Paramètres relatifs au contrôle S/MIME d'Outlook Web Access
Dernière rubrique modifiée : 2005-05-19
Clés de Registre
Cette rubrique contient des informations sur les paramètres de Registre permettant de configurer les clients Microsoft® Office Outlook® Web Access qui utilisent le contrôle S/MIME (Secure/Multipurpose Internet Mail Extensions). Ces paramètres s'appliquent au serveur Exchange sur lequel réside la boîte de réception de l'utilisateur. Dans une architecture serveur frontal/serveur principal, ce serveur sera le serveur principal. Toutes les clés de Registre se trouvent sous la clé suivante :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWeb\OWA\
Par défaut, cette clé n'existe pas et doit donc être ajoutée avant que des clés de Registre supplémentaires ne le soient. Pour ajouter des clés de Registre, vous devez impérativement utiliser un compte membre du groupe Administrateurs local du système. Sauf mention contraire dans la clé, les changements de Registre prennent effet dans la minute qui suit.
.gif "note") Remarque : |
|---|
| Une modification incorrecte du Registre peut provoquer de graves problèmes dont la résolution peut impliquer la réinstallation du système d'exploitation. Les problèmes résultant d'une modification incorrecte du Registre peuvent même ne pas avoir de solution. Avant de modifier le Registre, sauvegardez toutes les données importantes. |
CheckCRL (DWord)
Par défaut (lorsque CheckCRL est défini sur False), si le point de distribution d'une liste de révocation de certificats spécifié dans une chaîne de certificats de l'expéditeur n'est pas accessible pendant la vérification de la révocation lors de l'envoi de messages électroniques signés ou cryptés, Outlook Web Access affiche une boîte de dialogue avertissant que le certificat ne peut pas être vérifié mais autorise l'envoi du message électronique.
Lorsque cette clé est définie sur True, Outlook Web Access affiche une boîte de dialogue avertissant que le message électronique ne peut pas être vérifié et empêche l'envoi du message électronique.
- Valeur par défaut = 0 (False)
- Autre = 1 (True)
DLExpansionTimeout (DWord)
La valeur DLExpansionTimeout contrôle le délai d'attente, en millièmes de seconde, alloué à l'extension d'une liste de distribution de service d'annuaire Active Directory® lors de l'envoi de messages électroniques cryptés.
Lorsqu'un utilisateur envoie des messages cryptés vers une liste de distribution, Outlook Web Access doit étendre la liste de distribution pour récupérer le certificat de cryptage de chaque destinataire afin de procéder au cryptage. Le délai nécessaire à cette opération varie en fonction de la taille de la liste de distribution et des performances de l'infrastructure Active Directory sous-jacente. Pendant que la liste de distribution est en cours d'extension, l'expéditeur ne reçoit aucune réponse d'Outlook Web Access. Cette valeur spécifie le délai pendant lequel Outlook Web Access attendra que la liste de distribution complète soit étendue. Si l'opération n'est pas terminée dans le délai imparti, elle échoue et le message électronique n'est pas envoyé. Ce délai d'attente est appliqué à chaque liste de distribution, une à une. Si un message électronique est envoyé à plusieurs listes de distribution, le délai d'attente s'applique à chaque liste de distribution, dans l'ordre où elles sont spécifiées. Par exemple, si un message est adressé à trois listes de distribution et qu'un délai d'attente de 60 secondes a été défini, l'ensemble de l'opération d'envoi ne peut durer plus de 180 secondes.
Ce paramètre interagit également avec les limites de destinataires (globales et par utilisateur) qui sont abordées plus loin dans cette rubrique. Lorsque la valeur DLExpansionTimeout prévoit une limite par liste de distribution, le paramètres des limites de destinataires prévoit une limite au nombre total de destinataires dont les certificats de cryptage seront récupérés depuis Active Directory pour chaque message.
Dans l'exemple précédent, si la limite globale est fixée à 500 destinataires, chaque liste de distribution sera étendue de manière séquentielle. Si le délai d'attente est dépassé pour une liste de distribution donnée, l'opération échoue. En outre, si le nombre total de destinataires dans toutes les listes de distribution dépasse la limite fixée, l'opération échoue et les messages ne seront pas envoyés.
