Настройка S/MIME cross-premise

  • Article

С недавнего времени (после выхода SP1) в Office 365 стал доступным кросс-премис функционал шифрования и цифровой подписи S/MIME. Это значительный шаг вперёд с точки зрения безопасности. Описание функционала можно прочитать тут.

Давайте сегодня разберём, как же настроить возможность работы с S/MIME если часть пользователей у нас находится в локальном Exchange, а часть уже переехала в Exchange Online (EXO).

Если кратко, то алгоритм действий такой.

  1. Разверните инфраструктуру открытых ключей на локальном предприятии.
  2. Настройте подходящий шаблон сертификата (например, ExchangeUser, помеченный для использования для шифрования и цифровой подписи, и с включённой настройкой автопубликации в AD DS).
  3. Настройте автовыдачу сертификатов, основанных на этом шаблоне.
  4. Убедитесь, что используете правильную версию Dirsync: 6593.0012 или выше.
  5. Убедитесь, что на стороне Exchange Online версия 15.00.0847.032 или выше (командой Get-OrganizationConfig | fl admindisplayversion).
  6. На локальном Exchange: включите возможность использования S/MIME в OWA, и экспортируйте виртуальную коллекцию сертификатов (virtual certificate collection, SST).
  7. На стороне EXO: проимпортируйте виртуальную коллекцию сертификатов SST.
  8. На стороне EXO: включите возможность использования S/MIME в OWA.

Для целей шифрования и цифровой подписи, как я уже упоминал, можно использовать один и тот же шаблон, например “Exchange User”.

  • Создайте новый шаблон на основе стандартного;
  • пометьте “Publish in AD” ;
  • ВАЖНО: выберите опцию “Do not automatically reenroll if a duplicate certificate exists in AD”, чтобы после выдачи одного сертификата другие уже не выдавались;
  • выберите назначение сертификата “Signature and encryption”;
  • выберите “Build from this AD information” и пометьте необходимые поля, как на скриншоте ниже;
  • настройте правильные разрешения для пользователей - “Read, Enroll, Autoenroll” для Authenticated Users.

clip_image002

clip_image004

clip_image006

clip_image008

clip_image009

Затем добавьте этот шаблон в Certificate Templates.

Далее создайте новую (или обновите старую) групповую политику, включающую автовыдачу сертификата для пользователей домена: User Configuration > Policies > Windows settings > Security settings > Public Key Policies > “Certificate Services Client – Auto-Enrollment”:

clip_image011

Убедитесь, что пользователям выдаются сертификаты:

clip_image013

clip_image015

clip_image017

Убедитесь, что сертификаты публикуются в учётных записях пользователей в AD:

clip_image019

Итак, теперь пользователи могут использовать S/MIME, по крайней мере в своих клиентах Outlook. Следующим шагом включаем эту возможность для OWA.

На стороне локального Exchange:

clip_image021

Set-SmimeConfig –OWAAllowUserChoiceOfSigningCertificate $True –OWADisableCRLCheck $True

clip_image023

На этом всё для локального Exchange. Переходим к Exchange Online.

Настройка виртуальной коллекции сертификатов SST.

На локальном сервере ES2013 мы находим Thumbprint корневого сертификата организации: Get- ChildItem – Path – Cert:\ LocalMachine\ Root

И далее экспортируем этот сертификат в файл с расширением sst: Get- ChildItem – Path cert:\ LocalMachine\ Root\< Thumbprint> | Export- Certificate – FilePath C:\ Temp\ allcerts. sst – Type SST

В случае наличия подчинённых ЦС нужно поместить все сертификаты (корневой, подчинённые) в одну из пустых папок дерева сертификатов, например TrustedPeople), и запустить команду Get- ChildItem - Path cert:\ CurrentUser\ TrustedPeople | Export- Certificate – FilePath c:\ certs\ allcerts. sst - Type SST

В результате все эти сертификаты попадут в файл SST.

Теперь нужно импортировать сертификаты из файла SST в Exchange Online. Для этого подключитесь к EXO удалённо через Remote PowerShell и запустите командлет Get-SMIMEConfig. Запомните результаты. Запустите следующую команду: Set-SmimeConfig –SMIMECertificateIssuingCA (Get-Content <full-path-to-SST-file> -Encoding Byte)

В результате все сертификаты ЦС будут проимпортированы в соответствующее хранилище EXO.

Осталось только включить возможность использования S/MIME для OWA. Это делается той же командой Set-SMIMEConfig, что и для локального Exchange.

Посмотрите, что изменилось. Опять выполните Get-SmimeConfig, обратите внимание на параметры SMIME…:

clip_image025

На этом конфигурация серверной части завершена. Следующий шаг - тестирование пользователей (to be continued).