Einstellungen im Zusammenhang mit dem Outlook Web Access-S/MIME-Steuerelement

  • Artikel

 

Letztes Änderungsdatum des Themas: 2005-05-19

Registrierungsschlüssel

In diesem Thema finden Sie Informationen über Registrierungseinstellungen zum Konfigurieren von Microsoft® Office Outlook® Web Access-Clients unter Verwendung des S/MIME-Steuerelements (Secure/Multipurpose Internet Mail Extensions). Diese Einstellungen werden auf dem Exchange-Server angewendet, auf dem der Posteingang des Benutzers gespeichert ist. Bei einer Front-End- und Back-End-Architektur ist dieser Server der Back-End-Server. Alle Registrierungsschlüssel werden unter folgendem Schlüssel hinzugefügt:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWeb\OWA\

Dieser Schlüssel ist in der Standardeinstellung nicht vorhanden und muss vor dem Hinzufügen weiterer Registrierungsschlüssel hinzugefügt werden. Zum Hinzufügen von Registrierungsschlüsseln muss ein Konto verwendet werden, das ein Mitglied der lokalen Administratorgruppe des Systems ist. Sofern im jeweiligen Schlüssel nicht anders vermerkt, wirkt sich die Registrierungsänderung innerhalb einer Minute nach der Erstellung aus.

noteAnmerkung:
Die falsche Verwendung des Registrierungs-Editors kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Dadurch entstandene Probleme können unter Umständen nicht mehr behoben werden. Sichern Sie vor dem Ändern der Registrierung alle wichtigen Daten.

CheckCRL (DWord)

Wenn beim Senden einer signierten oder verschlüsselten E-Mail ein Verteiler für Zertifikatssperrlisten (CRL, Certificate Revocation List) in der Zertifikatkette eines Absenders während der Überprüfung der Sperrung nicht verfügbar ist, wird von Outlook Web Access in der Standardeinstellung (wenn CheckCRL den Wert „fasse“ hat) in einem Dialogfeld darauf hingewiesen, dass das Zertifikat nicht überprüft werden kann. Die E-Mail kann jedoch gesendet werden.

Wenn dieser Schlüssel auf true gesetzt ist, wird von Outlook Web Access in einem Dialogfeld darauf hingewiesen, dass das Zertifikat nicht überprüft werden kann, und das Senden der E-Mail wird verhindert.

  • Standard = 0 (False)
  • Möglicher anderer Wert = 1 (True)

DLExpansionTimeout (DWord)

The DLExpansionTimeout value controls the time-out period, in milliseconds, for expanding an Active Directory® directory service distribution list when sending encrypted e-mail messages.

Wenn verschlüsselte E-Mail-Nachrichten an eine Verteilerliste gesendet werden, muss Outlook Web Access die Mitgliedschaft der Verteilerliste erweitern, um das Verschlüsselungszertifikat jedes einzelnen Empfängers für den Verschlüsselungsvorgang abzurufen. Die dafür erforderliche Zeit ist von der Größe der Verteilerliste und der Leistung der zugrunde liegenden Active Directory-Infrastruktur abhängig. Während der Erweiterung der Verteilerliste erhält der Absender keine Rückmeldung von Outlook Web Access. Durch diesen Timeoutwert wird festgelegt, wie lange Outlook Web Access auf die Erweiterung der gesamten Verteilerliste wartet. Wird der Vorgang nicht innerhalb der angegebenen Zeit abgeschlossen, führt dies zum Abbruch, und die E-Mail wird nicht gesendet. Dieser Timeoutwert gilt für jede Verteilerliste einzeln. Beim Senden einer E-Mail an mehrere Verteilerlisten wird dieser Timeoutwert nacheinander auf jede der Verteilerlisten angewendet. Wenn eine E-Mail beispielsweise an drei Verteilerlisten gesendet wird und der Timeoutwert jeder Verteilerliste 60 Sekunden beträgt, kann der gesamte Vorgang nicht länger als 180 Sekunden dauern.