- Par défaut : 60000 (60 secondes)
- Valeur minimale : 0 (désactive l'envoi de messages cryptés vers les listes de distribution)
- Valeur maximale : 2147483647 (pas de délai d'attente, Outlook Web Access attendra que la liste de distribution soit étendue, quel que soit le temps nécessaire)
CertMatchingDoNotUseProxies (DWord)
Lors de l'envoi de messages cryptés, Outlook Web Access recherche dans Active Directory le certificat voulu pour un destinataire. Les valeurs Sujet et Autre sujet du certificat peuvent contenir chacune une adresse SMTP. Un destinataire pouvant posséder plusieurs adresses de proxy SMTP dans l'annuaire, les valeurs Sujet et Autre sujet du certificat peuvent ne pas correspondre à l'adresse SMTP principale mais à l'une des adresses de proxy. Lorsque vous définissez la clé CertMatchingDoNotUseProxies sur True, si les valeurs Sujet et Autre sujet du certificat ne correspondent pas à l'adresse SMTP principale, Outlook Web Access ne cherchera pas à établir de correspondance entre le sujet du certificat et les adresses proxy SMTP.
- Valeur par défaut = 0 (False)
- Autre = 1 (True)
RevocationURLRetrievalTimeout (DWord)
La clé RevocationURLRetrievalTimeout spécifie, en millièmes de seconde, le délai d'attente observé par Outlook Web Access lorsqu'il se connecte pour récupérer une seule liste de révocation de certificats dans le cadre d'une opération de validation.
La validation d'un certificat requiert la récupération de la liste de révocation de certificats de l'Autorité de certification depuis le point de distribution spécifié au sein du certificat. Cette opération doit être effectuée pour chaque certificat de la chaîne au complet.
Cette clé spécifie le délai d'attente qu'Outlook Web Access doit respecter lorsqu'il se connecte pour récupérer une seule liste de révocation de certificats. Lorsque plusieurs listes de révocation de certificats doivent être récupérées, la clé s'applique à chaque connexion. Par exemple, si trois listes de révocation doivent être récupérées et que le délai d'attente est défini à 60 secondes, chaque opération de récupération de liste de révocation disposera d'un délai de 60 secondes. Si la liste de révocation de certificats n'est pas récupérée dans le délai imparti, l'opération échoue.
- Par défaut : 60000 (60 secondes)
- Valeur minimale : 5000 (5 secondes)
- Valeur maximale : 600000 (10 minutes)
CertURLRetrievalTimeout (DWord)
La clé CertURLRetrievalTimeout est similaire à la clé RevocationURLRetrievalTimeout mais elle spécifie, en millièmes de seconde, le délai d'attente observé par Outlook Web Access lorsqu'il se connecte pour récupérer toutes les listes de révocation de certificats afin de valider un certificat. Si toutes les listes de révocation de certificats ne sont pas récupérées dans le délai imparti, l'opération échoue.
Lorsque vous définissez cette valeur, il est important de savoir que lors d'une opération de validation de certificat, RevocationURLRetrievalTimeout est appliquée à chaque récupération de liste de révocation alors que CertURLRetrievalTimeout est appliquée à l'ensemble des opérations de récupération de listes de révocation. Par exemple, si trois listes de révocation de certificats doivent être récupérées et si RevocationURLRetrievalTimeout est définie sur 60 secondes et CertURLRetrievalTimeout sur 120 secondes, chaque opération de récupération aura un délai de 60 secondes alors que l'ensemble des opérations aura un délai d'attente de 120 secondes. Dans cet exemple, si l'une des récupérations dépasse le délai imparti de 60 secondes, la récupération échoue. De plus, si l'ensemble des récupérations de listes de révocation prend plus de 120 secondes, l'opération échoue également.
- Par défaut : 60000 (60 secondes)
- Valeur minimale : 0
- Valeur maximale : 600000 (10 minutes)
DisableCRLCheck (DWord)
Lorsque la clé DisableCRLCheck est définie sur True, elle désactive la vérification des listes de révocation lors de la validation des certificats. La désactivation de la vérification des listes de révocation de certificats permet d'améliorer le temps de réponse lors de la validation des signatures de messages signés mais elle présente l'inconvénient d'indiquer comme valides des messages révoqués signés à l'aide de certificats révoqués.
- Valeur par défaut = 0 (False)
- Autre = 1 (True)
AlwaysSign (DWord)
Lorsque la clé AlwaysSign est définie sur True, les utilisateurs sont tenus de signer les messages électroniques en cas d'utilisation d'Outlook Web Access avec le contrôle S/MIME. En outre, la zone Sécurité de la messagerie de la page Options affiche l'option Ajouter une signature numérique aux messages sortants comme sélectionnée.
Valeur par défaut = 0 (False)
Autre = 1 (True)
AlwaysEncrypt (DWord)
Lorsque la clé AlwaysEncrypt est définie sur True, les utilisateurs sont tenus de crypter les messages électroniques en cas d'utilisation d'Outlook Web Access avec le contrôle S/MIME. En outre, la zone Sécurité de la messagerie de la page Options affiche l'option Crypter le contenu des messages et des pièces jointes pour les messages sortants comme sélectionnée.
