Implementieren von Outlook Web Access mit dem S/MIME-Steuerelement

Artikel
10/27/2013

Letztes Änderungsdatum des Themas: 2006-02-20

Die Unterstützung von Outlook Web Access mit S/MIME-Steuerelement ist Bestandteil der Unterstützung von Outlook Web Access durch Exchange 2003. Der Exchange Server-Administrator muss keine weiteren Komponenten zur Aktivierung der Unterstützung von Outlook Web Access mit S/MIME-Steuerelement installieren. Einige Änderungen der Konfiguration des Clients und des Exchange-Servers sind vor der Verwendung von Outlook Web Access mit S/MIME-Steuerelement jedoch erforderlich.

Outlook Web Access mit S/MIME-Steuerelement und Outlook Web Access arbeiten in ähnlicher Weise, da der Webbrowser des Benutzers und der Exchange-Server bei der Bereitstellung der Funktionen des E-Mail-Clients zusammenwirken. Wie bereits in Implementieren und Verwalten von Exchange 2003 zur Unterstützung der Nachrichtensicherheit beschrieben, werden die mit S/MIME verbundenen Dienste durch das Zusammenwirken des E-Mail-Clients und der PKI in einem Exchange 2003-Nachrichtensicherheitssystem zur Verfügung gestellt. Durch die Implementierung von Outlook Web Access mit S/MIME-Steuerelement ermöglicht der E-Mail-Administrator dessen Unterstützung und integriert Outlook Web Access mit S/MIME-Steuerelement anschließend in die PKI der Organisation.

Konfigurieren eines Clientsystems

Für die Konfiguration eines Clientsystems zur Unterstützung von Outlook Web Access mit S/MIME-Steuerelement sind folgende zwei Schritte erforderlich:

Bereitstellen von Outlook Web Access mit S/MIME-Steuerelement für das Clientsystem.
Bereitstellen der geeigneten digitalen Zertifikate für das Clientsystem.

Bereitstellen des S/MIME-Steuerelements

Sie müssen Outlook Web Access mit S/MIME-Steuerelement zur Verwendung auf dem Clientsystem installieren, auf dem der Benutzer Internet Explorer ausführt. Die S/MIME-Funktionen von Outlook Web Access können nur auf Systemen verwendet werden, auf denen Outlook Web Access mit S/MIME-Steuerelement installiert ist.

Wichtig

Für die Verwendung von Outlook Web Access mit S/MIME-Steuerelement müssen auf dem Clientsystem des Benutzers Microsoft Windows® 2000 oder höher und Internet Explorer 6 oder höher installiert sein. Das S/MIME-Steuerelement kann auf Systemen, die diese beiden Anforderungen nicht erfüllen, nicht installiert werden. Darüber hinaus muss Internet Explorer zum Öffnen von Outlook Web Access verwendet werden, damit die Funktionen von Outlook Web Access mit S/MIME-Steuerelement zur Verfügung stehen. Die Verwendung des S/MIME-Steuerelements mit anderen Webbrowsern ist nicht möglich. Sie können die S/MIME-Funktionen in Outlook Web Access nur mit Internet Explorer 6 verwenden.

Das S/MIME-Steuerelement steht in Outlook Web Access auf der Seite Optionen zum Download zur Verfügung. Um Outlook Web Access mit S/MIME-Steuerelement bereitzustellen, müssen die Benutzer das Steuerelement downloaden und auf den Clientsystemen installieren. Ausführliche Anweisungen finden Sie unter Installieren des S/MIME-Steuerelements für Outlook Web Access.

Das S/MIME-Steuerelement wird vom Exchange-Server auf den lokalen Computer gedownloadet. Nach der erfolgreichen Installation des Steuerelements kann es von allen Benutzern des Systems verwendet werden, auch wenn Sie nicht über Administratorrechte verfügen. Zur ordnungsgemäßen Ausführung des S/MIME-Steuerelements sind die folgenden Einstellungen der Sicherheitsstufe für die Zone in Internet Explorer erforderlich, über die die Verbindung mit Outlook Web Access hergestellt wird:

Wählen Sie unter Download von signierten ActiveX-Steuerelementen die Option Eingabeaufforderung oder Aktivieren.
Wählen Sie unter ActiveX-Steuerelemente und Plugins ausführen die Option Aktivieren oder Vom Administrator genehmigt aus, wenn das S/MIME-Steuerelement ein genehmigtes Steuerelement ist.
Wählen Sie unter ActiveX-Steuerelemente ausführen, die für Scripting sicher sind die Option Aktivieren aus.

In der Standardeinstellung sind diese Optionen für die Zonen Internet und Lokales Intranet ausgewählt.

