Mise en œuvre d'Outlook Web Access avec le contrôle S/MIME

Article
10/25/2013

Dernière rubrique modifiée : 2006-02-20

La prise en charge d'Outlook Web Access avec le contrôle S/MIME est automatique car elle entre dans le cadre de la prise en charge offerte par Exchange 2003 pour Outlook Web Access. L'administrateur d'Exchange Server n'a besoin d'installer aucun composant distinct pour activer la prise en charge d'Outlook Web Access avec le contrôle S/MIME. Cependant, avant qu'Outlook Web Access avec le contrôle S/MIME puisse être utilisé, certaines modifications doivent être apportées au niveau de la configuration du système client et du serveur Exchange de l'utilisateur.

Le fonctionnement d'Outlook Web Access avec le contrôle S/MIME est similaire à celui d'Outlook Web Access sans contrôle S/MIME dans le sens où le navigateur Web exécuté sur le système client et le serveur Exchange de l'utilisateur collaborent pour assurer les fonctionnalités de client de messagerie. Comme expliqué dans la rubrique sur la Mise en œuvre et maintenance d'Exchange 2003 en vue d'une prise en charge de la sécurité des messages, dans un système de sécurité des messages basé sur Exchange 2003, les services associés à S/MIME sont assurés grâce à l'interaction entre le client de messagerie et l'infrastructure à clé publique. Lors de la mise en œuvre d'Outlook Web Access avec le contrôle S/MIME, l'administrateur de la messagerie électronique active la prise en charge d'Outlook Web Access avec contrôle S/MIME puis intègre ce dernier avec l'infrastructure à clé publique de l'organisation.

Configuration du système client d'un utilisateur

La configuration du système client d'un utilisateur en vue de la prise en charge d'Outlook Web Access avec contrôle S/MIME nécessite deux opérations :

Déploiement d'Outlook Web Access avec le contrôle S/MIME sur le système client,
Mise à disposition des certificats numériques appropriés sur le système.

Déploiement du contrôle S/MIME

Pour utiliser Outlook Web Access avec le contrôle S/MIME, ce dernier doit impérativement être installé sur le système client sur lequel l'utilisateur exécute Internet Explorer. Sinon, les fonctionnalités S/MIME d'Outlook Web Access ne peuvent pas être exploitées.

Important :
Outlook Web Access avec le contrôle S/MIME nécessite que le système client utilise Microsoft Windows® 2000 ou versions ultérieures et Internet Explorer 6 ou versions ultérieures. Il ne peut pas être installé sur un système qui ne remplit pas ces conditions. En outre, pour utiliser les fonctionnalités d'Outlook Web Access avec le contrôle S/MIME, l'utilisateur doit impérativement ouvrir Outlook Web Access à l'aide d'Internet Explorer. Le contrôle S/MIME ne peut pas être utilisé avec les autres navigateurs installés sur le système client. Vous ne pouvez utiliser qu'Internet Explorer 6 pour exploiter les fonctionnalités S/MIME d'Outlook Web Access.

Outlook Web Access avec le contrôle S/MIME nécessite que le système client utilise Microsoft Windows® 2000 ou versions ultérieures et Internet Explorer 6 ou versions ultérieures. Il ne peut pas être installé sur un système qui ne remplit pas ces conditions. En outre, pour utiliser les fonctionnalités d'Outlook Web Access avec le contrôle S/MIME, l'utilisateur doit impérativement ouvrir Outlook Web Access à l'aide d'Internet Explorer. Le contrôle S/MIME ne peut pas être utilisé avec les autres navigateurs installés sur le système client. Vous ne pouvez utiliser qu'Internet Explorer 6 pour exploiter les fonctionnalités S/MIME d'Outlook Web Access.

Le contrôle S/MIME peut être téléchargé à partir de la page Options au sein d'Outlook Web Access. Pour déployer Outlook Web Access avec le contrôle S/MIME, demandez à vos utilisateurs de télécharger et d'installer le contrôle sur leurs systèmes clients. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure d'installation du contrôle S/MIME d'Outlook Web Access.