- Valeur par défaut = 0 (False)
- Autre = 1 (True)
ClearSign (DWord)
Lorsque la clé ClearSign est définie sur True, tout message numérique signé envoyé par Outlook Web Access doit être signé en texte clair. La valeur par défaut de ce fichier est True. Si cette clé est définie à False, Outlook Web Access utilise une signature opaque. Les messages électroniques signés en texte clair présentent l'avantage de pouvoir être ouverts et lus à l'aide de la plupart des clients de messagerie, notamment ceux qui ne prennent pas en charge S/MIME.
- Valeur par défaut = 1 (True)
- Autre = 0 (False)
SecurityFlags (DWord)
La clé SecurityFlags est un masque de bits utilisé pour activer ou désactiver des fonctionnalités d'Outlook Web Access S/MIME. Pour activer une fonctionnalité, il suffit de définir la valeur de la clé à la valeur spécifique de cette fonctionnalité. Pour activer plusieurs fonctionnalités, faites la somme des valeurs de toutes les fonctionnalités que vous souhaitez activer et entrez-la dans la clé. Par exemple, pour qu'Outlook Web Access avec le contrôle S/MIME inclut la chaîne de certificats sans le certificat racine (0x001) et n'inclut que le certificat de signature (0x008), faites la somme des deux valeurs (0x001 + 0x008) et entrez-la (0x009). Le tableau suivant répertorie les valeurs que vous pouvez définir pour la clé SecurityFlags.
Par défaut, toutes les fonctionnalités sont désactivées.
Valeurs de SecurityFlags et descriptions
| Valeur | Description |
|---|---|
0x001 |
Inclure la chaîne de certificats sans le certificat racine. Par défaut, lors de l'envoi de messages cryptés ou signés, Outlook Web Access inclut uniquement les certificats de signature et de cryptage et non les chaînes de certificats correspondantes. Cette option peut s'avérer nécessaire pour interagir avec d'autres clients, dans des environnements où les Autorités de certification intermédiaires ne sont pas accessibles à l'aide de l'attribut d'accès aux informations relatives à l'Autorité de certification ni en approuvant l'Autorité de certification intermédiaire dans le compte Ordinateur du serveur principal Exchange. Cette valeur permet d'inclure la chaîne de certificats complètes sans le certificat racine. Son utilisation entraîne l'augmentation de la taille des messages signés et cryptés. |
0x002 |
Inclure la chaîne de certificats et le certificat racine. Cette valeur est similaire à la valeur Inclure la chaîne de certificats sans le certificat racine, mais elle inclut le certificat racine en plus de la chaîne de certificats complète. Certains clients de messagerie nécessitent la chaîne de certificats complète et le certificat racine pour valider correctement les certificats. Son utilisation entraîne l'augmentation de la taille des messages signés et cryptés dans des proportions supérieures à ce que produit la valeur SecurityFlags ci-dessus. |
0x004 |
Ne pas crypter les tampons temporaires. Par défaut, tous les tampons temporaires côté client utilisés pour enregistrer les données de message sont cryptés à l'aide d'une clé éphémère et de l'algorithme 3DES. Cette valeur désactive cette fonctionnalité. La désactivation du cryptage des tampons permet d'améliorer les performances du client Outlook Web Access mais elle présente l'inconvénient de laisser des données non cryptées dans le tampon du système local. Consultez votre stratégie de sécurité avant de désactiver cette fonctionnalité. |
0x008 |
Inclure uniquement un certificat de signature avec le message signé. Par, défaut, Outlook Web Access avec le contrôle S/MIME inclut des certificats de signature et de cryptages avec les messages électroniques signés. Lorsque vous activez cette fonctionnalité, la taille des messages envoyés par Outlook Web Access avec le contrôle diminue. En revanche, les destinataires n'ont pas accès au certificat de cryptage de l'expéditeur dans le message reçu et doivent se le procurer soit en le récupérant à partir d'un annuaire (ce qui est la méthode conseillée dans la mesure du possible) soit en s'adressant à l'expéditeur. |
0x040 |
