与 Outlook Web Access S/MIME 控件相关的设置

  • 项目

 

上一次修改主题: 2005-05-19

注册表项

本主题包含有关注册表设置的信息,可以使用这些设置来配置使用安全/多用途 Internet 邮件扩展 (S/MIME) 控件的 Microsoft® Office Outlook® Web Access 客户端。这些设置适用于包含用户收件箱的 Exchange 服务器。在前端和后端体系结构中,此服务器将是后端服务器。所有注册表项均添加在下面这一项中:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWeb\OWA\

默认情况下,此项不存在,必须在添加其他注册表项之前添加。若要添加注册表项,必须使用作为系统的 Local Administrators 组成员的帐户。除非在特定项中特别注明,否则注册表的更改会在更改后一分钟内生效。

note注意:
错误地编辑注册表可能导致严重的问题,甚至可能需要重新安装操作系统。因注册表编辑不当而导致的问题可能无法解决。在编辑注册表之前,请备份所有重要数据。

CheckCRL (DWord)

默认情况下(CheckCRL 设置为 False),当发送经过签名的或加密的电子邮件时,如果在吊销验证时不能访问发件人的证书链中的证书吊销列表 (CRL) 分发点,则 Outlook Web Access 会显示一个警告对话框:不能验证此证书,但允许发送电子邮件。

如果此项设置为 True,则 Outlook Web Access 会显示一个无法验证证书的警告对话框,并阻止电子邮件发送。

  • 默认值 = 0 (False)
  • 其他 = 1 (True)

DLExpansionTimeout (DWord)

发送加密电子邮件时,DLExpansionTimeout 的值可控制展开 Active Directory® 目录服务通讯组列表的超时期限(毫秒)。

当用户将加密电子邮件发送到通讯组列表时,Outlook Web Access 必须展开通讯组列表的成员,以检索要在加密操作中使用的每个单独收件人的加密证书。此操作所需的时间因通讯组列表的大小和基本 Active Directory 基础结构的性能而异。展开通讯组列表时,发件人不会收到来自 Outlook Web Access 的响应。此超时值指定 Outlook Web Access 等待整个通讯组列表展开的时间。如果在此值指定的时间内未完成操作,操作将失败,并且不发送电子邮件。此超时值是在每个通讯组列表的基础上应用的。如果电子邮件发送到多个通讯组列表,此超时值将按顺序应用于每个通讯组列表。例如,如果电子邮件发送到三个通讯组列表,每个通讯组列表的超时值为 60 秒,则整个操作的时间不能超过 180 秒。

此设置还与全局收件人限制和每用户收件人限制进行交互,本主题稍后将讨论此操作。在 DLExpansionTimeout 的值提供每通讯组列表限制的情况下,收件人限制设置将提供对每个电子邮件的收件人总数(Outlook Web Access 将从 Active Directory 检索这些收件人的加密证书)的限制。

使用前面的示例,如果全局收件人的限制是 500 个收件人,将按顺序展开每个通讯组列表。如果任何一个通讯组列表的展开时间超过了超时值,则操作失败。另外,如果所有通讯组列表的收件人总数超出了收件人限制,则操作失败,将不发送电子邮件。

  • 默认值:60000(60 秒)
  • 最小值:0(禁止将加密电子邮件发送到通讯组列表)
  • 最大值:2147483647(没有超时值,无论多久,Outlook Web Access 将一直等待,直到展开通讯组列表)

CertMatchingDoNotUseProxies (DWord)

Outlook Web Access 在发送加密电子邮件时试图在 Active Directory 中找到正确的收件人证书。证书使用者或使用者备用名称值都可以包含简单邮件传输协议 (SMTP) 地址,将其作为它的一个值。由于收件人可以在目录中拥有多个 SMTP 代理地址,因此,证书使用者或使用者备用名称可能与主 SMTP 地址不匹配,而有可能与代理地址之一匹配。将 CertMatchingDoNotUseProxies 项设置为 True 时,如果证书使用者或使用者备用名称值与主 SMTP 地址不匹配,Outlook Web Access 不会尝试将证书的使用者与 SMTP 代理地址相匹配。

  • 默认值 = False (0)
  • 其他 = True (1)

RevocationURLRetrievalTimeout (DWord)

RevocationURLRetrievalTimeout 项用于指定在证书验证操作过程中进行连接以检索单个 CRL 时,Outlook Web Access 将等待的时间(毫秒)。

