管理 Outlook Web App 的 S/MIME
适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3
上一次修改主题: 2016-11-28
可以在 Microsoft Exchange Server 2010 客户端访问服务器上编辑注册表,以便于管理 Outlook Web App 的安全/多用途 Internet 邮件扩展 (S/MIME) 的行为。
可以更改安装了客户端访问服务器角色的 Exchange 2010 服务器上的注册表,以控制 Outlook Web App 中 S/MIME 的行为。每个服务器上都进行了这些更改。如果拥有多个客户端访问服务器,且在所有客户端访问服务器上都需要相同的 S/MIME 行为,则必须对每个服务器做出相同的更改。对注册表中 S/MIME 设置的更改会立即生效,并将影响 Outlook Web App 用户下次使用 S/MIME 控件执行的任何操作。不必强制用户注销或重新启动任何服务。
若要了解与 Outlook Web App 安全性相关的其他管理任务,请查看管理 Outlook Web App 安全性。
先决条件
如果您对管理公匙基础结构 (PKI) 和证书不熟悉,建议从查看以下内容开始:Active Directory Certificate Services and Public Key Management(英文网页)。
S/MIME 控件设置
下表列出了可用于控制 Outlook Web App 中 S/MIME 控件行为的注册表设置的名称、可能值、默认值和行为。
发送时检查 CRL
Exchange 2010 值名称和类型 |
CheckCRLOnSend (DWORD) |
Exchange 2007 值名称和类型 |
CheckCRLOnSend (DWORD) |
Exchange 2003 值名称和类型 |
CheckCRL (DWORD) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
默认情况下,在发送签名或加密电子邮件时,如果在撤消验证期间不能访问发件人证书链中的证书撤消列表 (CRL) 分发点,则 Outlook Web App 将不会显示通知发件人证书无法验证的警告。而是允许发送电子邮件。 将 CheckCRLonSend 设置为 true 时,在发送签名或加密电子邮件时,如果撤消验证期间发件人证书链中的 CRL 分发点无法访问,则 Outlook Web App 将指示失败,并阻止发送电子邮件。 |
通讯组列表展开超时
Exchange 2010 值名称和类型 |
DLExpansionTimeout (DWORD) |
Exchange 2007 值名称和类型 |
DLExpansionTimeout (DWORD) |
Exchange 2003 值名称和类型 |
DLExpansionTimeout (DWORD) |
值和默认值 |
通讯组列表展开超时表示展开通讯组列表的请求超时前所经过的时间(以毫秒为单位)。默认值为 60000(60 秒)。最小值为 0。将 DLExpansionTimeout 设置为 0 会禁用将加密电子邮件发送到通讯组列表的功能。最大值为 2147483647。将 DLExpansionTimeout 设置为最大值时,没有通讯组列表展开超时,且 Outlook Web App 将等待直到展开通讯组列表,无论展开需要多长时间。 |
说明 |
该属性控制 Outlook Web App 在操作失败前发送加密电子邮件时等待 Active Directory 中的通讯组列表展开的时间(以毫秒为单位)。 将加密电子邮件发送到通讯组列表时,Outlook Web App 必须展开通讯组列表以检索每个收件人的加密证书,以便在加密操作中使用。该操作所需的时间因通讯组列表的大小以及基本 Active Directory 基础结构的性能而异。展开通讯组列表时,发件人不会从 Outlook Web App 收到响应。该属性指定 Outlook Web App 应该等待完整通讯组列表展开的时间。如果操作未在此值指定的时间内完成,则操作将失败,并且不会发送邮件。将发件人返回到撰写格式,其中将包括包含下列错误消息的信息栏。 操作无法完成。请重试。如果问题依然存在,请与组织的技术支持联系。 |
查找证书时使用辅助代理服务器
Exchange 2010 值名称和类型 |
UseSecondaryProxiesWhenFindingCertificates (DWORD) |
Exchange 2007 值名称和类型 |
UseSecondaryProxiesWhenFindingCertificates (DWORD) |
Exchange 2003 值名称和类型 |
CertMatchingDoNotUseProxies (DWORD) |
值和默认值 |
1=True(默认值)、0=False |
说明 |
发送加密电子邮件时,Outlook Web App 尝试在 Active Directory 中查找收件人的正确证书。证书主题名称或者主题备用名称的值可以包含一个 SMTP 地址,作为其中一个值。因为收件人在目录中可能会有多个 SMTP 代理地址,所以证书主题名称或者主题备用名称可能与主 SMTP 地址不匹配。而可能与其中一个代理地址匹配。 如果将 UseSecondaryProxiesWhenFindingCertificates 设置为 true,则 Outlook Web App 会将与收件人的主 SMTP 地址不匹配的证书接受为有效。如果将 UseSecondaryProxiesWhenFindingCertificates 设置为 false,则 Outlook Web App 仅将与收件人的主 SMTP 地址匹配的证书接受为有效。 |