Diese Einstellung steht außerdem im Zusammenhang mit den globalen und benutzerspezifischen Empfängerbeschränkungen, die weiter unten in diesem Thema erläutert werden. Während im Wert DLExpansionTimeout die Grenze für die jeweilige Verteilerliste angegeben ist, wird durch die Einstellungen für die Empfängerbeschränkungen eine Grenze für die Gesamtanzahl von Empfängern festgelegt, deren Verschlüsselungszertifikate Outlook Web Access für jede E-Mail von Active Directory abruft.

Wenn beispielsweise die globale Beschränkung der Empfängeranzahl 500 beträgt, wird jede der Verteilerlisten nacheinander erweitert. Sobald die Erweiterung einer beliebigen individuellen Verteilerliste den Timeoutwert überschreitet, schlägt der Vorgang fehl. Darüber hinaus schlägt der Vorgang ebenfalls fehl, wenn die Gesamtanzahl von Empfängern für alle Verteilerlisten die Beschränkung der Empfängeranzahl überschreitet. Die E-Mail-Nachrichten werden in beiden Fällen nicht gesendet.

  • Standard: 60000 (60 Sekunden)
  • Minimum: 0 (sperrt das Senden von verschlüsselten E-Mail-Nachrichten an Verteilerlisten)
  • Maximum: 2147483647 (kein Timeout, Outlook Web Access wartet ohne zeitliche Begrenzung, bis die Verteilerliste erweitert wurde)

CertMatchingDoNotUseProxies (DWord)

Beim Senden von verschlüsselten E-Mail-Nachrichten versucht Outlook Web Access das richtige Zertifikat für den Empfänger in Active Directory zu finden. Die Werte für den Inhaber des Zertifikats oder für alternative Namen können jeweils als einen Wert eine SMTP-Adresse (Simple Mail Transfer Protocol) enthalten. Da ein Empfänger über mehrere SMTP-Proxyadressen im Verzeichnis verfügen kann, stimmen der Antragsteller des Zertifikats oder die alternativen Namen ggf. nicht mit der primären SMTP-Adresse überein. Möglicherweise stimmen sie stattdessen mit einer der Proxyadressen überein. Wird der Schlüssel CertMatchingDoNotUseProxies auf true festgelegt, überprüft Outlook Web Access den Antragsteller des Zertifikats nicht auf Übereinstimmung mit den SMTP-Proxyadressen, wenn der Antragsteller des Zertifikats oder die alternativen Namen nicht mit der ursprünglichen SMTP-Adresse übereinstimmen.

  • Standard = False (0)
  • Möglicher anderer Wert = 1 (True)

RevocationURLRetrievalTimeout (DWord)

Mit dem Schlüssel RevocationURLRetrievalTimeout wird die Zeit in Millisekunden festgelegt, die Outlook Web Access beim Verbinden wartet, um im Rahmen der Zertifikatsüberprüfung eine einzelne CRL abzurufen.

Zum Überprüfen eines Zertifikats muss die CRL der Zertifizierungsstelle (CA, Certification Authority) von einem CRL-Verteilerpunkt abgerufen werden, der innerhalb des Zertifikats angegeben ist. Dieser Vorgang muss für jedes Zertifikat in der gesamten Zertifikatkette vorgenommen werden.

Durch diesen Schlüssel wird festgelegt, wie lange Outlook Web Access beim Verbinden wartet, um eine einzelne CRL abzurufen. Wenn mehrere CRLs abgerufen werden müssen, wird dieser Schlüssel einzeln für jede Verbindung angewendet. Wenn beispielsweise drei CRLs abgerufen werden sollen und der Timeoutwert auf 60 Sekunden gesetzt ist, gilt für jeden CRL-Abrufvorgang ein Timeoutwert von 60 Sekunden. Wenn die CRL nicht innerhalb des angegebenen Timeoutwerts abgerufen werden kann, wird der Vorgang abgebrochen.

