Procédure de gestion de Manage S/MIME pour Outlook Web Access

Nom et type de valeur Exchange 2003

CheckCRL (DWORD)

Explanation

Par défaut, si un point de distribution de liste de révocation de certificat (CDP) dans la chaîne de certificats d'un expéditeur est inaccessible durant la vérification de la révocation lors de l'envoi de messages signés ou chiffrés, Outlook Web Access n'affiche pas d'avertissement informant l'expéditeur que le certificat est invérifiable. Au lieu de cela, il autorise l'envoi du message.

Lorsque CheckCRLonSend est défini sur true, si CDP dans la chaîne de certificats d'un expéditeur est inaccessible durant la vérification de la révocation lors de l'envoi de messages signés ou chiffrés, Outlook Web Access signale une défaillance et empêche l'envoi du message électronique.

Nom et type de valeur Exchange 2003

DLExpansionTimeout (DWORD)

Explanation

Cet attribut contrôle le temps, exprimé en millisecondes, pendant lequel Outlook Web Access attend qu'une liste de distribution dans Active Directory s'étend lors de l'envoi de messages chiffrés avant l'échec de l'opération.

Lors de l'envoi d'un message chiffré à une liste de distribution, Outlook Web Access doit étendre la liste de distribution pour récupérer le certificat de chiffrement de chaque destinataire à utiliser dans l'opération de chiffrement. Le délai nécessaire à cette opération varie en fonction de la taille de la liste de distribution et des performances de l'infrastructure Active Directory sous-jacente. Pendant que la liste de distribution est en cours d'extension, l'expéditeur ne reçoit aucune réponse d'Outlook Web Access. Cet attribut spécifie le délai pendant lequel Outlook Web Access doit attendre que la liste de distribution complète soit étendue. Si l'opération n'est pas terminée dans le délai spécifié par cette valeur, elle échoue et le message n'est pas envoyé. L'expéditeur est renvoyé au formulaire de composition qui inclut une barre d'information contenant le message d'erreur suivant :

Impossible de terminer l'action. Réessayez. Si le problème persiste, contactez le support technique pour votre organisation. Versuchen Sie es erneut. Si le problème persiste, contactez le support technique de votre organisation.

Nom et type de valeur Exchange 2003

CertMatchingDoNotUseProxies (DWORD)

Explanation

Lors de l'envoi d'un message électronique chiffré, Outlook Web Access tente de trouver dans Active Directory le certificat correct pour un destinataire. Les valeurs d'objet et d'autre nom de l'objet du certificat peuvent contenir chacune une adresse SMTP. Un destinataire pouvant posséder plusieurs adresses de proxy SMTP dans l'annuaire, les valeurs d'objet et d'autre nom de l'objet du certificat peuvent ne pas correspondre à l'adresse SMTP principale mais à l'une des adresses de proxy.

Si UseSecondaryProxiesWhenFindingCertificates est défini sur true, Outlook Web Access accepte comme valides des certificats ne correspondant par à l'adresse SMTP principale du destinataire. Si UseSecondaryProxiesWhenFindingCertificates est défini sur false, Outlook Web Access n'accepte comme valides que des certificats correspondant par à l'adresse SMTP principale du destinataire.

Nom et type de valeur Exchange 2003

RevocationURLRetrievalTimeout (DWORD)

Explanation

Le délai d'attente de connexion CRL spécifie le temps, en millisecondes, qu'Outlook Web Access attendra, pendant la connexion, de recevoir une seule liste de révocation de certificats (CRL) dans le cadre d'une opération de validation certificat.

La validation d'un certificat requiert la récupération de la liste de révocation de certificats de l'autorité de certification à partir du point de distribution spécifié au dans le certificat. Cette opération doit être effectuée pour chaque certificat de la chaîne au complet.