CRL 连接超时
Exchange 2010 值名称和类型 |
CRLConnectionTimeout (DWORD) |
Exchange 2007 值名称和类型 |
CRLConnectionTimeout (DWORD) |
Exchange 2003 值名称和类型 |
RevocationURLRetrievalTimeout (DWORD) |
值和默认值 |
CRL 连接超时表示 CRL 连接请求超时前所经过的时间(以毫秒为单位)。默认值为 60000(60 秒)。最小值为 5000(5 秒)。可以指定最大值 2147483647。如果将 CRLConnectionTimeout 设置为最大值,则连接不会超时。 |
说明 |
CRL 连接超时指定进行连接以检索作为证书验证操作一部分的单个 CRL 时 Outlook Web App 将等待的时间(以毫秒为单位)。 验证证书需要从在证书中指定的 CRL 分发点检索证书颁发机构的 CRL。必须对完整证书链中的每个证书执行该操作。 必须检索多个 CRL 时,此密钥将应用到每个连接。例如,如果必须检索三个 CRL,且将 CRLConnectionTimeout 设置为 60 秒,则每个 CRL 检索操作将具有 60 秒的超时限制。如果在指定的超时限制之前未检索 CRL,则操作会失败。如果将 CRLConnectionTimeout 设置为小于 5000,则将使用默认值 (60000)。如果将 CRLConnectionTimeout 设置为最大值 2147483647,则连接不会超时。 |
CRL 检索超时
Exchange 2010 值名称和类型 |
CRLRetrievalTimeout (DWORD) |
Exchange 2007 值名称和类型 |
CRLRetrievalTimeout (DWORD) |
Exchange 2003 值名称和类型 |
CertURLRetrievalTimeout (DWORD) |
值和默认值 |
CRL 检索超时指定 Outlook Web App 进行连接以完成单个邮件的所有 CRL 的检索时将等待的时间(以毫秒为单位)。默认值为 10000(10 秒)。最小值为 0。最大值为 2147483647。 |
说明 |
该属性类似于 CRL 连接超时,但是它指定 Outlook Web App 验证证书时检索所有 CRL 将等待的时间(以毫秒为单位)。如果在指定的超时限制之前未检索所有 CRL,则操作会失败。 设置此值时,重要的是要记住,在证书验证操作中,CRL 连接超时被应用到每个 CRL 检索以及所有 CRL 检索的整个操作。例如,如果必须检索三个 CRL,并将 CRLConnectionTimeout 设置为 60 秒,将 CRLRetrievalTimeout 设置为 120 秒,则每个 CRL 检索操作都将具有 60 秒超时,整个操作将具有 120 秒超时。在本示例中,如果任何单个 CRL 检索需要 60 秒以上,则操作将失败。同样,如果所有 CRL 检索需要 120 秒以上,则操作将失败。 |
禁用 CRL 检查
Exchange 2010 值名称和类型 |
DisableCRLCheck (DWORD) |
Exchange 2007 值名称和类型 |
DisableCRLCheck (DWORD) |
Exchange 2003 值名称和类型 |
DisableCRLCheck (DWORD) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
设置为 true 时,DisableCRLCheck 会阻止在验证证书时检查 CRL。禁用 CRL 检查将增加验证签名电子邮件所需的时间。但是,它还会将使用吊销证书签名的吊销电子邮件显示为有效而非无效。 |
始终签名
Exchange 2010 值名称和类型 |
AlwaysSign (DWORD) |
Exchange 2007 值名称和类型 |
AlwaysSign (DWORD) |
Exchange 2003 值名称和类型 |
AlwaysSign (DWORD) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
设置为 true 时,当用户使用带有 S/MIME 控件的 Outlook Web App 时,AlwaysSign 将强制用户对电子邮件进行数字签名。此外,“选项”页和“邮件选项”对话框会将“发送签名电子邮件”选项显示为选中状态。 |
始终加密
Exchange 2010 值名称和类型 |
AlwaysEncrypt (DWORD) |
Exchange 2007 值名称和类型 |
AlwaysEncrypt (DWORD) |
Exchange 2003 值名称和类型 |
AlwaysEncrypt (DWORD) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
设置为 true 时,当用户使用带有 S/MIME 控件的 Outlook Web App 时,AlwaysEncrypt 将强制用户加密电子邮件。此外,“选项”页和“邮件选项”对话框会将“发送加密电子邮件”选项显示为选中状态。 |
透明签名
Exchange 2010 值名称和类型 |
ClearSign (DWORD) |
Exchange 2007 值名称和类型 |
ClearSign (DWORD) |
Exchange 2003 值名称和类型 |
ClearSign (DWORD) |
值和默认值 |
1=True(默认值)、0=False |
说明 |
设置为 true 时,ClearSign 会强制从 Outlook Web App 发送的数字签名电子邮件为透明签名。该属性的默认设置为 true。将该值设置为 false 将导致 Outlook Web App 使用不透明签名。透明签名电子邮件比不透明签名的签名大,但可以使用多数电子邮件客户端(包括不支持 S/MIME 的客户端)打开和阅读它们。 |
包含没有根证书的证书链
Exchange 2010 值名称和类型 |
IncludeCertificateChainWithoutRootCertificate (DWORD) |
Exchange 2007 值名称和类型 |
IncludeCertificateChainWithoutRootCertificate (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x001) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
发送签名或加密电子邮件时,Outlook Web App 的默认行为是只包括签名和加密证书,不包括相应的证书链。在与其他客户端交互时,或者使用 Authority Information Access 属性或在 Exchange 2010 邮箱服务器的计算机帐户中得到信任的中间 CA 无法联系中间证书颁发机构 (CA) 的环境下,必须使用此选项。将 IncludeCertificateChainWithoutRootCertificate 设置为 true 时,签名或加密电子邮件将包含除根证书之外的完整证书链。 该设置增加了签名和加密邮件的大小。 |
包含证书链和根
Exchange 2010 值名称和类型 |
IncludeCertificateChainAndRootCertificate (DWORD) |
Exchange 2007 值名称和类型 |
IncludeCertificateChainAndRootCertificate (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x002) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
包含证书链和根类似于包含没有根证书的证书链,但是,将其设置为 true 时,它会包含根证书和完整证书链。 设置为 true 时,IncludeCertificateChainAndRootCertificate 增加的签名和加密邮件的大小会超过 IncludeCertificateChainWithoutRootCertificate 所增加的大小。 |
加密临时缓冲区
Exchange 2010 值名称和类型 |
EncryptTemporaryBuffers (DWORD) |
Exchange 2007 值名称和类型 |
EncryptTemporaryBuffers (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x004) |
值和默认值 |
1=True(默认值)、0=False |
说明 |
默认情况下,用于存储邮件数据的所有客户端临时缓冲区通过使用短周期密钥和 3DES 算法加密。该设置可用于启用或禁用加密临时缓冲区。禁用缓冲区的加密可以提高 Outlook Web App 客户端的性能。但是,会使信息在本地系统的缓冲区中保持为未加密。禁用此功能之前,请查看组织的安全策略。 |
签名电子邮件证书内容
Exchange 2010 值名称和类型 |
SignedEmailCertificateInclusion (DWORD) |
Exchange 2007 值名称和类型 |
SignedEmailCertificateInclusion (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x008) |
值和默认值 |
1=True(默认值)、0=False |
说明 |
默认情况下,安装 S/MIME 控件的 Outlook Web App 会在签名电子邮件中包含签名和加密的证书。通过将 SignedEmailCertificateInclusion 设置为 false 禁用该设置时,从带有 S/MIME 控件的 Outlook Web App 发送的邮件的大小将减小。但是,收件人将不具有对接收邮件中发件人的加密证书的访问权限。他们必须以其他方式获得该证书,从目录中检索或从发件人处获取。 |
密件抄送加密电子邮件拆分
Exchange 2010 值名称和类型 |
BccEncryptedEmailForking (DWORD) |
Exchange 2007 值名称和类型 |
BccEncryptedEmailForking (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x040、0x080) |
值和默认值 |
0=每个密件抄送收件人一封加密邮件(默认值) 1=所有密件抄送收件人一封单独的加密邮件 2=不分开密件抄送的一封加密邮件 |
说明 |
默认情况下,Outlook Web App 将对加密邮件密件抄送行上的每个收件人提交单独的加密邮件。该选项为加密邮件的密件抄送收件人提供最高的安全性。通过更改 BccEncryptedEmailForking 的值,可以要求 Outlook Web App 为所有密件抄送收件人创建单个加密邮件,或为每个密件抄送收件人创建一个不带有单独邮件的加密邮件。 |
邮件中包含 S/MIME 功能
Exchange 2010 值名称和类型 |
IncludeSMIMECapabilitiesInMessage (DWORD) |
Exchange 2007 值名称和类型 |
IncludeSMIMECapabilitiesInMessage (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x100) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
IncludeSMIMECapabilitiesInMessage 设置为 true 时,Outlook Web App 会将属性添加到传出签名和加密邮件,这些邮件指示支持哪些加密和签名算法和密钥长度。 启用该属性将增加邮件的大小。但是,启用它可以使得某些电子邮件客户端易于与 Outlook Web App 交互。 |
复制收件人邮件头
Exchange 2010 值名称和类型 |
CopyRecipientHeaders (DWORD) |
Exchange 2007 值名称和类型 |
CopyRecipientHeaders (DWORD) |
Exchange 2003 值名称和类型 |
SecurityFlags(值 0x200) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
将其设置为 true 时,CopyRecipientHeaders 会把发件人、收件人和抄送收件人邮件头的副本放在该邮件的签名部分。这将允许收件人验证在发送邮件过程中邮件头没有被篡改。启用该功能会增加邮件大小。 |
仅用智能卡
Exchange 2010 值名称和类型 |
OnlyUseSmartCard (DWORD) |
Exchange 2007 值名称和类型 |
OnlyUseSmartCard (DWORD) |
Exchange 2003 值名称和类型 |
SmartCardOnly (DWORD) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
将其设置为 true 时,在使用带有 S/MIME 控件的 Outlook Web App 时,OnlyUseSmartCard 会强制对签名和加密使用基于智能卡的证书。没有智能卡的用户将无法使用证书。 |
三次打包加密邮件
Exchange 2010 值名称和类型 |
TripleWrapSignedEncryptedMail (DWORD) |
Exchange 2007 值名称和类型 |
TripleWrapSignedEncryptedMail (DWORD) |
Exchange 2003 值名称和类型 |
TripleWrap (DWORD) |
值和默认值 |
1=True(默认值)、0=False |
说明 |
将 TripleWrapSignedEncryptedMail 设置为 true 时,将对已进行数字签名的加密电子邮件进行三次打包。三次打包邮件后,将加密数字签名的邮件,然后对加密邮件进行数字签名。当设置为 false 时,仅加密数字签名邮件,而没有对加密邮件的其他数字签名。默认情况下,该属性设置为 true。三次打包的邮件根据 S/MIME 标准为数字签名和加密电子邮件提供最高的安全性,但它们比未进行三次打包的邮件大。 |
使用密钥标识符
Exchange 2010 值名称和类型 |
UseKeyIdentifier (DWORD) |
Exchange 2007 值名称和类型 |
UseKeyIdentifier (DWORD) |
Exchange 2003 值名称和类型 |
UseKeyIdentifier (DWORD) |
值和默认值 |
1=True、0=False(默认值) |
说明 |
默认情况下,加密电子邮件时,Outlook Web App 将为锁箱编码,其中存储了需要解密其余邮件的不对称加密的令牌。它通过指示每个收件人证书的颁发者和序列号为锁箱编码。然后可将其用于查找用于解密邮件的证书和私钥。 查找用于解密邮件的证书和私钥的另一种方法是,通过将 UseKeyIdentifier 设置为 true 使用证书的密钥标识符。由于密钥对可在新证书中重复使用,因此对加密电子邮件使用密钥标识符使用户可以只保留最新的证书及相关私钥,而不必保留只能按颁发者和序列号匹配的所有旧证书。 默认情况下,由于某些电子邮件客户端不支持使用密钥标识符查找证书,因此 Outlook Web App 将使用每个收件人证书的颁发者和序列号。但是,启用此功能更容易通过消除用户在其系统上保留旧的、过期证书的需要来管理加密邮件。 |
S/MIME 加密算法
Exchange 2010 值名称和类型 |
EncryptionAlgorithms (Reg-SZ) |
Exchange 2007 值名称和类型 |
EncryptionAlgorithms (Reg-SZ) |
Exchange 2003 值名称和类型 |
EncryptionAlgorithms (Reg_SZ) |
值和默认值 |
该密钥是以分号分隔的列表,表示在使用带有 S/MIME 控件的 Outlook Web App 加密邮件时使用的对称加密算法。 列表格式:{Well-known algorithm ID}[:key length to use]|[,Custom replacement algorithm OID]; {Well-known algorithm ID}[:key length to use]|[,Custom replacement algorithm OID]; … 受支持的算法及其 ALG_ID:
当密钥长度未编码为算法 ID 本身时,密钥长度仅适用于可变密钥长度算法。RC2 是上述列表中唯一的此类算法。 自定义替换算法 OID:可以通过在加密服务提供程序 (CSP) 内实现它,为其分配自定义对象 ID,并通过使用 EncryptionAlgorithms 密钥指定 OID 来提供自己的算法。OID 必须与已知算法 ID 一起指定。Outlook Web App 需要已知算法 ID,以便其可以推断算法应使用的方式。例如,若要为 3DES 算法提供自定义替换,将指定 3DES (0x6603) 的 ALG_ID 以及替换算法的自定义 OID。 注册表项的值应从最长密钥长度到最短密钥长度列出,因为该顺序反映使用的优先级。例如,若要列出 3DES、RC2-128、RC2-64、DES、RC2-56 和 RC2-40,请以下列方式键入值: 6603;6602:128;6602:64;6601;6602:56;6602:40 如果注册表项存在,将始终使用在该项中指定的算法。如果该项不存在,则 Outlook Web App 将回退到其默认内部列表。该列表在运行 Windows Vista 的计算机中以 AES256 开始,在运行 Windows XP 的计算机中以 3DES 开始。 只有用户计算机支持时才使用 AES 算法。AES 在 Windows XP 上不受支持,且通过使用 AES 加密的邮件在运行 Windows XP 的计算机上无法读取。 |
说明 |
Outlook Web App 将尝试在用户计算机上使用具有最长可用密钥长度的最强算法。如果加密算法或最低密钥长度在用户计算机上不可用,则 Outlook Web App 将不允许加密。 |
S/MIME 默认签名算法
Exchange 2010 值名称和类型 |
SigningAlgorithms (Reg_SZ) |
Exchange 2007 值名称和类型 |
SigningAlgorithms (Reg_SZ) |
Exchange 2003 值名称和类型 |
DefaultSigningAlgorithm (reg_SZ) |
值和默认值 |
SigningAlgorithms 项指定使用安装 S/MIME 控件的 Outlook Web App 签名邮件时要使用的签名算法的列表。下表枚举了签名算法、其算法 ID 以及各自的受支持密钥长度。 格式:{Well-known algorithm ID} 已知算法 ID 和密钥长度
如果该注册表项存在,将始终使用该项中指定的算法。如果该项不存在,则 Outlook Web App 将回退到其内部默认列表。该列表以 SHA-1 开始。 通过使用 CALG_SHA_256 进行数字签名的邮件无法在运行 Windows XP 的计算机上加以验证。 |
说明 |
该属性指定通过使用带有 S/MIME 控件的 Outlook Web App 对邮件进行数字签名时要使用的数字签名算法。 |
强制 S/MIME 客户端升级
Exchange 2010 值名称和类型 |
ForceSMIMEClientUpgrade (DWORD) |
Exchange 2007 值名称和类型 |
ForceSMIMEClientUpgrade (DWORD) |
Exchange 2003 值名称和类型 |
不可用。这是 Exchange 2007 中的新增功能。 |
值和默认值 |
1=True(默认值)、0=False |
说明 |
将 ForceSMIMEClientUpgrade 设置为 true 时,如果用户计算机上的客户端控件版本早于服务器上的版本,则用户必须下载并安装新控件,之后才能继续使用任何 S/MIME 读取或撰写格式。如果将该值设置为 false,则当用户计算机上的 S/MIME 控件早于服务器上的版本时,用户将收到警告。但是,他们将可以在无需更新控件的情况下使用 S/MIME。 |
使用注册表编辑器更改 Outlook Web App 的 S/MIME 控件设置
您必须先获得权限,然后才能执行此过程。若要查看所需的权限,请参阅客户端访问权限主题中的“注册表编辑器”条目。
.gif "小心") 警告: |
|---|
| 不正确地编辑注册表时,可能导致出现严重问题,从而需要重新安装操作系统。因不正确地编辑注册表而导致出现的问题是能够解决的问题。在编辑注册表之前,请备份任何有用数据。 |
启动注册表编辑器 (regedit)。
查找以下注册表子项:
HKLM\System\CurrentControlSet\Services\MSExchange OWA\SMIME
查找要更改的项。
将该项设置为组织所需的值。
如果所需的项不存在,请创建具有该名称的新 DWORD,然后将其设置为组织所需的值。
© 2010 Microsoft Corporation。保留所有权利。