URLScan oder eine andere Software zum Blockieren von Dateien

Viele Firmen verwenden URLScan auf den Front-End HTTP-Servern für Outlook Web Access. URLScan überwacht URLs und ermöglicht Kunden das Blockieren von bestimmten Dateitypen, z. B. EXE und VBS-Dateien, sodass diese nicht an den Outlook Web Access-Client übertragen werden. Wenn Sie URLScan oder eine ähnliche Software verwenden, um den Outlook Web Access-Client zu schützen, und auf das S/MIME-Steuerelement soll von außerhalb der Unternehmens-Firewall zugegriffen werden können, müssen URLScan und Firewall ausführbare Dateien (EXE) passieren lassen.

Weitere Optionen zur Bereitstellung des S/MIME-Steuerelements

Den Sicherheitsrichtlinien vieler Organisationen entsprechend, verfügen Benutzer auf ihren Clientcomputern nicht über Administratorrechte. Benutzer können daher das S/MIME-Steuerelement nicht downloaden und installieren. Der Administrator der E-Mail-Clients muss zusammen mit den Administratoren der Desktopsysteme eine Strategie zur Bereitstellung des S/MIME-Steuerelements entwickeln, die den Sicherheitsrichtlinien der Organisation entspricht.

Die beiden folgenden Bereitstellungsstrategien werden zur Evaluierung empfohlen:

Integrieren des S/MIME-Steuerelements in ein vorkonfiguriertes Desktopabbild.
Stellen Sie mithilfe des Softwareverwaltungssystems Ihres Unternehmens das Setup-Paket für das S/MIME-Steuerelement bereit.

Nach der Installation auf einem Clientsystem steht das S/MIME-Steuerelement allen Benutzern zur Verfügung, auch jenen ohne Administratorrechte. Die Integration des S/MIME-Steuerelements in ein standardisiertes Abbild bietet sich für Organisationen an, die diese Strategie bereits zur Verwaltung der Desktopkonfigurationen einsetzen.

Organisationen, die kein Desktopabbild verwenden, jedoch das S/MIME-Steuerelement für Benutzer ohne Administratorrechte bereitstellen möchten, sollten mithilfe des Softwareverwaltungssystems das Setup für das S/MIME-Steuerelement bereitstellen.

Anmerkung:
Neu in SP1 In Exchange Server 2003 SP1 ist das Setup-Programm für das S/MIME-Steuerelement eine Microsoft Installer-Datei (MSI), die in einer selbstextrahierenden ausführbaren Datei enthalten ist. Kunden können so das S/MIME-Steuerelement mithilfe des Softwareverwaltungssystems auf dem Desktop bereitstellen. In der vorherigen Version von Exchange 2003 wurde ein anderes Verfahren für das Setup des S/MIME-Steuerelements verwendet, das nicht mit den Verwaltungs- und Bereitstellungstools des Unternehmens kompatibel war. Das Setup-Paket heißt Setupmcl.exe und befindet sich nach der Installation von Exchange 2003 SP1 im folgenden Verzeichnis (Version entspricht dabei der Buildnummer für SP1):

Neu in SP1 In Exchange Server 2003 SP1 ist das Setup-Programm für das S/MIME-Steuerelement eine Microsoft Installer-Datei (MSI), die in einer selbstextrahierenden ausführbaren Datei enthalten ist. Kunden können so das S/MIME-Steuerelement mithilfe des Softwareverwaltungssystems auf dem Desktop bereitstellen. In der vorherigen Version von Exchange 2003 wurde ein anderes Verfahren für das Setup des S/MIME-Steuerelements verwendet, das nicht mit den Verwaltungs- und Bereitstellungstools des Unternehmens kompatibel war. Das Setup-Paket heißt Setupmcl.exe und befindet sich nach der Installation von Exchange 2003 SP1 im folgenden Verzeichnis (Version entspricht dabei der Buildnummer für SP1):

    drive:\program files\exchsrvr\exchweb\version\cabs\setupmcl.exe

Weitere Informationen über die Verwendung des Softwareverwaltungssystems zur Erzeugung und Bereitstellung angepasster Installationen finden Sie in der Dokumentation der entsprechenden Software.

