适用于安全的S / MIME邮件

安全邮件支持安全/多用途网络邮件扩展(S / MIME),让用户可以对邮件进行签名和加密,以提高安全性。签名可向收件人确保邮件是由已识别的发件人（而非冒充者）发送的。启用加密后，将仅允许具有兼容证书的收件人打开邮件。

有关S / MIME的详细信息,请参阅微软技术。

在下表中,X指示安全邮件在设备操作系统中支持S / MIME功能。

S / MIME功能	iOS	安卓
数字身份提供程序集成：您可以将安全邮件与受支持的第三方数字身份提供程序集成。您的身份提供程序主机向用户设备上的身份提供程序应用程序提供证书。该应用程序将证书发送到端点管理共享保管库(用于存储敏感应用程序数据的安全存储区域)。安全邮件从共享保管库中获取证书。有关详细信息，请参阅与数字身份提供程序集成。	X
派生凭据支持	安全邮件支持使用派生凭据作为证书来源。有关派生凭据的详细信息，请参阅适用于iOS的派生凭据。
通过电子邮件分发证书：通过电子邮件分发证书要求您先创建证书模板，然后使用这些模板请求用户证书。安装并验证证书后，导出用户证书，然后通过电子邮件将其发送给用户。之后用户在安全邮件中打开该电子邮件并导入证书。有关详细信息，请参阅通过电子邮件分发证书。	X	X
自动导入用途单一的证书：安全邮件检测证书是否仅用于签名或加密,然后自动导入证书并通知用户。如果证书用于签名和加密，则会提示用户将其导入。	X

与数字身份提供程序集成

下图显示了证书从数字身份提供程序主机传送邮件到安全的路径。当您将安全邮件与受支持的第三方数字身份提供程序集成时将出现此问题。

MDX共享保管库是用于存储敏感应用程序数据(例如证书)的安全存储区域。仅受端点管理支持的应用程序才可以访问共享保管库。

必备条件

安全邮件支持与委托IdentityGuard集成。

配置集成

1. 准备身份提供程序应用程序并将其提供给用户：
   • 联系委托以获得。异丙醇进行打包。

   • 使用MDX工具包打包应用程序。

     如果为已在端点管理环境外部安装了此应用程序的某个版本的用户部署此应用程序,请使用此应用程序的唯一应用程序ID。请为此应用程序和安全邮件使用相同的预配配置文件。

   • 将应用程序添加到端点管理并将其发布到端点管理应用商店。

   • 告知您的用户必须从安全中心安装身份提供程序应用程序。根据需要提供与任何安装后步骤有关的指导。

     安全邮件可能会提示用户安装证书,或者在安全邮件设置中启用S / MIME,具体取决于您如何在下一步骤中为安全邮件配置S / MIME策略。这两个过程的步骤在在安全的邮件iOS上启用S / MIME中进行介绍。

2. 将安全邮件添加到端点管理时,请务必配置以下策略:

   • 将S / MIME证书源策略配置为共享保管库。此设置表示安全邮件将使用您的数字身份提供程序存储在其共享保管库中的证书。

   • 要在首次启动安全邮件过程中启用S / MIME,请配置“首次启动安全邮件过程中启用S / MIME”策略。该策略决定共享保管库中存在证书时安全邮件是否启用S / MIME。如果没有证书、安全邮件将提示用户导入证书。如果未启用该策略,用户可以在安全邮件设置中启用S / MIME。默认情况下,安全邮件不启用S / MIME,这表示用户必须通过安全邮件设置启用S / MIME。

使用派生凭据

可以允许使用派生凭据来代替与数字身份提供程序的集成。

将安全邮件添加到端点管理时,请将“S / MIME证书来源”策略配置为派生凭据。有关派生凭据的详细信息，请参阅适用于iOS的派生凭据。

通过电子邮件分发证书

可以通过电子邮件向用户分发证书来代替与数字身份提供程序集成或使用派生凭据。此方案需要执行本部分内容详细介绍的以下常规步骤。

1. 使用服务器管理器启用微软证书服务的Web注册并验证IIS中的身份验证设置。

2. 创建证书模板，用于对电子邮件消息进行签名和加密。使用这些模板请求用户证书。

3. 安装并验证证书，然后导出用户证书并通过电子邮件将其发送给用户。

4. 用户在安全邮件中打开电子邮件并导入证书。如此一来,证书仅可用于安全的邮件。它们不会出现在S / MIME的iOS配置文件中。

必备条件

本部分中的说明基于以下组件：

• XenMobile服务器10及更高版本
• 受支持的Citrix网关(以前称为NetScaler网关)版本
• 安全的邮件iOS(最低版本为10.8.10),适用于Android设备的安全邮件(最低版本为10.8.10)
• Microsoft Windows Server 2008 R2或更高版本,并将微软证书服务用作根证书颁发机构(CA)
• 微软交换:
  • Exchange Server 2016累积更新
  • Exchange Server 2013累计更新15
  • Exchange Server 2010 SP3更新汇总16

配置S / MIME之前,请完成以下必备条件:

• 手动或通过端点管理中的凭据设备策略向移动设备交付根证书和中间证书。有关详细信息，请参阅凭据设备策略。
• 如果正在使用专用服务器证书来保护流向Exchange服务器的ActiveSync流量安全,请执行以下操作:将所有根证书和中间证书安装在移动设备上。

启用微软证书服务的Web注册

1. 转到管理工具，然后选择服务器管理器。
2. 在Active Directory证书服务下，查看是否已安装证书颁发机构网注册。
3. 如果需要，请选择添加角色服务来安装证书颁发机构网注册。
4. 选中证书颁发机构网注册，然后单击下一步。
5. 安装完成后，单击关闭或完成。

验证IIS中的身份验证设置

• 确保用于请求用户证书的Web注册站点(例如,https://ad.domain.com/certsrv/)使用HTTPS服务器证书(专用或公用)进行保护。
• Web注册站点必须通过HTTPS进行访问。

1. 转到管理工具，然后选择服务器管理器。
2. 在Web服务器(IIS)中的角色服务下进行查找。验证是否已安装客户端证书映射身份验证和IIS客户端证书映射身份验证。如果未安装，请安装这些角色服务。
3. 转到管理工具，然后选择Internet信息服务(IIS)管理器。
4. 在IIS管理器窗口的左侧窗格中,选择运行IIS实例的服务器以进行Web注册。
5. 单击身份验证。
6. 确保Active Directory客户端证书身份验证设置为已启用。
7. 单击右侧窗格中的站点>微软互联网信息服务的默认站点>绑定。
8. 如果不存在HTTPS绑定,请添加一个。
9. 转到默认Web站点主页。
10. 单击SSL设置，然后单击接受客户端证书。

创建新证书模板

要对电子邮件进行签名和加密,Citrix建议您在Microsoft Active Directory证书服务中创建证书。如果为这两个目的使用相同的证书并存档加密证书，则可以恢复签名证书并允许模拟。

以下过程将在证书颁发机构(CA)服务器上复制证书模板:

• 仅交换签名(用于签名)
• 交换用户(用于加密)

1. 打开证书颁发机构管理单元。

2. 展开CA,然后转到证书模板。

3. 单击鼠标右键，然后单击管理。

4. 搜索“仅交换签名“模板,在此模板上单击鼠标右键,然后单击复制模板。

5. 分配任意名称。

6. 选中在活动目录中发布证书复选框。

   注意：

   如果未选中在活动目录中发布证书复选框，用户必须手动发布用户证书（以用于签名和加密）。用户可以通过前景邮件客户端>信任中心>电子邮件安全性>发布到全局地址列表来实现。

7. 单击请求处理选项卡，然后设置以下参数：

   • 目的：签名
   • 最小密钥大小：2048
   • “允许导出私钥”复选框:选中
   • “注册证书使用者时无需用户输入“复选框:选中

8. 单击安全性选项卡，在组或用户名下，确保添加已通过身份验证的用户（或所需的任何域安全组）。此外，还请务必在已通过身份验证的用户的权限下，选中允许对应的读取和注册复选框。

9. 对于其他选项卡和设置，请保留默认设置。

10. 在证书模板中，单击交换用户，然后重复步骤 4 到 9。

    对于新的“交换用户”模板,请使用与原始模板相同的默认设置。

11. 单击请求处理选项卡，然后设置以下参数：

    • 目的：加密
    • 最小密钥大小：2048
    • “允许导出私钥”复选框:选中

    • “注册证书使用者时无需用户输入“复选框:选中

12. 两个模板均创建完成后，请务必颁发两个证书模板。单击新建，然后单击要颁发的证书模板。

请求用户证书

本过程使用user1导航到Web注册页面(如https://ad.domain.com/certsrv/）。本过程为保护电子邮件安全请求两个新用户证书：一个证书用于签名，另一个用于加密。可以为需要通过安全邮件使用S / MIME的其他域用户重复执行相同的过程。

在微软证书服务上的Web注册站点(如https://ad.domain.com/certsrv/）上使用手动注册以生成用于签名和加密的用户证书。另一种方法是，通过组策略为要使用此功能的用户组配置自动注册。