对证书进行验证需要从证书中指定的 CRL 分发点检索证书颁发机构 (CA) 的 CRL。必须对整个证书链中的每个证书执行此操作。

此注册表项用于指定在进行连接以检索单个 CRL 时,Outlook Web Access 应该等待的时间。当必须检索多个 CRL 时,此注册表项将单独应用到每个连接。例如,如果必须检索三个 CRL 且超时值设置为 60 秒,则每个 CRL 检索操作的超时值均为 60 秒。如果在指定的超时值之前检索不到 CRL,则操作将失败。

  • 默认值:60000(60 秒)
  • 最小值:5000(5 秒)
  • 最大值:600000(10 分钟)

CertURLRetrievalTimeout (DWord)

CertURLRetrievalTimeout 项与 RevocationURLRetrievalTimeout 相似,但用于指定在验证证书的过程中进行连接以检索所有 CRL 时,Outlook Web Access 将等待的时间(毫秒)。如果在指定的超时值之前检索不到所有 CRL,操作将失败。

设置此值时的要点是,在证书验证操作中,将 RevocationURLRetrievalTimeout 应用于每个单独的 CRL 检索,而将 CertURLRetrievalTimeout 应用于所有 CRL 检索的总体操作。例如,如果必须检索三个 CRL,并且将 RevocationURLRetrievalTimeout 设置为 60 秒,将 CertURLRetrievalTimeout 设置为 120 秒,则每个单独 CRL 检索操作的超时值为 60 秒,而总体操作的超时值为 120 秒。在此例中,如果任何单独的 CRL 检索时间超过 60 秒,则操作将失败。另外,如果所有 CRL 检索时间超过 120 秒,则操作将失败。

  • 默认值:60000(60 秒)
  • 最小值: 0
  • 最大值:600000(10 分钟)

DisableCRLCheck (DWord)

DisableCRLCheck 设置为 True 时,此项用于禁止在验证证书时检查 CRL。禁用 CRL 检查可能增加对已签名的电子邮件进行签名验证的响应时间,但是,它也会将带有已吊销的证书所签署的已吊销的电子邮件显示为有效(而不是无效)。

  • 默认值 = 0 (False)
  • 其他 = 1 (True)

AlwaysSign (DWord)

AlwaysSign 设置为 True 时,此项强制用户在使用带有 S/MIME 控件的 Outlook Web Access 时对电子邮件进行签名。另外,“选项”页的“邮件安全性”部分会将“给待发邮件添加数字签名”选项显示为已选中。

默认值 = 0 (False)

其他 = 1 (True)

AlwaysEncrypt (DWord)

AlwaysEncrypt 设置为 True 时,此项强制用户在使用带有 S/MIME 控件的 Outlook Web Access 时对电子邮件进行加密。另外,“选项”页的“邮件安全性”部分会将“加密待发邮件的内容和附件”选项显示为已选中。

  • 默认值 = 0 (False)
  • 其他 = 1 (True)

ClearSign (DWord)

ClearSign 设置为 True 时,此项将强制对 Outlook Web Access 发出的任何已签名的电子邮件进行明文签名。此项的默认设置为 True。将此项设置为 False 会导致 Outlook Web Access 使用不透明签名。经过明文签名的电子邮件的优点是:可以使用大多数电子邮件客户端(包括不支持 S/MIME 的客户端)打开和阅读它们。

  • 默认值 = 1 (True)
  • 其他 = 0 (False)

SecurityFlags (DWord)

SecurityFlags 项是用来启用或禁用 Outlook Web Access S/MIME 功能的位掩码。如果将此项设置为特定功能的值,则可以启用每个功能。若要启用多个功能,请将要启用的每个功能的值相加,然后在此项中输入总和。例如,为了使带有 S/MIME 控件的 Outlook Web Access 包括不带根证书 (0x001) 和只带签名证书 (0x008) 的证书链,请将两个值相加 (0x001 + 0x008),然后输入总和 (0x009)。下表列出了可以对 SecurityFlags 项设置的值。

默认情况下,禁用所有这些功能。

SecurityFlags 值和描述

描述

0x001

包括不带根证书的证书链。Outlook Web Access 的默认行为是在发送经过签名或加密的电子邮件时,只包括签名和加密证书,而不包括它们的对应证书链。在通过使用颁发机构信息访问属性,或者通过拥有 Exchange 后端服务器的计算机帐户中的可信中间 CA 无法访问中间证书颁发机构 (CA) 的情况下,与其他客户端进行互操作时必须使用此选项。此设置包括整个证书链(根证书除外)。