  • Standard: 60000 (60 Sekunden)
  • Minimum: 5000 (5 Sekunden)
  • Maximum: 600000 (10 Minuten)

CertURLRetrievalTimeout (DWord)

Der Schlüssel CertURLRetrievalTimeout ist dem Schlüssel RevocationURLRetrievalTimeout ähnlich. Hier wird jedoch die Zeit in Millisekunden festgelegt, die Outlook Web Access beim Verbinden wartet, um für die Überprüfung des Zertifikats alle CRLs abzurufen. Wenn innerhalb des angegebenen Timeoutwerts nicht alle CRLs abgerufen werden können, schlägt der Vorgang fehl.

Für die Einstellung dieses Werts ist es wichtig, dass beim Vorgang einer Zertifikatsüberprüfung der Wert RevocationURLRetrievalTimeout auf jeden einzelnen CRL-Abruf angewendet wird und der CertURLRetrievalTimeout auf den gesamten Vorgang des Abrufs aller CRLs. Wenn beispielsweise drei CRLs abgerufen werden sollen und der Wert RevocationURLRetrievalTimeout auf 60 Sekunden und der Wert CertURLRetrievalTimeout auf 120 Sekunden gesetzt wurden, gilt für jeden einzelnen CRL-Abruf ein Timeoutwert von 60 Sekunden, und für den gesamten Vorgang gilt ein Timeoutwert von 120 Sekunden. Wenn in diesem Beispiel einer der CRL-Abrufvorgänge länger als 60 Sekunden dauert, schlägt der Vorgang fehl. Wenn alle CRL-Abrufvorgänge zusammen mehr als 120 Sekunden dauern, schlägt der Vorgang ebenfalls fehl.

  • Standard: 60000 (60 Sekunden)
  • Minimum: 0
  • Maximum: 600000 (10 Minuten)

DisableCRLCheck (DWord)

Wenn DisableCRLCheck auf true festgelegt wurde, werden bei der Zertifikatüberprüfung keine CRLs überprüft. Durch das Deaktivieren der CRL-Prüfung kann beim Überprüfen der Signaturen für signierte E-Mail-Nachrichten die Antwortzeit verkürzt werden. Widerrufene E-Mail-Nachrichten, die mit widerrufenen Zertifikaten signiert wurden, werden hierbei jedoch als gültig und nicht als ungültig angezeigt.

  • Standard = 0 (False)
  • Möglicher anderer Wert = 1 (True)

AlwaysSign (DWord)

Wenn AlwaysSign auf true festgelegt ist, müssen E-Mail-Nachrichten beim Verwenden von Outlook Web Access mit S/MIME-Steuerelement vom Benutzer signiert werden. Zusätzlich wird auf der Seite Optionen im Abschnitt E-Mail-Sicherheit die Option Digitale Signatur zu ausgehenden Nachrichten hinzufügen als aktiviert angezeigt.

Standard = 0 (False)

Möglicher anderer Wert = 1 (True)

AlwaysEncrypt (DWord)

Wenn AlwaysEncrypt auf true festgelegt ist, müssen E-Mail-Nachrichten beim Verwenden von Outlook Web Access mit S/MIME-Steuerelement vom Benutzer verschlüsselt werden. Zusätzlich wird auf der Seite Optionen im Abschnitt E-Mail-Sicherheit die Option Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln als aktiviert angezeigt.

  • Standard = 0 (False)
  • Möglicher anderer Wert = 1 (True)

ClearSign (DWord)

Wenn ClearSign auf true festgelegt ist, muss jede von Outlook Web Access gesendete E-Mail unverschlüsselt signiert sein. Die Standardeinstellung für diesen Schlüssel ist true. Wird dieser Wert auf false gesetzt, wird von Outlook Web Access eine verschlüsselte Signatur verwendet. Unverschlüsselt signierte E-Mail-Nachrichten haben den Vorteil, dass sie mit den meisten E-Mail-Clients geöffnet und gelesen werden können, auch von solchen, die S/MIME nicht unterstützen.