1. 在基于Windows的计算机上,打开Internet Explorer并转到Web注册站点以请求新用户证书。

   注意：

   请务必使用正确的域用户登录以便请求证书。

2. 登录后，单击请求证书。

3. 单击高级证书请求。

4. 单击创建并向此CA提交一个请求。

5. 生成用于签名的用户证书。选择合适的模板名称并键入您的用户设置，然后在请求格式旁边，选择PKCS10。

   此时已提交请求。

6. 单击安装此证书。

7. 确认证书安装成功。

8. 现在，为实现加密电子邮件目的重复执行相同过程。在同一个用户登录 Web 注册站点的情况下，转至主页链接以请求新证书。

9. 选择用于加密的新模板，然后键入与第 5 步相同的用户设置。

10. 确保证书安装成功，然后重复执行相同的过程，为另一个域用户生成一对用户证书。本示例按照相同的过程,为“User2”生成一对证书。

    注意：

    本过程使用同一个基于Windows的计算机,为“User2”请求第二对证书。

验证已发布的证书

1. 为确保证书正确安装到域用户配置文件中，请转到活动目录用户和计算机>查看>高级功能。

2. 转到用户的属性(本示例中为User1),然后单击发布的证书选项卡。请确保两个证书均可用。您还可以验证每个证书是否有特殊用法。

   下图显示了用于加密电子邮件的证书。

   下图显示了用于对电子邮件进行签名的证书。

   请务必向用户分配正确的加密证书。可以在活动目录用户和计算机>用户属性下面验证此信息。

   安全邮件的工作方式是通过LDAP查询来检查userCertificate用户对象属性。您可以在属性编辑器选项卡上读取此值。如果此字段为空,或用于加密的用户证书错误,安全邮件将无法加密(或解密)邮件。

导出用户证书

此过程采用.PFX (PKCS # 12)格式导出" User1和User2”的证书对以及私钥。导出时,证书通过电子邮件发送给使用Outlook Web Access (OWA)的用户。

1. 打开MMC控制台并转到证书 - 当前用户管理单元。您将看到" User1和User2“证书对。

2. 右键单击证书，然后单击所有任务 > 导出。

3. 选择是，导出私钥以导出私钥。

4. 选中如果可能，包括证书路径中的所有证书和导出所有扩展属性复选框。

5. 导出第一个证书后，为用户的剩余证书重复执行相同过程。

   注意：

   明确标记要用于签名的证书和要用于加密的证书。在本示例中，证书被标记为 userX-sign.pfx 和 userX-enc.pfx。

通过电子邮件发送证书

所有证书采用可以格式导出后,可以使用Outlook Web Access (OWA)通过电子邮件发送这些证书。在本示例中,登录名是User1,发送的电子邮件包含两个证书。

为User2或域中的其他用户重复执行相同过程。

在安全的邮件iOS和Android安全邮件上启用S / MIME

电子邮件传送后,下一步是使用安全邮件打开邮件,然后启用S / MIME,使用相应的证书进行签名和加密。

使用单独的签名和加密证书启用S / MIME

1. 打开安全邮件、导航到包含S / MIME证书的电子邮件。

2. 轻按要下载并导入的签名证书。

3. 键入从服务器导出签名证书时分配给私钥的密码。

   现已导入您的证书。

4. 轻按打开签名

5. 或者，也可以导航到设置>S / MIME,轻按S / MIME以打开签名证书。

6. 在签名屏幕中，确认导入了正确的签名证书。

7. 返回到电子邮件并轻按要下载并导入的加密证书。

8. 键入从服务器导出加密证书时分配给私钥的密码。

   现已导入您的证书。

9. 轻按打开加密

10. 或者，也可以导航到设置>S / MIME,轻按S / MIME以启用默认加密。

11. 在加密屏幕中，确认导入了正确的加密证书。

    注意：

    1. 如果电子邮件通过S / MIME进行数字签名,具有附件,而收件人未启用S / MIME,则无法接收附件。此行为属于动态同步限制。要接收S / MIME邮件,请在安全邮件设置中启用S / MIME。

    2. 使用默认加密选项可以最大程度地减少加密电子邮件所需的步骤。如果此功能处于打开状态，您的电子邮件将在撰写时处于加密状态。如果此功能处于关闭状态，您的电子邮件将在撰写时处于未加密状态，您必须轻按锁定图标才会加密。

使用单个签名和加密证书启用S / MIME

1. 打开安全邮件、导航到包含S / MIME证书的电子邮件。

2. 轻按要下载并导入的S / SMIME证书。

3. 键入从服务器导出证书时分配给私钥的密码。

4. 从显示的证书选项中，轻按相应选项以导入签名证书或加密证书。轻按打开证书以查看证书的详细信息。

   现已导入您的证书。

   您可以导航到设置> S / MIME来查看导入的证书

在iOS和Android上测试S / MIME

执行了上一节中所列步骤后，您的收件人可以读取您发送的已签名和加密的邮件。

下图显示了收件人已读的加密邮件的示例。

下图显示了确认签名可信证书的示例。

安全邮件在Active Directory域中搜索收件人的公用加密证书。如果用户向无有效公用加密密钥的收件人发送加密的邮件，则该邮件将作为未加密邮件发送。在组邮件中，如果有一个收件人无有效的密钥，则邮件将作为未加密邮件发送给所有收件人。

配置公用证书来源

要使用S / MIME公用证书,请配置S / MIME公用证书来源,LDAP服务器地址,LDAP基础DN以及匿名访问LDAP策略。

除配置应用程序策略外，还请执行以下操作。

• 如果LDAP服务器为公共服务器,请确保流量直接传输到LDAP服务器。为此,请将安全邮件的网络策略配置为通过通道连接到内部网络并为Citrix ADC配置拆分DNS。
• 如果LDAP服务器位于内部网络中,请执行以下操作:
  • 对于iOS,请确保您未配置”后台网络服务网关”策略。如果配置了该策略，用户会频繁收到身份验证提示。
  • 对于Android,请务必在“后台网络服务网关”策略的列表中添加LDAP服务器URL。