Le contrôle S/MIME est téléchargé du serveur Exchange vers l'ordinateur local. Une fois le contrôle installé, il est disponible pour tous les utilisateurs du système, y compris ceux qui ne possèdent pas de privilèges d'administrateur. Pour que le contrôle S/MIME fonctionne correctement, la zone Internet Explorer à laquelle l'utilisateur se connecte pour Outlook Web Access doit être paramétrée de la manière suivante :

Option Télécharger les contrôles ActiveX signés définie sur Demander ou Activer.
Option Exécuter les contrôles ActiveX et les plugins définie sur Activer (ou Approuvé par l'administrateur avec le contrôle S/MIME comme contrôle approuvé).
Option Contrôles ActiveX reconnus sûrs pour l'écriture de script définie sur Désactiver.

Par défaut, ces paramètres sont activés dans les zones Internet et intranet.

URLScan ou autre logiciel de blocage de fichiers

De nombreuses sociétés utilisent URLScan sur les serveurs HTTP frontaux pour Outlook Web Access. URLScan contrôle les URL et permet aux clients d'empêcher des types de fichiers spécifiques, tels que les fichiers .exe et .vbs, d'accéder au réseau et au client Outlook Web Access. Si vous utilisez URLScan ou un logiciel similaire pour protéger le client Outlook Web Access et souhaitez rendre le contrôle S/MIME disponible en-dehors de votre pare-feu d'entreprise, vous devez permettre aux types de fichiers exécutables (.exe) de traverser URLScan et le pare-feu.

Autres options de déploiement du contrôle S/MIME

Dans de nombreux environnements, conformément à la stratégie de sécurité de leur organisation, les utilisateurs ne disposent pas d'accès administrateur à leurs ordinateurs clients. Ils ne peuvent pas télécharger et installer le contrôle S/MIME. L'administrateur de clients de messagerie doit travailler avec les administrateurs des systèmes de bureau pour développer une méthode permettant de déployer le contrôle S/MIME sur les ordinateurs de bureau des utilisateurs tout en respectant les termes de la stratégie de sécurité de l'organisation.

Voici deux stratégies de déploiement que nous vous conseillons d'évaluer :

intégration du contrôle S/MIME dans une image de bureau préconfigurée ;
déploiement du package d'installation du contrôle S/MIME à l'aide du système de gestion des logiciels d'entreprise de votre organisation.

Une fois que le contrôle S/MIME a été installé sur un système client, il est disponible pour tous les utilisateurs y compris ceux qui ne possèdent pas de droits d'administrateur. L'intégration du contrôle S/MIME dans une image normalisée est une solution adaptée aux organisations qui font déjà appel à cette stratégie pour gérer les configurations d'ordinateurs de bureau.

Les organisations qui n'utilisent pas d'image de bureau mais souhaitent déployer le contrôle S/MIME pour des utilisateurs sans privilège d'administrateur doivent déployer l'installation du contrôle S/MIME à l'aide du système de gestion des logiciels d'entreprise de leur organisation.

Remarque :
Nouveautés du SP1 Dans Exchange Server 2003 SP1, le programme d'installation du contrôle S/MIME est un fichier MSI (Microsoft Installer) contenu dans un fichier exécutable auto-extractible ; cette solution permet aux clients de déployer le contrôle S/MIME sur l'ordinateur de bureau avec des systèmes de gestion des logiciels d'entreprise. La version précédente d'Exchange 2003 utilisait un autre mécanisme d'installation du contrôle S/MIME qui n'était pas compatible avec les outils de déploiement et de gestion d'entreprise. Le package d'installation s'appelle Setupmcl.exe et se situe dans le répertoire suivant lorsqu'Exchange 2003 SP1 est installé (où version correspond au numéro de version du SP1) :

Nouveautés du SP1 Dans Exchange Server 2003 SP1, le programme d'installation du contrôle S/MIME est un fichier MSI (Microsoft Installer) contenu dans un fichier exécutable auto-extractible ; cette solution permet aux clients de déployer le contrôle S/MIME sur l'ordinateur de bureau avec des systèmes de gestion des logiciels d'entreprise. La version précédente d'Exchange 2003 utilisait un autre mécanisme d'installation du contrôle S/MIME qui n'était pas compatible avec les outils de déploiement et de gestion d'entreprise. Le package d'installation s'appelle Setupmcl.exe et se situe dans le répertoire suivant lorsqu'Exchange 2003 SP1 est installé (où version correspond au numéro de version du SP1) :

    drive:\program files\exchsrvr\exchweb\version\cabs\setupmcl.exe

Pour plus d'informations sur l'utilisation du système de gestion des logiciels d'entreprise pour créer et déployer des installations personnalisées, voir la documentation de votre système de gestion des logiciels.