  • Standard = 1 (True)
  • Möglicher anderer Wert = 0 (False)

SecurityFlags (DWord)

Bei dem Schlüssel SecurityFlags handelt es sich um eine Bitmaske, mit der Funktionen von Outlook Web Access S/MIME aktiviert oder deaktiviert werden. Wenn dieser Schlüssel auf den Wert einer bestimmten Funktion gesetzt wird, führt dies zum Aktivieren der entsprechenden Funktion. Um mehrere Funktionen zu aktivieren, addieren Sie die Werte aller zu aktivierenden Funktionen, und geben Sie die Summe in den Schlüssel ein. Wenn Outlook Web Access mit S/MIME-Steuerelement zum Beispiel die Zertifikatkette ohne das Stammzertifikat (0x001) und nur mit dem Signaturzertifikat (0x008) einbinden soll, addieren Sie die beiden Werte (0x001 + 0x008), und geben Sie die Summe (0x009) ein. In der folgenden Tabelle werden die Werte aufgeführt, die im Schlüssel SecurityFlags gesetzt werden können.

In der Standardeinstellung sind alle Funktionen deaktiviert.

Werte für „SecurityFlags“

Wert Beschreibung

0x001

Zertifikatkette ohne Stammzertifikat einschließen. In der Standardeinstellung bindet Outlook Web Access beim Senden von signierten oder verschlüsselten E-Mail-Nachrichten nur Signatur- und Verschlüsselungszertifikate und nicht die entsprechenden Zertifikatketten ein. Diese Option kann für die Zusammenarbeit mit anderen Clients erforderlich sein, wenn in einer Umgebung Zwischenzertifizierungsstellen weder mithilfe des Attributs für den Zugriff auf Stelleninformationen erreicht werden können, noch durch das Festlegen der Zwischenzertifizierungsstelle im Computerkonto des Exchange-Back-End-Servers als vertrauenswürdig. Mit dieser Einstellung wird die gesamte Zertifikatkette mit Ausnahme des Stammzertifikats eingeschlossen.

Durch diese Einstellung wird die Größe signierter und verschlüsselter Nachrichten erhöht.

0x002

Zertifikatkette und Stammzertifikat einschließen. Diese Einstellung ist ähnlich der Einstellung Zertifikatkette ohne Stammzertifikat einschließen, es wird jedoch zusätzlich zur gesamten Zertifikatkette das Stammzertifikat eingeschlossen. Bei einigen E-Mail-Clients sind zum ordnungsgemäßen Überprüfen von Zertifikaten die gesamte Zertifikatkette und das Stammzertifikat erforderlich. Durch diese Einstellung wird die Größe signierter und verschlüsselter Nachrichten stärker als mit der Einstellung Zertifikatkette ohne Stammzertifikat einschließen erhöht.

0x004

Temporäre Puffer nicht verschlüsseln. In der Standardeinstellung werden alle clientseitigen Puffer, in denen Nachrichtendaten gespeichert werden, mithilfe eines temporären Schlüssels und des 3DES-Algorithmus verschlüsselt. Mit dieser Einstellung wird diese Funktion deaktiviert. Durch die Deaktivierung des Verschlüsselns der Puffer kann die Leistung des Outlook Web Access-Clients erhöht werden, es bleiben jedoch im Puffer des lokalen Systems auch unverschlüsselte Informationen zurück. Beachten Sie Ihre Sicherheitsrichtlinien, bevor Sie diese Funktion deaktivieren.

0x008

Signaturzertifikat nur bei signierten E-Mail-Nachrichten einschließen. In der Standardeinstellung schließt Outlook Web Access mit S/MIME-Steuerelement in signierten E-Mail-Nachrichten sowohl Signatur- als auch Verschlüsselungszertifikate ein. Wenn diese Einstellung aktiviert ist, verringert sich die Größe der von Outlook Web Access mit S/MIME-Steuerelement gesendeten Nachrichten. Der Empfänger hat jedoch mit der erhaltenen Nachricht keinen Zugriff auf das Verschlüsselungszertifikat des Absenders und muss dieses auf anderem Wege abrufen. Dies ist aus einem Verzeichnis (sofern möglich die bevorzugte Methode) oder direkt vom Absender möglich.