Si plusieurs listes de révocation de certificats doivent être récupérées, la clé s'applique à chaque connexion. Par exemple, si trois listes de révocation de certifications doivent être récupérées et que CRLConnectionTimeout est défini sur 60 secondes, chaque opération de récupération de liste de révocation doit s'exécuter dans un délai de 60 secondes. Si la liste de révocation de certificats n'est pas récupérée dans le délai spécifié, l'opération échoue. Si CRLConnectionTimeout est défini sur une valeur inférieure à 5000, la valeur par défaut (60000) est utilisé. Si CRLConnectionTimeout est défini sur la valeur maximale, 2147483647, la connexion n'expire pas.

Nom et type de valeur Exchange 2003

CertURLRetrievalTimeout (DWORD)

Explanation

Cet attribut ressemble au délai d'attente de connexion CRL, mais il spécifie au temps, exprimé en millisecondes, qu'Outlook Web Access attend pour récupérer tous les listes de révocation de certificats lors de la validation d'un certificat. Si les listes de révocation de certificats ne sont pas toutes récupérées dans le délai spécifié, l'opération échoue.

Lorsque vous définissez cette valeur, il est important de garder à l'esprit que, dans une opération de validation de certificat, un délai d'attente de connexion CRL est appliqué à chaque récupération de CRL et à l'opération globale de toutes les récupérations de CRL. Par exemple, si trois listes de révocation de certificats doivent être récupérées et si CRLConnectionTimeout est défini sur 60 secondes et CRLRetrievalTimeout sur 120 secondes, chaque opération de récupération de CRL aura un délai de 60 secondes alors que l'ensemble des opérations aura un délai d'attente de 120 secondes. Dans cet exemple, si l'une des récupérations de CRL dépasse le délai imparti de 60 secondes, l'opération échoue. De même, si l'ensemble des récupérations de CRL prend plus de 120 secondes, l'opération échoue.

Nom et type de valeur Exchange 2003

DisableCRLCheck (DWORD)

Explanation

Lorsque DisableCRLCheck est défini sur true, cela empêche le contrôle des listes de révocation de certificats pendant la validation des certificats. La désactivation du contrôle des CRL peut allonger le temps nécessaire pour la validation des signatures de messages signés. Toutefois, elle présente également les messages révoqués signés avec des certificats révoqués comme valides au lieu de non valides.

Nom et type de valeur Exchange 2003

AlwaysSign (DWORD)

Explanation

Lorsque AlwaysSign est défini sur true, cela force les utilisateurs à signer numériquement les messages lorsqu'ils utilisent Outlook Web Access avec le contrôle S/MIME. De même, la page Options et la boîte de dialogue Options de message présentent l'option « $$$Envoyer message signé » comme activée.

Nom et type de valeur Exchange 2003

AlwaysEncrypt (DWORD)

Explanation

Lorsque AlwaysEncrypt est défini sur true, cela force les utilisateurs à chiffrer les messages lorsqu'ils utilisent Outlook Web Access avec le contrôle S/MIME. De même, la page Options et la boîte de dialogue Options de message présentent l'option « $$$Envoyer message chiffré » comme activée.

Nom et type de valeur Exchange 2003

ClearSign (DWORD)

Explanation

Lorsque ClearSign est défini sur true, tout message numérique signé envoyé à partir d'Outlook Web Access doit être signé en texte clair. La valeur par défaut de cet attribut est true. Si cette valeur est définie sur false, Outlook Web Access utilise une signature opaque. Les messages électroniques signés en texte clair sont plus volumineux que si la signature est opaque mais il peuvent être ouverts et lus à l'aide de la plupart des clients de messagerie, y compris ceux qui ne prennent pas en charge S/MIME.

Nom et type de valeur Exchange 2003

SecurityFlags (valeur 0x001)

Explanation

Le comportement par défaut d'Outlook Web Access lors de l'envoi de messages chiffrés ou signés, consiste à inclure uniquement les certificats de signature et de chiffrement et non les chaînes de certificat correspondantes. Cette option peut s'avérer nécessaire pour interagir avec d'autres clients ou dans des environnements où les autorités de certification intermédiaires ne sont pas accessibles à l'aide de l'attribut Accès aux informations de l'Autorité ni en approuvant l'autorité de certification intermédiaire dans le compte d'ordinateur du serveur de boîtes aux lettres Exchange 2007. Lorsque IncludeCertificateChainWithoutRootCertificate est défini sur true, les messages signés ou chiffrés incluent la chaîne de certificats complète, à l'exception du certificat racine.