此设置增加了已签名和加密的邮件的大小。

0x002

包括证书链和根证书。此设置与“包括不带根证书的证书链”设置相似,但除了包括整个证书链之外,它还包括根证书。某些电子邮件客户端要求整个证书链和根证书都能够正确验证证书。此设置将已签名和加密的邮件大小增加到比 SecurityFlags 设置更大的值。

0x004

不对临时缓冲区进行加密。默认情况下,用于存储邮件数据的所有客户端临时缓冲区都使用临时密钥和 3DES 算法进行加密。此设置禁用该功能。禁止加密缓冲区可以改进 Outlook Web Access 客户端的性能,但也会在本地系统的缓冲区中保留未加密的信息。禁用此功能之前,请参考您的安全策略。

0x008

签名电子邮件只包括签名证书。默认情况下,带有 S/MIME 控件的 Outlook Web Access 将在签名电子邮件中包括签名和加密证书。当您禁用此设置时,从带有 S/MIME 控件的 Outlook Web Access 发送的邮件大小会减小。不过,收件人无法访问在所收到的邮件中的发件人加密证书,并且必须以另一种方法获取此证书,例如从目录中检索(如果可能,这是首选方法)或从发件人那里获取。

0x040

分开可见收件人和不可见收件人的单个邮件。默认情况下,带有 S/MIME 控件的 Outlook Web Access 为所有可见收件人(位于“收件人”和“抄送”行中)提交一份单个加密邮件,为每个不可见收件人(位于“密件抄送”行中)提交一份分开的加密邮件。通过此方法,发送给不可见收件人的每个邮件可以与发送给可见收件人或其他不可见收件人的邮件分开处理。例如,如果将邮件发送给“收件人”行中的一个收件人、“抄送”行中的两个收件人和“密件抄送”行中的三个收件人,则将提交四个单独邮件:向“收件人”或“抄送”行中的所有收件人合并发送一个邮件,而向“密件抄送”行中的每个收件人分别单独发送一个邮件。

启用此设置后,则为所有可见收件人(位于“收件人”和“抄送”行中)提交一个加密邮件,而为所有不可见收件人(位于“密件抄送”行中)提交另一个单个加密邮件。通过此设置,发送给不可见收件人的邮件可以与发送给可见收件人的邮件分开处理。在此例中,启用此设置后,将提交两个单独邮件:一个发送给“收件人”和“抄送”行中的所有收件人,另一个发送给“密件抄送”行中的所有收件人。

与默认设置相比,此设置提高了性能,但它更改了 Outlook Web Access 的安全和隐私行为。启用此设置之前,请参考您的组织的安全策略。

0x080

所有收件人的单一加密邮件。此值与“分开可见收件人和不可见收件人的单个邮件”相似。但是,当启用此设置时,Outlook Web Access 会为加密邮件的所有收件人提交单一加密邮件。使用“分开可见收件人和不可见收件人的单个邮件”中的示例,只为“收件人”、“抄送”和“密件抄送”行中的所有收件人提交一个邮件。

与默认设置相比,此设置提高了性能,但它更改了 Outlook Web Access 的安全和隐私行为。启用此设置之前,请参考您的组织的安全策略。

0x100

在邮件中包括 S/MIME 功能。如果启用此设置,当发送电子邮件时,Outlook Web Access 会将属性添加到已签名和加密的邮件中,以指明支持的加密和签名算法以及密钥长度。启用此选项会增加邮件大小,但是更便于一些电子邮件客户端与 Outlook Web Access 进行互操作。

0x200

复制收件人头信息。启用此选项后,将在邮件的签名部分中放入“发件人”、“收件人”和“抄送”收件人头的副本。通过包括此信息,收件人可以验证在邮件传输过程中这些头信息是否已被篡改。启用此功能将增加邮件大小。

SmartCardOnly (DWord)

SmartCardOnly 设置为 True 时,此项将强制在使用带有 S/MIME 控件的 Outlook Web Access 时,使用基于智能卡的证书进行签名和加密。用户必须使用智能卡上的证书。

  • 默认值 = 0 (False)
  • 其他 = 1 (True)

TripleWrap (DWord)

SmartCardOnly 项设置为 True 时,对经过签名的加密电子邮件进行三层包装。也就是说,对经过签名的邮件进行加密,然后再对此加密邮件进行签名(签名-加密-签名)。设置为 False 时,只加密经过签名的邮件(不再对此加密邮件进行附加签名)。默认情况下,此项设置为 True。三层包装邮件为经过签名和加密的电子邮件提供了 S/MIME 标准下的最高安全级别,但是增加了邮件大小。