0x040

Getrennte Einzelnachrichten für sichtbare Empfänger und unsichtbare Empfänger. In der Standardeinstellung sendet Outlook Web Access mit S/MIME-Steuerelement eine verschlüsselte Nachricht an alle sichtbaren Empfänger (die in den Zeilen To und Cc) und eine getrennte verschlüsselte Nachricht an jeden unsichtbaren Empfänger (in der Zeile Bcc). Durch diese Methode können die Nachrichten an unsichtbare Empfänger und die an sichtbare oder andere unsichtbare Empfänger getrennt behandelt werden. Wenn eine Nachricht z. B. an einen Empfänger in der Zeile To, an zwei Empfänger in der Zeile Cc und an drei Empfänger in der Zeile Bcc gesendet wird, werden vier getrennte Nachrichten gesendet:eine für alle Empfänger in den Zeilen To und Cc und jeweils eine einzelne für jeden Empfänger in der Zeile Bcc.

Durch das Aktivieren dieser Einstellung wird eine verschlüsselte Nachricht an alle sichtbaren Empfänger gesendet (die in den Zeilen To und Cc) und eine zusätzliche an jeden unsichtbaren Empfänger (in der Zeile Bcc). Mit dieser Einstellung kann eine Nachricht an unsichtbare Empfänger unabhängig von der an sichtbare Empfänger gesendeten behandelt werden. Wenn in diesem Beispiel diese Einstellung aktiviert ist, werden zwei getrennte Nachrichten gesendet: Eine für alle Empfänger in den Zeilen To und Cc und eine für alle Empfänger in der Zeile Bcc.

Durch diese Einstellung wird die Leistung im Vergleich zur Standardeinstellung verbessert, das Sicherheits- und Datenschutzverhalten von Outlook Web Access wird jedoch geändert. Beachten Sie die Sicherheitsrichtlinien Ihrer Organisation, bevor Sie diese Funktion deaktivieren.

0x080

Eine einzige verschlüsselte Nachricht für alle Empfänger. Dieser Wert ist der Einstellung Getrennte Einzelnachrichten für sichtbare Empfänger und unsichtbare Empfänger ähnlich. Wenn diese Einstellung aktiviert ist, sendet Outlook Web Access jedoch eine einzige verschlüsselte Nachricht an alle Empfänger dieser Nachricht. Mit der unter Getrennte Einzelnachrichten für sichtbare Empfänger und unsichtbare Empfänger angegebenen Beispielkonfiguration wird hier nur eine Nachricht an alle Empfänger in den Zeilen To, Cc und Bcc gesendet.

Durch diese Einstellung wird die Leistung im Vergleich zur Standardeinstellung verbessert, das Sicherheits- und Datenschutzverhalten von Outlook Web Access wird jedoch geändert. Beachten Sie die Sicherheitsrichtlinien Ihrer Organisation, bevor Sie diese Funktion deaktivieren.

0x100

S/MIME-Informationen in Nachricht einschließen. Wenn diese Einstellung aktiviert ist, fügt Outlook Web Access signierten und verschlüsselten Nachrichten Attribute hinzu, durch die angegeben wird, welche Verschlüsselungs- und Signaturalgorithmen und welche Schlüssellängen unterstützt werden. Mit dem Aktivieren dieser Option wird die Größe der Nachrichten erhöht, jedoch wird die Zusammenarbeit mit Outlook Web Access für einige E-Mail-Clients vereinfacht.

0x200

Empfängerkopfzeilen kopieren. Wenn diese Option aktiviert ist, wird eine Kopie der Zeilen From, To und Cc im signierten Teil der Nachricht eingeschlossen. Durch die Einbindung dieser Information kann der Empfänger überprüfen, ob die Kopfzeilen während des Sendens der Nachricht manipuliert wurden. Mit dem Aktivieren dieser Funktion wird die Größe der Nachricht erhöht.