Mise à disposition des certificats numériques sur le système client

Mise en œuvre et maintenance de l'infrastructure à clé publique en vue d'une prise en charge de la sécurité des messages dans Exchange 2003 fournit des informations détaillées sur le mode de validation des certificats adopté par Outlook Web Access avec le contrôle S/MIME en support à l'infrastructure à clé publique. En qualité d'administrateur de messagerie client, vous devez comprendre que le système client doit disposer des certificats numériques appropriés. Vous devez donc installer les certificats dans le magasin de certificats personnel de l'utilisateur ou utiliser une carte à puce. Discutez avec l'administrateur de l'infrastructure à clé publique de la méthode à retenir pour mettre les certificats numériques de l'utilisateur à la disposition du système client.

Configuration des serveurs Exchange

Pour prendre en charge Outlook Web Access avec le contrôle S/MIME, il faut non seulement configurer les systèmes clients des utilisateurs mais aussi leurs serveurs Exchange. La configuration sert à activer la gestion et la validation des certificats numériques. De manière spécifique, le serveur Exchange de l'utilisateur doit disposer des certificats racines appropriés au magasin de certificats personnel du compte de l'ordinateur local et être en mesure d'accéder aux informations que les infrastructures à clé publique fournissent pour la validation des certificats et de les extraire, en général via le réseau à l'aide de HTTP ou LDAP.

Remarque :
Dans une configuration frontale et principale, les certificats numériques doivent être ajoutés au magasin de certificats personnel du serveur principal.

Comme lors de la configuration des systèmes clients des utilisateurs pour laquelle vous devez faire en sorte que les certificats numériques appropriés soient disponibles, discutez avec l'administrateur de l'infrastructure à clé publique qui déterminera quel certificat doit être disponible sur le serveur Exchange d'un utilisateur. Si l'administrateur de l'infrastructure à clé publique détermine que des certificats numériques doivent être ajoutés dans le magasin de certificats personnel du compte de l'ordinateur local sur le serveur Exchange, ces certificats peuvent être ajoutés manuellement ou propagés à l'aide de la Stratégie de groupe. Il est recommandé d'utiliser la stratégie de groupe chaque fois que possible. Pour obtenir des informations sur l'utilisation de la Stratégie de groupe pour propager des certificats numériques, voir la documentation de Windows Server™ 2003. Pour obtenir la procédure d'ajout manuel de certificats numériques au serveur Exchange des utilisateurs, voir la rubrique sur la Résolution des problèmes de S/MIME dans Exchange Server 2003.

Le système client de l'utilisateur gère les certificats numériques liés à sa clé privée tandis que le serveur Exchange gère les certificats numériques liés aux clés publiques de l'autre utilisateur et valide les certificats numériques des clés publiques des deux utilisateurs.

Pour accéder aux informations que les infrastructures à clé publique mettent à disposition pour la validation des certificats, veillez, dans les cas où les serveurs Exchange des utilisateurs se trouvent derrière un pare-feu, à ce que les serveurs puissent se connecter à travers le pare-feu en utilisant les protocoles appropriés (généralement HTTP ou LDAP). Consultez l'administrateur de l'infrastructure à clé publique afin de déterminer la configuration nécessaire à la prise en charge de la validation des certificats sur le système client et contactez l'administrateur du pare-feu pour que les changements appropriés soient mis en place.

Remarque :
Lorsque vous utilisez Windows Server 2003, vous pouvez exécuter l'utilitaire Proxycfg.exe pour configurer le client proxy HTTP intégré au lieu d'installer un client proxy. Cependant, ce proxy ne prend pas en charge LDAP. Si vous devez accéder aux informations de validation des certificats via LDAP, vous devez installer des clients de pare-feu qui prennent en charge LADP. Pour plus d'informations sur l'utilisation et la configuration du client proxy Windows Server 2003, voir l'aide en ligne consacrée à Proxycfg.exe.

Lorsque vous utilisez Windows Server 2003, vous pouvez exécuter l'utilitaire Proxycfg.exe pour configurer le client proxy HTTP intégré au lieu d'installer un client proxy. Cependant, ce proxy ne prend pas en charge LDAP. Si vous devez accéder aux informations de validation des certificats via LDAP, vous devez installer des clients de pare-feu qui prennent en charge LADP. Pour plus d'informations sur l'utilisation et la configuration du client proxy Windows Server 2003, voir l'aide en ligne consacrée à Proxycfg.exe.

