Требования к поддержке S/MIME в Outlook Web Access

Для поддержки S/MIME необходимо использование расширенной версии Outlook Web Access и вход в Outlook Web Access с помощью веб-обозревателя Internet Explorer 7. В дополнение к обязательному использованию веб-обозревателя Internet Explorer 7 для поддержки S/MIME также необходимо использование протокола SSL виртуальным каталогом /owa.

Дополнительные возможности и ограничения S/MIME

При использовании S/MIME пользователи могут использовать перечисленные ниже дополнительные возможности в Outlook Web Access, которые без S/MIME недоступны.

  • Вложение сообщений в другие сообщения.

  • Вставка изображений в сообщения.

  • Вложение нескольких файлов с помощью упрощенного интерфейса пользователя за одну операцию.

  • При использовании S/MIME действуют указанные ниже ограничения.

  • Веб-просмотр документов работает только в сообщениях с открытой подписью и недоступен для зашифрованных сообщений и сообщений с непрозрачной подписью.

  • Некоторые типы содержимого, отправленные из Outlook как сообщения S/MIME, не отображаются в Outlook Web Access. В данном случае Outlook Web Access отображает баннер в заголовке сообщения.

  • Большинство возможностей S/MIME недоступно, если пользователь открывает папку в другом почтовом ящике или использует явный вход для доступа к другому почтовому ящику. В данных случаях единственной доступной возможностью S/MIME является проверка цифровых подписей.

Дополнительные сведения

Дополнительные сведения об администрировании S/MIME для Outlook Web Access см. в разделе Управление S/MIME в Outlook Web Access и в разделе Включение и отключение S/MIME в Outlook Web Access.

Дополнительные сведения о сертификатах см. в статье Инфраструктура открытого ключа для Windows Server 2003 (на английском языке).

Советы по внедрению инфраструктуры Windows PKI см. в статье Лучшие решения для внедрения инфраструктуры открытого ключа Microsoft Windows Server 2003 (на английском языке).

Дополнительные сведения о развертывании инфраструктуры открытого ключа (PKI) Windows см. в статье Руководство по использованию инфраструктуры открытого ключа (PKI) Windows Server 2003 (на английском языке).