SmartCardOnly (DWord)

Wenn SmartCardOnly auf true festgelegt ist, müssen für Outlook Web Access mit S/MIME-Steuerelement zum Signieren und Verschlüsseln Smartcard-Zertifikate verwendet werden. Zertifikate, die sich nicht auf einer Smartcard befinden, können nicht verwendet werden.

  • Standard = 0 (False)
  • Möglicher anderer Wert = 1 (True)

TripleWrap (DWord)

Wenn der Schlüssel TripleWrap auf true festgelegt ist, werden signierte verschlüsselte Nachrichten dreifach verschlüsselt („triple-wrapped“). Dies bedeutet, dass die signierte Nachricht verschlüsselt und anschließend erneut signiert wird (signieren-verschlüsseln-signieren). Wenn der Schlüssel auf false gesetzt ist, wird die signierte Nachricht lediglich verschlüsselt (es findet keine zusätzliche Signatur der verschlüsselten Nachricht statt). In der Standardeinstellung ist der Schlüssel auf true gesetzt. Dreifach verschlüsselte Nachrichten bieten den höchsten Sicherheitsstandard für signierte und verschlüsselte E-Mail-Nachrichten unter dem S/MIME-Standard, weisen jedoch einen größeren Umfang auf.

  • Standard = 1 (True)
  • Möglicher anderer Wert = 0 (False)

EncryptionAlgorithms (Reg_SZ)

Der Schlüssel EncryptionAlgorithms enthält eine durch Semikolons getrennte Liste der symmetrischen Verschlüsselungsalgorithmen, die beim Verschlüsseln von Nachrichten mit Outlook Web Access mit S/MIME-Steuerelement verwendet werden sollen. Zusätzlich kann für CSP-Drittanbieter (Cryptographic Service Provider, Kryptografiedienstanbieter) auch die Objekt-ID (auch OID, Object Identifier) des CSP angegeben werden. Bei der Verwendung eines Schlüssels mit mehreren möglichen Schlüssellängen muss diese angegeben werden. RC2 ist der einzige von Outlook Web Access bereitgestellte Schlüssel, bei dem mehrere Schlüssellängen möglich sind.

In der Standardeinstellung verwendet Outlook Web Access 3DES und RC2-128. Wenn der Verschlüsselungsalgorithmus oder die minimale Schlüssellänge auf dem aktuellen Client nicht verfügbar ist, ist die Verschlüsselung mit Outlook Web Access nicht möglich. In der folgenden Tabelle werden die Verschlüsselungsalgorithmen, die entsprechenden Algorithmus-IDs sowie die unterstützten Schlüssellängen aufgeführt.

  • Format: {Algorithmus-ID}[:zu verwendende Schlüssellänge]|[,OID eines Kryptografiedienstanbieters, der die Algorithmus-ID unterstützt]; {Algorithmus-ID}[:zu verwendende Schlüssellänge]|[,OID eines Kryptografiedienstanbieters, der die Algorithmus-ID unterstützt]

Algorithmen, Algorithmus-IDs und Schlüssellängen

Algorithmus Algorithmus-ID Schlüssellängen

RC2

6602

40, 56, 64, 128

DES

6601

56 (feste Schlüssellänge)

3DES

6603

168 (feste Schlüssellänge)

Für jede gewünschte Schlüssellänge ist ein getrennter Eintrag erforderlich. Beispielsweise lautet der Wert EncryptionAlgorithms für die Unterstützung von RC2 mit 40 Bit und RC2 mit 56 Bit: 6602:56;6602:40.