Bereitstellen digitaler Zertifikate für das Clientsystem

In Implementieren und Warten der PKI zur Unterstützung der Nachrichtensicherheit in Exchange 2003 wird erläutert, wie die Zertifikatsüberprüfung zur Unterstützung der PKI von Outlook Web Access mit S/MIME-Steuerelement durchgeführt wird. Als E-Mail-Client-Administrator muss Ihnen bewusst sein, dass dem Clientsystem angemessene digitale Zertifikate zur Verfügung stehen müssen, entweder, indem diese Zertifikate im privaten Zertifikatspeicher des Benutzers installiert werden oder indem eine SmartCard verwendet wird. Stimmen Sie sich mit dem PKI-Administrator ab, um zu bestimmen, wie die digitalen Zertifikate von Benutzern dem Clientsystem zur Verfügung gestellt werden sollen.

Konfigurieren des Exchange-Servers

Zusätzlich zu den Clientsystemen der Benutzer muss Exchange Server zur Unterstützung von Outlook Web Access mit S/MIME-Steuerelement konfiguriert werden. Durch die Konfiguration wird die Verarbeitung und Überprüfung der digitalen Zertifikate ermöglicht. Insbesondere müssen geeignete Stammzertifikate in den persönlichen Zertifikatspeichern der lokalen Computerkonten für den Exchange-Server verfügbar sein. Zudem müssen die von der PKI zur Überprüfung der Zertifikate zur Verfügung gestellten Informationen zugänglich sein, z. B. über HTTP oder LDAP.

Anmerkung:
In einer Front- und Back-End-Konfiguration müssen die digitalen Zertifikate dem persönlichen Zertifikatspeicher des Back-End-Servers hinzugefügt werden.

Wie bereits bei den Clientsystemen sollten Sie sich bei der Konfiguration von Exchange Server mit dem PKI-Administrator beraten, um sicherzustellen das die erforderlichen digitalen Zertifikate zur Verfügung stehen. Wenn der PKI-Administrator feststellt, das digitale Zertifikate zu den persönlichen Zertifikatspeichern lokaler Computerkonten auf dem Exchange-Server hinzugefügt werden müssen, können diese manuell oder über Gruppenrichtlinien hinzugefügt werden. Die Verwendung von Gruppenrichtlinien wird empfohlen. Weitere Informationen über die Verwendung von Gruppenrichtlinien zur Übermittlung digitaler Zertifikate finden Sie in der Dokumentation zu Windows Server™ 2003. Ausführliche Anweisungen zum manuellen Hinzufügen von digitalen Zertifikaten zum Exchange-Servercomputer von Benutzern finden Sie unter S/MIME-Problembehandlung in Exchange Server 2003.

Digitale Zertifikate für private Schlüssel werden auf dem zugehörigen Clientsystem und Zertifikate für öffentliche Schlüssel vom Exchange-Server verarbeitet. Die Überprüfung sämtlicher Zertifikate erfolgt auf dem Exchange-Server.

Wenn sich der Exchange-Server hinter einer Firewall befindet, müssen Sie sicherstellen, dass über die geeigneten Protokolle (normalerweise HTTP oder LDAP) auf die Informationen, die von der PKI zur Verfügung gestellt werden, zugegriffen werden kann. Beraten Sie mit dem PKI-Administrator, welche Konfiguration zur Unterstützung der Zertifikatsüberprüfung auf dem Clientsystem erforderlich ist. Wenden Sie sich zur Umsetzung der notwendigen Änderungen an den Administrator des Firewall.

Anmerkung:
Anstatt einen Proxyclient zu installieren, können Sie unter Windows Server 2003 das Dienstprogramm Proxycfg.exe zur Konfiguration des eingebauten HTTP-Proxyclients verwenden. Dieser Proxy unterstützt LDAP jedoch nicht. Wenn es erforderlich ist über LDAP auf die Informationen zur Überprüfung von Zertifikaten zuzugreifen, müssen Sie Firewallclients installieren, die LDAP unterstützen. Weitere Informationen zur Verwendung und Konfiguration des Windows Server 2003 Proxyclients finden Sie in der Onlinehilfe zu Proxycfg.exe.

Anstatt einen Proxyclient zu installieren, können Sie unter Windows Server 2003 das Dienstprogramm Proxycfg.exe zur Konfiguration des eingebauten HTTP-Proxyclients verwenden. Dieser Proxy unterstützt LDAP jedoch nicht. Wenn es erforderlich ist über LDAP auf die Informationen zur Überprüfung von Zertifikaten zuzugreifen, müssen Sie Firewallclients installieren, die LDAP unterstützen. Weitere Informationen zur Verwendung und Konfiguration des Windows Server 2003 Proxyclients finden Sie in der Onlinehilfe zu Proxycfg.exe.

Nach der Installation des S/MIME-Steuerelements auf dem Clientsystem und der Sicherstellung der geeigneten Konfiguration der Clients und Exchange-Server zur Unterstützung der Zertifikatsüberprüfung, können Sie mit dem PKI-Administrator die Integration von Outlook Web Access mit S/MIME-Steuerelement in die PKI durchführen.