Ce paramétrage augmente la taille des messages signés et chiffrés.

Nom et type de valeur Exchange 2003

SecurityFlags (valeur 0x002)

Explanation

L'attribut d'inclusion de la chaîne de certificats et de la racine ressemble à l'attribut d'inclusion de la chaîne de certificats sans le certificat racine, sauf que, lorsqu'il est défini sur true, il inclut le certificat racine et la chaîne de certificats complète.

Lorsque IncludeCertificateChainAndRootCertificate est défini sur true, cela augmente la taille des messages signés et chiffrés plus que ne le fait l'attribut IncludeCertificateChainWithoutRootCertificate.

Nom et type de valeur Exchange 2003

SecurityFlags (valeur 0x004)

Explanation

Par défaut, tous les tampons temporaires côté client utilisés pour enregistrer les données de message sont chiffrés à l'aide d'une clé éphémère et de l'algorithme 3DES. Ce paramétrage permet d'activer ou de désactiver le chiffrement des tampons temporaires. La désactivation du chiffrement des tampons peut améliorer les performances du client Outlook Web Access. Toutefois, cela laisse des informations non chiffrées dans le tampon du système local. Avant de désactiver cette fonctionnalité, vérifiez la stratégie de sécurité de votre organisation.

Nom et type de valeur Exchange 2003

SecurityFlags (valeur 0x008)

Explanation

Par défaut, Outlook Web Access avec le contrôle S/MIME installé inclut des certificats de signature et de chiffrement avec les messages électroniques signés. Lorsque vous désactivez ce paramétrage en définissant SignedEmailCertificateInclusion sur false, la taille des messages envoyés à partir d'Outlook Web Access avec le contrôle S/MIME diminue. Toutefois, les destinataires n'ont pas accès au certificat de chiffrement de l'expéditeur dans le message reçu et doivent se le procurer soit en le récupérant dans un annuaire, soit en s'adressant à l'expéditeur.

Nom et type de valeur Exchange 2003

SecurityFlags (valeurs 0x040, 0x080)

Explanation

Par défaut, Outlook Web Access soumet un message chiffré séparé pour chaque destinataire figurant dans la ligne Cci d'un message chiffré. Cette option offre une sécurité optimale pour les destinataires de Cci d'un message chiffré. En modifiant la valeur de BCCEncryptedEmailForking, vous pouvez exiger qu'Outlook Web Access crée un message chiffré unique pour tous les destinataires de Cci ou un seul message chiffré sans message séparé pour chaque destinataire de Cci. 

Nom et type de valeur Exchange 2003

SecurityFlags (valeur 0x100)

Explanation

Lorsque IncludeSMIMECapabilitiesInMessage est défini sur true, Outlook Web Access ajoute des attributs aux messages signés et chiffrés sortants, qui indiquent les algorithmes de chiffrement et de signature, ainsi que les longueurs prises en charge.

L'activation de cet attribut augmente la taille des messages. Toutefois, son activation peut faciliter, pour certains clients de messagerie, l'interaction avec Outlook Web Access.

Nom et type de valeur Exchange 2003

SecurityFlags (valeur 0x200)

Explanation

Lorsque CopyRecipientHeaders est défini sur true, une copie des en-têtes de destinataire De, À et Cc est placée dans la partie signée du message. Cela permet au destinataire de vérifier que ces en-têtes n'ont pas été falsifiés pendant que le message était en transit. L'activation de cette fonctionnalité augmente la taille du message.