Après avoir installé le contrôle S/MIME sur les systèmes clients des utilisateurs et veillé à ce que les systèmes clients et les serveurs Exchange soient configurés pour prendre en charge la gestion et la validation des certificats numériques, vous pouvez consulter l'administrateur de l'infrastructure à clé publique pour intégrer Outlook Web Access avec contrôle S/MIME avec l'infrastructure à clé publique.

Intégration d'Outlook Web Access avec contrôle S/MIME avec l'infrastructure à clé publique

Outlook Web Access avec le contrôle S/MIME est conçu pour utiliser n'importe quel certificat numérique conforme à la norme S/MIME version 3. Vous pouvez intégrer Outlook Web Access avec le contrôle S/MIME avec une infrastructure à clé publique existante ou mettre en œuvre une nouvelle infrastructure à clé publique pour les besoins de S/MIME dans Exchange 2003 si cette infrastructure prend en charge S/MIME version 3.

Lorsqu'un administrateur de client de messagerie prévoit d'intégrer Outlook Web Access avec le S/MIME avec l'infrastructure à clé publique, sa principale préoccupation est de s'assurer que l'administrateur d'infrastructure à clé publique permet l'accès aux certificats numériques appropriés dans le service d'annuaire Microsoft Active Directory® et sur le système client de l'utilisateur. Cet accès peut être assuré en stockant les certificats dans le magasin de certificats du système client de l'utilisateur, en utilisant une carte à puce ou en faisant appel à des fournisseurs de services cryptographiques (CSP) qui prennent en charge l'itinérance logicielle des certificats. Lors de la planification de votre mise en œuvre d'Outlook Web Access avec le contrôle S/MIME, il est recommandé que l'administrateur de l'infrastructure à clé publique prenne connaissance de la rubrique sur la Mise en œuvre et maintenance de l'infrastructure à clé publique en vue d'une prise en charge de la sécurité des messages dans Exchange 2003. Cette section vient compléter la documentation existante sur l'infrastructure à clé publique en fournissant des informations spécifiques à l'intégration avec un système Exchange 2003. Elle contient des informations sur la prise en charge d'Outlook Web Access avec le contrôle S/MIME dans votre infrastructure à clé publique.

Si vous ne souhaitez pas mettre en œuvre d'infrastructure à clé publique, vous pouvez utiliser les réseaux d'infrastructures à clé publique publics pour obtenir l'infrastructure à clé publique nécessaire à S/MIME. Pour obtenir une liste des fournisseurs d'infrastructures à clé publique à utiliser avec Outlook Web Access avec le contrôle S/MIME, voir les pages sur l'obtention d'une identification numérique et sur l'l'identification numérique.

Utilisation d'Outlook Web Access avec le contrôle S/MIME

Une fois que l'installation et la configuration sont terminées et que les utilisateurs ont reçu les certificats numériques appropriés, Outlook Web Access avec le contrôle S/MIME peut envoyer des messages électroniques cryptés et à signature numérique.

Outlook Web Access avec le contrôle S/MIME offre des services de sécurité S/MIME pour les messages électroniques que les utilisateurs s'échangent via Outlook Web Access. Les utilisateurs interagissent avec les messages électroniques de la même manière que s'ils utilisaient Outlook Web Access, mais peuvent en plus recevoir et envoyer des messages à signature numérique ou des messages cryptés.

Outlook Web Access avec le contrôle S/MIME permet d'utiliser les fonctionnalités S/MIME de trois manières :

Les utilisateurs peuvent utiliser Outlook Web Access pour signer numériquement ou crypter certains messages.
Les utilisateurs peuvent configurer Outlook Web Access avec le contrôle S/MIME afin que, par défaut, tous les messages soient signés numériquement ou cryptés.
Les administrateurs peuvent configurer Outlook Web Access avec le contrôle S/MIME de sorte à exiger la signature numérique ou le cryptage de tous les messages électroniques concernant les utilisateurs d'un serveur Exchange spécifique.

Pour plus d'informations sur les problèmes couramment rencontrés lors de l'envoi et de la réception de messages électroniques signés numériquement et cryptés, voir la rubrique sur la Résolution des problèmes de S/MIME dans Exchange Server 2003.