Messages distincts pour les destinataires visibles et les destinataires invisibles. Par défaut, Outlook Web Access avec le contrôle S/MIME soumet un message crypté pour tous les destinataires visibles (ceux qui figurent sur les lignes À et Cc) et un autre message crypté pour chaque destinataire invisible (ceux qui figurent sur la ligne Cci). Cette méthode permet de gérer séparément le message adressé à un destinataire invisible et celui qui est adressé à des destinataires visibles ou à d'autres destinataires invisibles. Par exemple, si un message a été envoyé à un destinataire de la ligne À, deux destinataires sur la ligne Cc et trois sur la ligne Cci, quatre messages distincts seront envoyés : un pour tous les destinataires des lignes À et Cc combinées et un pour chaque destinataire de la ligne Cci. Lorsque cette clé est activée, un message crypté est envoyé pour tous les destinataires visibles (ceux des lignes À et Cc) et un autre message crypté est envoyé pour l'ensemble des destinataires invisibles (qui figurent sur la ligne Cci). Cela permet de gérer séparément le message adressé à un destinataire invisible et celui qui est adressé à des destinataires visibles. Dans cet exemple, si cette valeur est spécifiée, deux messages distincts seront envoyés : un pour tous les destinataires des lignes À et Cc et un pour tous les destinataires de la ligne Cci. Cela permet d'améliorer les performances mais a un impact sur le niveau de sécurité et de confidentialité assuré par Outlook Web Access. Consultez votre stratégie de sécurité avant d'activer cette fonctionnalité. |
0x080 |
Un seul message crypté pour tous les destinataires. Cette valeur est similaire à Messages distincts pour les destinataires visibles et les destinataires invisibles. Cependant, lorsque cette fonction est activée, Outlook Web Access soumet un seul message crypté pour les destinataires d'un message crypté. Pour reprendre l'exemple de Messages distincts pour les destinataires visibles et les destinataires invisibles, un seul message serait envoyé pour tous les destinataires spécifiés dans les lignes À, Cc et Cci. Cela permet d'améliorer les performances mais a un impact sur le niveau de sécurité et de confidentialité assuré par Outlook Web Access. Consultez votre stratégie de sécurité avant d'activer cette fonctionnalité. |
0x100 |
Inclure des capacités S/MIME dans le message. Lorsque cette valeur est spécifiée, Outlook Web Access ajoute des attributs aux messages signés et cryptés qu'il envoie pour indiquer les algorithmes de signatures et longueurs de clés sont prises en charge. L'activation de cette option entraîne une augmentation de la taille des messages mais peut faciliter l'interaction de certains clients de messagerie avec Outlook Web Access. |
0x200 |
Copier les en-têtes de destinataires. Lorsque cette valeur est spécifiée, une copie des en-têtes De, À et CC est placée dans la partie signée du message. Cela permet au destinataire du message de vérifier que les en-têtes n'ont pas été falsifiés pendant que le message était en transit. L'activation de cette fonctionnalité augmente la taille du message. |
SmartCardOnly (DWord)
Lorsque la clé SmartCardOnly est définie sur True, les utilisateurs sont tenus d'utiliser des certificats sur carte à puce pour la signature ou le décryptage en cas d'utilisation d'Outlook Web Access avec le contrôle S/MIME. Les utilisateurs ne peuvent pas utiliser de certificats qui ne sont pas sur carte à puce.
- Valeur par défaut = 0 (False)
- Autre = 1 (True)
TripleWrap (DWord)
Lorsque la clé TripleWrap est définie sur True, les messages cryptés qui sont signés sont soumis à un triple traitement. Le message signé est crypté et le message crypté est signé (signature-cryptage-signature). Lorsque cette clé est définie sur False, le message signé est simplement crypté (vous ne disposez pas de la couche de signature du message crypté). Par défaut, cette clé est définie sur True. Les messages soumis au triple traitement offrent le niveau de sécurité le plus élevé pour les messages signés et cryptés sous la norme S/MIME mais leur taille est plus élevée.
- Valeur par défaut = 1 (True)
- Autre = 0 (False)
EncryptionAlgorithms (Reg_SZ)
La clé EncryptionAlgorithms contient une liste des algorithmes de cryptage symétriques, séparés par des points-virgules, à utiliser pour le cryptage des messages à l'aide d'Outlook Web Access avec le contrôle S/MIME. En outre, en cas d'utilisation de fournisseurs tiers, l'identificateur d'objet (également appelé ID d'objet) du fournisseur de services cryptographiques peut être spécifié. Pour utiliser une clé offrant plusieurs longueurs, vous devez spécifier cette longueur. RC2 est la seule clé fournie par Outlook Web Access à offrir des longueurs de clés multiples.
Par défaut, Outlook Web Access utilise 3DES et RC2-128. Si l'algorithme de cryptage ou la longueur de clé minimale n'est pas disponible sur un client donné, Outlook Web Access ne permet pas le cryptage. Le tableau suivant décrit les algorithmes de cryptage, leur ID et les longueurs de clés prises en charge par chacun d'eux.
