在企业日常通信中,除了使用基于桌面的应用外,还会使用移动设备或基于浏览器的Web方式访问邮件。由于S/MIME的实现,需要通过证书来进行数字签名和验证数字签名,以及对邮件进行加密解密。所以需要对用户的浏览器和移动设备进行配置,以使其能够支持S/MIME的工作。
一、为Web用户提供S/MIME的安全邮件保护
对于使用Web端的用户来讲,主要是通过浏览器访问Web版Outlook(即:旧版称之为OWA),所以关键是考虑浏览器对S/MIME的支持。在此主要描述微软Edge浏览器的实现过程,而由于中国大陆对Google的政策,所以使用Chrome浏览器可能会因为插件安装问题受阻。另外,由于IE浏览器将被微软淘汰,且其本身安全漏洞较多,因此没有必要进行描述。
1、通过组策略为Edge安装S/MIME扩展插件
如果在Windows域中,可以通过域策略对用户客户端的Edge集中部署S/MIME扩展插件。如果实在工作组中,可以通过本地组策略或修改注册表的方式进行部署。
首先,在微软Edge商业版官网(https://www.microsoft.com/zh-cn/edge/business/download)下载组策略模板。
然后,解压下载的压缩包,并根据操作系统的版本和语言找到相应的msedge.adm文件。比如,简体中文Windows:
在组策略管理器中,打开编辑需要作用的GPO,如默认的域策略对象。然后定位到“用户配置”中的“管理模板”,右键在上下文菜单中点击“添加/删除模板…”。
在弹出窗口中,点击“添加”按钮,在弹出窗口中选择msedge.adm文件,点击打开,加其添加到组策略中。
此时,在“管理模板”中,可以看见“经典管理模板(ADM)”节点,展开该节点,将出现“Microsoft Edge”节点,将其展开,在“扩展”节点中,定位到右侧窗口中的“控制无提示安装的扩展”。
在策略配置中选择“已启用”,然后点击下面的“显示…”按钮。在“显示内容”对话框中,填入一条Edge扩展插件记录如下:
maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx
最后,逐层点击“确定”,完成组策略的设置。
2、验证Edge扩展插件是否自动安装
通过域用户或应用了组策略的用户登录,并打开Edge,将在其扩展插件中看到“Microsoft S/MIME”的插件,证明组策略的部署生效。
如果没有及时看到该扩展插件,可以通过刷新gpupdate刷新组策略进行强制生效。
当然,也可以直接通过修改注册表使其立即生效,修改路径为:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Edge\ExtensionInstallForcelist
新建一个字符串类型的键,键名为1,值为:
maafgiompdekodanheihhgilkjchcakm;https://outlook.office.com/owa/SmimeCrxUpdate.ashx
如果有多个需要添加,则键名以数字1、2、3…依次创建。
3、使用Edge访问OWA收发S/MIME加密签名邮件
用户通过Edge登录OWA后,扩展插件将有灰色变为彩色,点击插件按钮,可以看到插件相关信息,并显示为“由组织安装”。点击“扩展选项”对插件进行设置。
在S/MIME选项中,勾选“其他工作或学校网站”,并填写世纪互联版OWA的域名——partner.outlook.cn。然后点击“保存”并重启浏览器。
点击“新建邮件”按钮,在新邮件窗口中点击菜单栏右端的“…”按钮,在上下文菜单中点击“显示邮件选项…”。
在“邮件选项”对话框中按需要勾选加密邮件或对邮件进行数字签名。然后点击“确定”返回邮件,进行发送。
二、为Outlook移动客户用户提供S/MIME的安全邮件保护
以安卓版Outlook客户端为例,首先需要将邮件用户证书安装到手机中。基本的步骤是从Windows中将证书(含私钥)导出,然后通过邮件或其它通讯方式,将证书发送到移动端。
在移动端,打开Outlook,接收邮件,点击附件证书,确认提示后,点击“安装”。
Outlook提示证书已经安装完整,点击“设置”。
在设置中,点击要配置的邮件账户。
点击账户信息中的“安全性”。
对于S/MIME开关,点击打开。此时将收到警告提示,点击确定。
此时,已经为Outlook启用了S/MIME功能,同时也能够在下方看到安装的证书。
需要注意,由于安卓设备的厂商不同,其系统处理也不同。有时可能会导致证书无法识别等问题,因此需要谨慎使用。