Nom et type de valeur Exchange 2003

SmartCardOnly (DWORD)

Explanation

Lorsque OnlyUseSmartCard est défini sur true, cela force l'utilisation de certificats basés sur carte à puce pour la signature et le déchiffrement lorsque vous utilisez Outlook Web Access avec le contrôle S/MIME. Les utilisateurs ne peuvent pas utiliser de certificats ne figurant pas sur une carte à puce.

Nom et type de valeur Exchange 2003

TripleWrap (DWORD)

Explanation

Lorsque TripleWrapSignedEncryptedMail est défini sur true, les messages électroniques chiffrés qui sont signés numériquement sont entourés de trois couches de protection. Quand un message est entouré de trois couches de protection, le message signé numériquement est chiffré et le message chiffré est signé numériquement. Lorsque cet attribut est défini sur false, le message signé numériquement est simplement chiffré ; il n'y pas de signature numérique supplémentaire pour le message chiffré. Par défaut, cet attribut est défini sur true. Les messages entourés de trois couchez de protection offrent le niveau de sécurité le plus élevé pour les messages signés numériquement et chiffrés conformément à la norme S/MIME mais leur taille est plus importante.

Nom et type de valeur Exchange 2003

UseKeyIdentifier (DWORD)

Explanation

Par défaut, lors du chiffrement d'un message électronique, Outlook Web Access code le référentiel sécurisé dans lequel est stocké le jeton chiffré de façon asymétrique requis pour déchiffrer le reste du message. Il code le référentiel sécurisé en indiquant l'émetteur et un numéro de série pour chaque certificat du destinataire. Cela peut permettre de pour localiser le certificat et la clé privée pour le déchiffrement du message.

Une autre solution permettant de localiser le certificat et la clé privée pour le déchiffrement du message consiste à utiliser l'identificateur de clé d'un certificat en définissant UseKeyIdentifier sur true. Une paire de clés pouvant être réutilisée dans de nouveaux certificats, l'utilisation de l'identificateur de clé pour les messages électroniques chiffrés permet aux utilisateurs de ne garder que le certificat le plus récent et la clé qui lui est associée, au lieu de tous les anciens certificats, qui ne peuvent être mis en correspondance que par émetteur et numéro de série.

Par défaut, étant donné que certains clients de messagerie ne prennent pas en charge la recherche de certificats à l'aide d'un identificateur de clé, Outlook Web Access utilise l'émetteur et le numéro de série du certificat de chaque destinataire. Cependant, l'activation de cette fonctionnalité peut faciliter la gestion des messages chiffrés car elle dispense les utilisateurs de garder des certificats anciens et expirés sur leur système.

Nom et type de valeur Exchange 2003

EncryptionAlgorithms (Reg_SZ)

Explanation

Outlook Web Access tente d'utiliser l'algorithme le plus puissant avec la longueur de clé disponible la plus importante sur l'ordinateur de l'utilisateur. Si l'algorithme de chiffrement ou la longueur de clé minimale n'est pas disponible sur l'ordinateur de l'utilisateur, Outlook Web Access n'autorise pas le chiffrement.

Nom et type de valeur Exchange 2003

DefaultSigningAlgorithm (reg_SZ)

Explanation

Cet attribut spécifie l'algorithme de signature numérique à utiliser lors de la signature numérique de messages à l'aide d'Outlook Web Access avec le contrôle S/MIME.

Nom et type de valeur Exchange 2003

Non disponible Ceci est une nouvelle fonctionnalité d'Exchange 2007.

Explanation

Lorsque ForceSMIMEClientUpgrade est défini sur true, si la version de contrôle du client sur l'ordinateur de l'utilisateur est plus antérieure à la version sur le serveur, l'utilisateur doit télécharger et installer le nouveau contrôle avant de pouvoir continuer à utiliser toute formulaire de lecture ou de composition S/MIME. Lorsque la valeur est définie sur false, l'utilisateur reçoit un avertissement si le contrôle S/MIME sur son ordinateur est plus ancien que la version du serveur. Toutefois, il est en mesure d'utiliser S/MIME sans mise à jour du contrôle.