Die Werte des Registrierungsschlüssels sollten von der längsten zur kürzesten Schlüssellänge geordnet sein, da durch die Reihenfolge die Priorität der Verwendung festgelegt wird. Beispiel: Für die Liste 3DES, RC2-128, RC2-64, DES, RC2-56 und RC2-40 geben Sie den Wert folgendermaßen ein:

6603;6602:128;6602:64;6601;6602:56;6602:40

  • Standardwerte: 6603 (3DES); 6602:128 (RC2-128)

DefaultSigningAlgorithm (Reg_SZ)

Durch den Schlüssel DefaultSigningAlgorithm werden die Signaturalgorithmen festgelegt, die zum Signieren von Nachrichten mit Outlook Web Access mit S/MIME-Steuerelement verwendet werden. In der folgenden Tabelle werden die Verschlüsselungsalgorithmen, die entsprechenden Algorithmus-IDs sowie die unterstützten Schlüssellängen aufgeführt.

  • Format: {Algorithmus-ID}

Algorithmen, Algorithmus-IDs und Schlüssellängen

Algorithmus Algorithmus-ID Schlüssellängen

SHA-1

8004

160 (feste Schlüssellänge)

MD5

8003

128 (feste Schlüssellänge)
  • Standard: 8004 (SHA-1)

UseKeyIdentifier (DWord)

In der Standardeinstellung codiert Outlook Web Access beim Verschlüsseln von E-Mail-Nachrichten das asymmetrisch verschlüsselte Token (auch als Lockbox bezeichnet). Dieses ist zum Entschlüsseln der restlichen Nachricht erforderlich, da hier der Aussteller und die Seriennummer für jedes Empfängerzertifikat angegeben sind. Aussteller und Seriennummer können anschließend für die Erkennung des Zertifikats und des privaten Schlüssels zum Entschlüsseln der Nachricht verwendet werden.

Eine weitere Möglichkeit für die Erkennung des Zertifikats und des privaten Schlüssels zum Entschlüsseln von Nachrichten besteht darin, das asymmetrisch verschlüsselte Token mit einer Schlüssel-ID für das Zertifikat zu codieren. Da eine Schlüsselkombination in neuen Zertifikaten wieder eingesetzt werden kann, bietet die Verwendung der Schlüssel-ID zum Verschlüsseln von E-Mail-Nachrichten den Vorteil, dass Benutzer lediglich das aktuelle Zertifikat mit dem entsprechenden privaten Schlüssel aufbewahren müssen. Es ist nicht erforderlich, sämtliche alte Zertifikate aufzubewahren, die nur aufgrund von Aussteller und Seriennummer verglichen werden können.

Da einige E-Mail-Clients die Suche nach Zertifikaten über eine Schlüssel-ID nicht unterstützen, verwendet Outlook Web Access als Standard den Aussteller und die Seriennummer jedes Empfängerzertifikats. Durch das Aktivieren des Schlüssels UseKeyIdentifier wird die Verwaltung verschlüsselter Nachrichten jedoch möglicherweise vereinfacht, da die Benutzer alte, abgelaufene Zertifikate nicht mehr auf dem System aufbewahren müssen.

  • Standard = 0 (False)
  • Möglicher anderer Wert = 1 (True)

Einstellungen für Active Directory

In diesem Abschnitt finden Sie Informationen über Einstellungen für Active Directory zum Konfigurieren von Outlook Web Access-Clients mit dem S/MIME-Steuerelement (Secure/Multipurpose Internet Mail Extensions).

Empfängerbeschränkungen

Empfängerbeschränkungen werden in Active Directory gespeichert. Mit ihnen wird die Anzahl von Empfängern beschränkt, deren Verschlüsselungszertifikate Outlook Web Access für jede gesendete E-Mail-Nachricht von Active Directory abruft. Diese Einstellungen funktionieren im Zusammenhang mit dem Registrierungsschlüssel DLExpansionTimeout. Weitere Informationen über den Registrierungsschlüssel DLExpansionTimeout finden Sie weiter oben in diesem Thema unter „DLExpansionTimeout (DWord)“.

Empfängerbeschränkungen werden sowohl in der globalen Organisation als auch auf Benutzerebene festgelegt. Die Einstellung auf Benutzerebene hat Vorrang und setzt die globale Einstellung außer Kraft. Ausführliche Arbeitsschritte finden Sie unter: