|
 Exchange 2003 S/MIME Unterstützung
| "Secure MIME" und IRM
|
OWA - S/MIME - Control |
| |
|
|
|
Das S/MIME-Control stellt einen vollständig funktionsfähigen S/MIME-Client bereit und ist zur nahtlosen Integration in Microsoft Internet Explorer 6.0 oder höher entworfen. Mit dem S/MIME-Control können auch über OWA E-Mails verschlüsselt und signiert werden. Administratoren können damit auch Signatur und Verschlüsselung für Benutzer eines bestimmten Exchange-Servers erzwingen.
Der Internet Explorer 6.0 wird zur Nutzung der Sicherheitserweiterungen durch das S/MIME-Steuerelement benötigt, DHMTL wird ebenso benötigt. Für die Zone, in der Outlook Web Access läuft müssen die Optionen "Download von signierten Active-X-Controls", "Active-X-Controls ausführen" und "Active-X-ausführen, die für Scripting sicher sind" aktiviert sein. Die Kommunikation zwischen Browser und Exchange-Server sollte über SSL
erfolgen.
|
 |
 |
|
Prinzip OWA mit S/MIME Funktionalität |
|
Installation des S/MIME-Controls |
Das S/MIME-Control kann auf Rechnern erst ab Windows 2000, wegen der Funktionen des persönlichen Zertifikatsspeichers, installiert werden. Für die Installation werden Administratorenrechte benötigt. Benutzer mit Administratorenrechten können über die Navigation (Optionen - E-Mail-Sicherheit - Download" im Outlook Web Access direkt das S/MIME-Control laden und installieren. Ansonsten kann für das S/MIME-Control auch ein Installationspaket erstellt werden. In diesem Paket müssen die Dateien aus MIMECLNT.CAB vom Exchange-Installationsverzeichnis vorhanden sein.
Nach der Installation werden Anlagen, die aus gesicherten Mails stammen, beim Schließen der Nachricht aus dem Cache des Internet-Explorers gelöscht, bei ungesicherten passiert dies weiterhin nicht!
|
Exchange-Server - Konfiguration |
Da der Exchange-Server bei OWA Aufgaben des Clients übernimmt, muss er auch dahingehend konfiguriert werden. In den Konten des Exchange-Servers müssen die Stammzertifikate verfügbar sein, was am besten über Gruppenrichtlinien einzurichten ist. Zusätzlich ist sicherzustellen, dass zur Zertifikatsprüfung bei einer Zertifizierungsstelle, HTTP und/oder LDAP möglich ist, insbesondere, wenn der Exchange Server und die Verzeichnisdienste der PKI durch Firewalls getrennt sind.
Die Zertifikatsprüfung findet immer am Exchange-Server statt, d.h. über die dortigen Registry Einstellungen lässt sich einiges konfigurieren, z.B. kann mit AlwaysSign und AlwaysEncrypt unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeWeb\OWA\
am Server Signatur und Verschlüsselung für die Benutzer des Servers erzwungen werden.
|
Zertifikatshandling bei Web Access |
Die Identifizierung des richtigen Zertifikates bei OWA wird anhand der angegebenen Empfängeradresse und Angaben im " Subject
" des Zertifikates im Active Directory durchgeführt
. Wird keine Übereinstimmung gefunden, folgt dasselbe mit Einträgen im Subject Alternative Name
und wenn auch dort ohne Erfolg wird nach SMTP-Proxy-Adressen im Subject und Subject Alternative Name gesucht. Letzteres kann über die Registry auch deaktiviert werden.
Wird ein Zertifikat gefunden muss es auf seine Gültigkeit geprüft
werden und ob es für den beabsichtigten Zweck geeignet ist, bzw. eingesetzt werden darf. Kommen weiterhin mehrere Zertifikate in Frage wird jenes mit der spezifischeren KeyUsage
gewählt. Für Signaturen werden Zertifikate mit ausschließlich "digital signature" als mögliche Verwendung, einem Zertifikat mit "digital signature" und "data encipherment" vorgezogen.
Mit entsprechender Einstellung (SmartCardOnly) in der Registry des Exchange-Servers kann auch bestimmt werden, dass Signierung und Entschlüsselung am OWA-Client lediglich mit Smart-Card-Zertifikaten vonstatten gehen darf. Das S/MIME-Control präferiert bei der Suche nach dem passenden Zertifikat und privatem Schlüssel aber auch ohne diese Einstellung hardwarebasierende Zertifikate.
|
gesicherte Nachrichten mit OWA |
OWA mit S/MIME-Control verschickt standardmäßig Triple Wrapped Messages. Alle Aktionen mit dem privaten Schlüssel finden natürlich lokal statt - alle Aktionen mit öffentlichen Schlüsseln finden am Exchange Server statt. Ein vom OWA-Control zusammengesetztes Mail enthält auch lediglich das Endzertifikat, und nicht den ganzen Zertifizierungspfad mit allen Zwischenzertifikaten bis zum Stammzertifikat. Für die Benutzung von OWA mit S/MIME ist es daher sinnvoll, ein Zertifikat zu verwenden, wo in der Authority Info Access verzeichnet ist, wo das übergeordnete CA-Zertifikat abzurufen ist. Der Empfänger kann dadurch den Zertifikatspfad zusammensetzen. Über Registry-Einstellungen ("SecurityFlags") kann aber auch bestimmt werden, dass der ganze Zertifikatspfad in die Nachricht aufgenommen werden soll.
|
|
|
|
|
|
|
|
|
Impressum