  • 默认值 = 1 (True)
  • 其他 = 0 (False)

EncryptionAlgorithms (Reg_SZ)

EncryptionAlgorithms 项保存了一个以分号分隔的列表,此列表描述了使用带有 S/MIME 控件的 Outlook Web Access 对邮件进行加密时要使用的对称加密算法。另外,使用第三方加密服务提供程序 (CSP) 时,可以指定 CSP 的对象标识符(也称为 OID)。使用提供多个密钥长度的密钥时,必须指定密钥长度。RC2 是 Outlook Web Access 提供的唯一密钥,它提供了多个密钥长度。

默认情况下,Outlook Web Access 使用 3DES 和 RC2-128。如果在给定的客户端上加密算法或最小密钥长度不可用,Outlook Web Access 将不允许加密。下表描述了多种加密算法、它们的算法 ID 以及每个算法的受支持密钥长度。

  • 格式:{算法 ID}[:要使用的密钥长度]|[,支持算法 ID 的加密服务提供程序的 OID]; {算法 ID}[:要使用的密钥长度]|[,支持算法 ID 的加密服务提供程序的 OID]

算法、算法 ID 和密钥长度

算法 算法 ID 密钥长度

RC2

6602

40, 56, 64, 128

DES

6601

56(固定密钥长度)

3DES

6603

168(固定密钥长度)

每个想要的密钥长度都需要单独的条目。例如,若要支持 40 位 RC2 和 56 位 RC2,EncryptionAlgorithms 的值将是: 6602:56;6602:40.

注册表项的值的列出顺序应该是从最长密钥长度到最短密钥长度,因为此顺序反映了使用的优先级。例如,对于列表 3DES、RC2-128、RC2-64、DES、RC2-56 和 RC2-40,按下列方式键入值:

6603;6602:128;6602:64;6601;6602:56;6602:40

  • 默认值:6603 (3DES); 6602:128 (RC2-128)

DefaultSigningAlgorithm (Reg_SZ)

DefaultSigningAlgorithm 项用于指定使用带有 S/MIME 控件的 Outlook Web Access 对邮件进行签名时要使用的签名算法。下表描述了多种加密算法、它们的算法 ID 以及每个算法的受支持密钥长度。

  • 格式:{算法 ID}

算法、算法 ID 和密钥长度

算法 算法 ID 密钥长度

SHA-1

8004

160(固定密钥长度)

MD5

8003

128(固定密钥长度)
  • 默认值:8004 (SHA-1)

UseKeyIdentifier (DWord)

默认情况下,对电子邮件进行加密时,Outlook Web Access 通过指出每个收件人的证书的颁发者和序列号,对解密邮件剩余部分所需的非对称加密令牌(有时称为锁箱)进行编码。然后,可以使用颁发者和序列号查找证书和私钥,以进行邮件解密。

查找用于解密邮件的证书和私钥的另一种方法是在对非对称加密的令牌进行编码时,使用证书的密钥标识符。由于可以在新的证书中重新使用密钥对,因此对加密的电子邮件使用密钥标识符可以带来一个好处,因为用户只需要保留最新的证书和相关私钥(只需颁发者和序列号即可匹配),不用保留所有旧的证书。

由于某些电子邮件客户端不支持使用密钥标识符查找证书,因此默认情况下,Outlook Web Access 将使用每个收件人的证书的颁发者和序列号。但是,启用 UseKeyIdentifier 项可以使用户不必在系统上保留旧的、过期的证书,从而更便于管理加密的邮件。

  • 默认值 = 0 (False)
  • 其他 = 1 (True)

基于 Active Directory 的设置

此部分包含有关基于 Active Directory 的设置的信息,可以使用这些设置来配置使用安全/多用途 Internet 邮件扩展 (S/MIME) 控件的 Outlook Web Access 客户端的行为。

收件人限制

收件人限制存储在 Active Directory 中,对收件人(Outlook Web Access 将从 Active Directory 为所发送的每个电子邮件检索这些收件人的加密证书)的数量进行限制。这些设置与 DLExpansionTimeout 注册表项进行交互。有关 DLExpansionTimeout 注册表项的详细信息,请参阅本主题前面提到的“DLExpansionTimeout (DWord)”。

收件人限制是在全局组织和每用户基础上设置的。每用户设置具有优先权,将覆盖全局设置。有关详细步骤,请参阅