Outlook Web Access und S/MIME

  • Artikel

 

Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1

Letztes Änderungsdatum des Themas: 2007-08-17

Dieses Thema enthält eine Einführung in die Verwendung von S/MIME (Secure/Multipurpose Internet Mail Extensions) zum Sichern von Nachrichten. S/MIME-Unterstützung wurde in Microsoft Office Outlook Web Access mit Microsoft Exchange Server 2007 Service Pack 1 (SP1) wieder eingeführt.

Die Verwendung von S/MIME verhindert den Identitätswechsel sowie die Manipulation von E-Mail-Nachrichten in Outlook Web Access. S/MIME ermöglicht Benutzern die Verschlüsselung ausgehender Nachrichten und Anlagen, so dass ausschließlich vorgesehene Empfänger mit einer digitalen ID, auch bezeichnet als Zertifikat, diese Nachrichten lesen können. Mit S/MIME können Benutzer ausgehende Nachrichten auch digital signieren. Digital signierte Nachrichten ermöglichen dem Empfänger, die Identität des Absenders und somit die Echtheit der Nachricht zu überprüfen.

Benutzer müssen eine digitale ID aufweisen und das S/MIME-Steuerelement für Outlook Web Access installieren, bevor verschlüsselte und digital signierte Nachrichten mit Hilfe von Outlook Web Access gesendet werden können. Die gleichen Voraussetzungen gelten für das Lesen verschlüsselter Nachrichten in Outlook Web Access. Das S/MIME-Steuerelement wird für die Überprüfung der Signatur in einer digital signierten Nachricht benötigt.

Das S/MIME-Steuerelement für Outlook Web Access wird unter Verwendung der Outlook Web Access-Seite E-Mail-Sicherheit unter Optionen auf dem Computer eines Benutzers installiert. Nach dem Erhalt einer digitalen ID sowie der Installation des S/MIME-Steuerelements auf dem Computer kann der Benutzer S/MIME zum Sichern von E-Mail-Nachrichten verwenden.

Unterstützen von S/MIME

Zur Unterstützung von S/MIME in Ihrer Exchange-Organisation muss eine Infrastruktur öffentlicher Schlüssel (PKI, Public Key Infrastructure) erstellt werden.

Bei einer PKI (Public-Key-Infrastruktur) handelt es sich um ein System von digitalen Zertifikaten, Zertifizierungsstellen (Certification Authorities, CAs) und Registrierungsstellen (Registration Authorities, RAs), das zum Prüfen und Authentifizieren der Gültigkeit der an der elektronischen Transaktion beteiligten Parteien die Kryptografie mit öffentlichen Schlüsseln verwendet. Wenn Sie eine Zertifizierungsstelle in einer Organisation implementieren, in der der Active Directory-Verzeichnisdienst verwendet wird, stellen Sie eine Infrastruktur für Zertifikatlebenszyklus-Verwaltung, Erneuerungen, Vertrauensverwaltung und Sperrung zur Verfügung. Bei der Bereitstellung von Servern und der Infrastruktur zum Erstellen und Verwalten von Microsoft Windows PKI-generierten Zertifikaten entstehen jedoch zusätzliche Kosten.

Zertifikatdienste sind für die Bereitstellung einer Windows-PKI erforderlich und können über Software in der Systemsteuerung installiert werden. Zertifikatdienste können auf jedem Server in der Domäne installiert werden.

Wenn Sie Zertifikate von einer mit einer Domäne verbundenen Windows-Zertifizierungsstelle anfordern, können Sie über die Zertifizierungsstelle Zertifikate für die Server oder Computer im Netzwerk anfordern oder signieren. So können Sie eine PKI verwenden, die einem Zertifikatdrittanbieter ähnelt, aber weniger kostspielig ist. Obwohl diese PKI-Zertifikate nicht wie andere Zertifikattypen öffentlich bereitgestellt werden können, wird der Requestor überprüft, wenn eine PKI-Zertifizierungsstelle das Zertifikat des Requestors mithilfe des privaten Schlüssels signiert. Der öffentliche Schlüssel dieser Zertifizierungsstelle ist Bestandteil des Zertifikats. Ein Server, in dessen Informationsspeicher für vertrauenswürdige Stammzertifikate sich dieses Zertifikat befindet, kann den öffentlichen Schlüssel zum Entschlüsseln des Requestorzertifikats verwenden und den Requestor authentifizieren.

Eine PKI ermöglicht Organisationen, eigene Zertifikate zu veröffentlichen. Clients können Zertifikate von einer PKI im internen Netzwerk anfordern und erhalten. Die PKI kann Zertifikate erneuern oder widerrufen.

Anforderungen zur Unterstützung von S/MIME in Outlook Web Access

S/MIME wird in Outlook Web Access Premium unterstützt und setzt voraus, dass sich Benutzer unter Verwendung von Internet Explorer 7 an Outlook Web Access anmelden. Zusätzlich zu Internet Explorer 7 erfordert S/MIME die Verwendung von SSL (Secure Sockets Layer) im virtuellen Verzeichnis /owa.

Zusätzliche Features und Einschränkungen mit S/MIME

Bei Verwendung von S/MIME erhalten Benutzer zusätzliche Features, die in Outlook Web Access sonst nicht zur Verfügung stehen. Diese Features umfassen Folgendes:

  • Anhängen von Nachrichten an Nachrichten

  • Einfügen von Bildern in Nachrichten

  • Anhängen von Dateien mit Hilfe einer übersichtlicheren Oberfläche sowie mehrerer Dateien in einem einzelnen Vorgang

  • Bei der Verwendung von S/MIME gelten folgende Einschränkungen:

  • WebReady Document Viewing funktioniert ausschließlich in unverschlüsselt signierten Nachrichten. In verschlüsselten Nachrichten oder verschlüsselt signierten Nachrichten kann WebReady Document Viewing nicht verwendet werden.

  • Wenn bestimmte Inhaltstypen aus Outlook als S/MIME-Nachrichten gesendet werden, können diese in Outlook Web Access nicht angezeigt werden. Outlook Web Access blendet in diesem Fall ein Banner in der Nachrichtenkopfzeile ein.

  • Die meisten S/MIME-Features sind nicht verfügbar, wenn ein Benutzer einen Ordner in einem anderen Postfach öffnet oder zum Öffnen des Postfachs eines anderen Benutzers die explizite Anmeldung verwendet. Als einziges S/MIME-Feature steht in diesen Fällen die Überprüfung digitaler Signaturen zur Verfügung.

Weitere Informationen

Informationen zum Verwalten von S/MIME für Outlook Web Access finden Sie unter Verwalten von S/MIME für Outlook Web Access und Aktivieren oder Deaktivieren von S/MIME in Outlook Web Access.

Weitere Informationen zu Zertifikaten finden Sie unter Public-Key-Infrastruktur für Windows Server 2003.

Weitere Informationen zu bewährten Methoden zum Implementieren einer Windows PKI finden Sie unter Bewährte Methoden zum Implementieren einer Microsoft Windows Server 2003-Public-Key-Infrastruktur.

Weitere Informationen zum Bereitstellen einer Windows-PKI finden Sie im Betriebshandbuch für Windows Server 2003-PKI.