Integrieren von Outlook Web Access mit S/MIME-Steuerelement in der PKI

Outlook Web Access mit S/MIME-Steuerelement ist so konzipiert, das jedes digitale Zertifikat mit dem S/MIME-Standard der Version 3 verwendet werden kann. Sie können Outlook Web Access mit S/MIME-Steuerelement in eine vorhandene PKI integrieren oder eine neue PKI zur S/MIME-Unterstützung in Exchange 2003 implementieren, sofern sie S/MIME Version 3 unterstützt.

Wenn Sie die Integration von Outlook Web Access mit S/MIME-Steuerelement in eine PKI planen, ist für den E-Mail-Client-Administrator wichtig, dass der PKI-Administrator die geeigneten digitalen Zertifikate im Microsoft Active Directory®-Verzeichnisdienst und auf den Client-Systemen zur Verfügung stellt. Dies kann durch Speichern der Zertifikate im Zertifikatspeicher der Clients geschehen, durch Bereitstellung auf einer Smartcard oder durch Kryptografiedienstanbieter (CSP - Cryptographic Service Provider), die mobile Zertifikate unterstützen. Wenn Sie die Implementierung von Outlook Web Access mit S/MIME-Steuerelement planen, sollte sich der PKI-Administrator Implementieren und Warten der PKI zur Unterstützung der Nachrichtensicherheit in Exchange 2003 durchlesen. In diesem Abschnitt finden sich zusätzlich zur vorhandenen PKI-Dokumentation spezifische Informationen über die Integration von PKI in ein Exchange 2003-System. Dieser Abschnitt enthält Informationen über die Unterstützung von Outlook Web Access mit S/MIME-Steuerelement in der PKI.

Wenn Sie keine PKI implementieren möchten, können Sie zur S/MIME-Aktivierung auch öffentliche PKI-Netzwerke verwenden. Eine Liste der öffentlichen PKI-Anbieter für die Verwendung mit Outlook Web Access mit dem S/MIME-Steuerelement finden Sie unter "Where to Get Your Digital ID" und "Digital ID" (nur Englisch verfügbar).

Verwenden von Outlook Web Access mit S/MIME-Steuerelement

Nach Installation, Konfiguration und Bereitstellung der erforderlichen digitalen Zertifikate für die Benutzer, kann Outlook Web Access mit S/MIME-Steuerelement digital signierte und verschlüsselte E-Mail-Nachrichten senden.

Outlook Web Access mit S/MIME-Steuerelement stellt S/MIME-Sicherheitsdienste für E-Mail-Nachrichten zur Verfügung, die Benutzer über Outlook Web Access senden und empfangen. Die Benutzer arbeiten in Outlook Web Access mit E-Mail-Nachrichten in gewohnter Weise, können jedoch digital signierte und verschlüsselte Nachrichten senden und empfangen.

S/MIME-Funktionen können in Outlook Web Access mit S/MIME-Steuerelement auf drei verschiedene Arten zur Verfügung gestellt werden:

Benutzer können Outlook Web Access zum digitalen Signieren und Verschlüsseln einzelner E-Mail-Nachrichten verwenden.
Benutzer können Outlook Web Access mit S/MIME-Steuerelement so konfigurieren, dass in der Standardeinstellung alle E-Mail-Nachrichten digital signiert und verschlüsselt werden.
Administratoren können Outlook Web Access mit S/MIME-Steuerelement so konfigurieren, dass für alle Benutzer eines bestimmten Exchange-Servers die digitale Signatur und Verschlüsselung aller E-Mail-Nachrichten erzwungen wird.

Informationen über häufig auftretende Probleme beim Senden und Empfangen digital signierter und verschlüsselter E-Mail-Nachrichten finden Sie in S/MIME-Problembehandlung in Exchange Server 2003.

Anmerkung:
Nach der Installation des S/MIME-Steuerelements werden Anlagen, die aus signierten und verschlüsselten Nachrichten heraus geöffnet werden, beim Schließen der Nachricht aus dem Cache von Internet Explorer gelöscht. Dies gilt nur für signierte und verschlüsselte Elemente. Anlagen aus unsignierten und unverschlüsselten Nachrichten werden nicht gelöscht.

Signieren und Verschlüsseln einzelner E-Mail-Nachrichten

In der Standardeinstellung ist Outlook Web Access mit S/MIME-Steuerelement so konfiguriert, dass Nachrichten nicht signiert oder verschlüsselt werden. Der Benutzer muss digitale Signaturen oder Verschlüsselung für einzelne E-Mail-Nachrichten auswählen oder die Standardeinstellung ändern.

Nach der Installation des S/MIME-Steuerelements werden im Fenster zum Verfassen von E-Mail-Nachrichten auf der Symbolleiste neue Schaltflächen hinzugefügt. Um eine einzelne E-Mail-Nachricht zu signieren oder zu verschlüsseln, muss der Benutzer auf die entsprechende Schaltfläche klicken. Wenn die Nachricht nach Auswahl einer Schaltfläche gesendet wird, führt Outlook Web Access mit S/MIME-Steuerelement den entsprechenden S/MIME-Dienst für die E-Mail-Nachricht aus. Ausführliche Arbeitsschritte finden Sie unter:

Signieren und Verschlüsseln von E-Mail-Nachrichten als Standardeinstellung

Zusätzlich zu den Schaltflächen zum Signieren und Verschlüsseln einzelner Nachrichten werden von Outlook Web Access mit S/MIME-Steuerelement auf der Seite Optionen unter E-Mail-Sicherheit Kontrollkästchen hinzugefügt, mit denen digitales Signieren und Verschlüsseln aller E-Mail-Nachrichten als Standardeinstellung aktiviert werden kann. Ausführliche Anweisungen finden Sie unter Konfigurieren von S/MIME-Standardeinstellungen in Outlook Web Access.

Erzwingen der Signatur und Verschlüsselung aller E-Mail-Nachrichten

Sie können die digitale Signatur und Verschlüsselung aller E-Mail-Nachrichten erreichen, indem Sie die Optionen zum unsignierten oder unverschlüsselten Senden für die Benutzer entfernen. Diese Anforderung kann für die Sicherheitsrichtlinien einer Organisation in Bezug auf E-Mail-Nachrichten eingesetzt werden.

Wenn Sie diese Einstellungen implementiert haben, können Benutzer keine unsignierten oder unverschlüsselten Nachrichten senden. Implementieren Sie diese Einstellungen mit Bedacht, da die Benutzer ohne den entsprechenden Zertifikaten keine E-Mail-Nachrichten senden können. Diese Einstellungen haben keinen Einfluss auf das Senden von E-Mail-Nachrichten mit anderen E-Mail-Clients oder Outlook Web Access ohne S/MIME-Steuerelement. Um die Verwendung von E-Mail grundsätzlich diesen Anforderungen anzupassen, müssen diese Einstellungen mit ähnlichen Einschränkungen für andere E-Mail-Clients kombiniert werden. Außerdem müssen E-Mail-Clients, die nicht gesteuert werden können, vom Zugriff auf den Exchange-Server ausgeschlossen werden.

Dies wird durch Registrierungseinstellungen im Exchange-Server des Benutzers mit folgenden Schlüsseln festgelegt:

AlwaysSign
AlwaysEncrypt

Weitere Informationen über diese Registrierungsschlüssel und ihre Einstellungen finden Sie in Einstellungen im Zusammenhang mit dem Outlook Web Access-S/MIME-Steuerelement.

Anzeigen von signierten und verschlüsselten E-Mail-Nachrichten

Zum Anzeigen von digital signierten oder verschlüsselten E-Mail-Nachrichten müssen die Benutzer nur dann eine persönliche Identifikationsnummer (PIN) oder ein Kennwort eingeben, wenn ihr privater Schlüssel mit einem starken Verschlüsselungsschutz arbeitet. Outlook Web Access mit S/MIME-Steuerelement verarbeitet diese Nachrichten automatisch und fordert den Benutzer abhängig vom digitalen Zertifikat zur entsprechenden Eingabe auf. Bei digital signierten Nachrichten überprüft das Client-System des Benutzers die Nachrichtensignatur (entschlüsselt den Hashwert der Signatur mit öffentlichem Schlüssel, und berechnet und vergleicht damit den Hashwert der Nachricht), während der Exchange-Server die Gültigkeit des signierenden Zertifikats überprüft (Ablauf, Vertrauenswürdigkeit, Widerruf). Bei verschlüsselten Nachrichten versucht der Client des Benutzers automatisch den erforderlichen privaten Schlüssel abzurufen, fordert den Benutzer zu erforderlichen Eingaben auf und zeigt nach erfolgreicher Verarbeitung die E-Mail-Nachricht an. Ausführliche Anweisungen zum Anzeigen von S/MIME-Nachrichten in Outlook Web Access finden Sie in den folgenden Quellen:

Informationen über auftretende Probleme beim Senden und Empfangen digital signierter und verschlüsselter E-Mail-Nachrichten finden Sie in S/MIME-Problembehandlung in Exchange Server 2003.