Remarque :
Une fois le contrôle S/MIME installé, les pièces jointes ouvertes directement à partir de messages électroniques signés et cryptés sont supprimées du cache d'Internet Explorer lorsque le message est refermé. Cette disposition ne n'applique qu'aux éléments signés et cryptés. Les pièces jointes ouvertes à partir de messages qui ne sont pas signés ni cryptés ne sont pas supprimées.

Signature et cryptage de messages électroniques individuels

Par, défaut, Outlook Web Access avec le contrôle S/MIME est configuré pour ne pas signer ni crypter de messages électroniques. Pour crypter ou signer numériquement un message électronique donné, un utilisateur doit sélectionner l'option correspondante sur le message ou modifier le paramètre par défaut.

Une fois que le contrôle S/MIME est installé, des boutons sont ajoutés à la barre d'outils qui apparaît lors de la composition d'un message électronique. Pour signer numériquement ou crypter un message électronique donné, l'utilisateur clique sur le bouton correspondant à l'action voulue pour ce message. Au moment où le message est envoyé, Outlook Web Access avec le contrôle S/MIME ajoute au message électronique le service S/MIME correspondant au bouton sélectionné. Pour obtenir la procédure détaillée, voir la rubrique :

Signature et cryptage des messages électroniques par défaut

Outre les boutons permettant de signer et de crypter des messages électroniques individuels, Outlook Web Access avec le contrôle S/MIME ajoute des cases à cocher sur la page Options sous Sécurité de messagerie électronique qui permettent d'activer par défaut la signature numérique et le cryptage de tous les messages. Pour obtenir la procédure détaillée, voir la rubrique sur la Procédure de configuration des paramètres S/MIME par défaut dans Outlook Web Access.

Signature et cryptage impératifs de l'ensemble des messages

Vous pouvez exiger que les messages électroniques soient toujours signés numériquement ou cryptés, ne laissant ainsi plus l'option à l'utilisateur d'envoyer des messages non signés ou non cryptés. Cet impératif peut être combiné à la stratégie de sécurité d'une organisation en matière d'utilisation de la messagerie.

Une fois ces paramètres mis en œuvre, les utilisateurs ne peuvent plus envoyer de messages électroniques qui ne sont pas signés ou cryptés. Prenez vos précautions lorsque vous décidez de mettre ces paramètres en place car les utilisateurs ne pourront pas envoyer de messages électroniques s'ils ne peuvent pas obtenir les certificats numériques appropriés. Ces paramètres n'empêchent pas l'utilisateur d'envoyer des messages électroniques à l'aide d'autres clients de messagerie électronique ou à l'aide d'Outlook Web Access sans contrôle S/MIME. Pour que l'ensemble des opérations de messagerie soit soumis à ces impératifs, il faut que ce paramètre soit combiné à des restrictions similaires sur d'autres clients de messagerie. En outre, il faut impérativement empêcher les clients de messagerie qui ne peuvent pas être contrôlés d'accéder au serveur Exchange.

Vous devez pour cela modifier le Registre du serveur Exchange de l'utilisateur au niveau des clés suivantes :

AlwaysSign
AlwaysEncrypt

Pour plus d'informations sur ces clés de Registre et leurs paramètres, voir la rubrique sur les Paramètres relatifs au contrôle S/MIME d'Outlook Web Access.

Affichage des messages électroniques signés et cryptés

Pour afficher des messages électroniques signés numériquement ou cryptés, l'utilisateur fournit un code confidentiel ou un mot de passe uniquement si sa clé privée fait l'objet d'une protection renforcée. Outlook Web Access avec le contrôle S/MIME traite ces messages automatiquement et demande à l'utilisateur de fournir tout renseignement nécessaire en se basant sur le certificat numérique. Pour les messages signés numériquement, le système client de l'utilisateur vérifie la signature (il décrypte le hachage de la signature avec clé publique, puis calcule et compare le hachage du message) tandis que le serveur Exchange vérifie la validité du certificat de signature (expiration, fiabilité, révocation). Si les messages sont cryptés, le système client de l'utilisateur cherche automatiquement à récupérer les clés privées adéquates, demande à l'utilisateur de fournir les informations requises, et si aucune erreur ne se produit, affiche le message électronique. Pour obtenir la procédure détaillée pour l'affichage du courrier S/MIME dans Outlook Web Access, voir les rubriques suivantes :

Pour plus d'informations sur les problèmes couramment rencontrés lors de la réception de messages électroniques signés numériquement et cryptés, voir la rubrique sur la Résolution des problèmes de S/MIME dans Exchange Server 2003.