- Format : {ID d'algorithme}[:longueur de clé à utiliser]|[,ID d'objet du fournisseur de services cryptographique qui prend en charge l'ID]; {ID d'algorithme}[:longueur de clé à utiliser]|[,ID d'objet du fournisseur de services cryptographique qui prend en charge l'ID]
Algorithmes, ID d'algorithmes et longueurs de clés
| Algorithme | ID d'algorithme | Longueurs de clés |
|---|---|---|
RC2 |
6602 |
40, 56, 64, 128 |
DES |
6601 |
56 (longueur de clé fixe) |
3DES |
6603 |
168 (longueur de clé fixe) |
Chaque longueur de clé voulue doit être une entrée séparée. Par exemple, pour que RC2 40 bits et RC2 56 bits soient pris en charge, il faut que la valeur de EncryptionAlgorithms soit 6602:56;6602:40.
Les valeurs de la clé de Registre doivent être listées de la plus longue vers la plus courte longueur de clé car cet ordre correspond à l'ordre selon lequel elles doivent être utilisées. Par exemple, pour lister les valeurs 3DES, RC2-128, RC2-64, DES, RC2-56 et RC2-40, tapez-les dans l'ordre suivant :
6603;6602:128;6602:64;6601;6602:56;6602:40
- Valeurs par défaut : 6603 (3DES); 6602:128 (RC2-128)
DefaultSigningAlgorithm (Reg_SZ)
La clé DefaultSigningAlgorithm spécifie les algorithmes de signature à utiliser pour la signature de messages sous Outlook Web Access avec le contrôle S/MIME. Le tableau suivant décrit les algorithmes de cryptage, leur ID et les longueurs de clés prises en charge par chacun d'eux.
- Format : {ID d'algorithme}
Algorithmes, ID d'algorithmes et longueurs de clés
| Algorithme | ID d'algorithme | Longueurs de clés |
|---|---|---|
SHA-1 |
8004 |
160 (longueur de clé fixe) |
MD5 |
8003 |
128 (longueur de clé fixe) |
- Par défaut : 8004 (SHA-1)
UseKeyIdentifier (DWord)
Par défaut, lors du cryptage des messages électroniques, Outlook Web Access crypte le jeton crypté asymétriquement (également appelé coffret garde-clé) nécessaire pour décrypter le reste du message en indiquant l'émetteur et le numéro de série du certificat de chaque destinataire. L'émetteur et le numéro de série peuvent alors être utilisés pour trouver le certificat et la clé privée permettant de décrypter le message.
Il existe une autre solution permettant de trouver le certificat et la clé privée. Elle consiste à utiliser l'identificateur de clé d'un certificat lors du cryptage du jeton crypté asymétriquement. Une paire de clés pouvant être réutilisée dans de nouveaux certificats, l'utilisation de l'identificateur de clé pour les messages cryptés présente un avantage puisque les utilisateurs n'ont qu'à garder le certificat le plus récent et la clé lui est associée (et non plus les anciens certificats) qui ne peuvent être appareillés que par émetteur et numéro de série.
Étant donné que certains clients de messagerie ne prennent pas en charge la recherche de certificats à l'aide d'un identificateur de clé, Outlook Web Access utilise par défaut l'émetteur et le numéro de série du certificat de chaque destinataire. Cependant, l'activation de la clé UseKeyIdentifier facilite la gestion des messages cryptés car elle dispense les utilisateurs de garder des certificats obsolètes et périmés sur leur système.
- Valeur par défaut = 0 (False)
- Autre = 1 (True)
Paramètres Active Directory
Cette rubrique contient des informations sur les paramètres Active Directory permettant de configurer les clients Outlook Web Access qui utilisent le contrôle S/MIME (Secure/Multipurpose Internet Mail Extensions).
Limites pour les destinataires
Les limites pour les destinataires sont stockées dans Active Directory. Elles spécifient le nombre maximal de destinataires pour lesquels Outlook Web Access récupère des certificats de cryptage depuis Active Directory pou chaque message envoyé. Ces limites se combinent avec la clé de Registre DLExpansionTimeout. Pour plus d'informations sur la clé de Registre DLExpansionTimeout, voir la section sur la clé DLExpansionTimeout (DWord) plus haut dans cette rubrique.
Les limites pour les destinataires sont définies au niveau de l'organisation globale et par utilisateur. La valeur définie pour chaque utilisateur a la priorité sur la valeur définir au niveau de l'organisation. Pour obtenir la procédure détaillée, voir les rubriques