none
S/MIME шифрование для 2 и более почтовых ящиков в одном профиле Outlook 2013/2016 RRS feed

  • Вопрос

  • Добрый день.

    Есть ли техническая возможность 

    объединять в ОДНОМ профиле Outlook 2010 (пишут, что работало)/2013/2016 2 и более почтовых ящиков в разных доменах
    с включенным шифрованием S/MIME для каждого? Т.е. разные сертификаты от разных CA.

    Информации немного, вот здесь пишут что скорее всего не будет так работать
    https://superuser.com/questions/1136073/outlook-2016-multiple-accounts-certificates-only-for-one

    Может делал кто?

    Здесь, вроде официально, что >=2013 Outlook не работает.
    https://answers.microsoft.com/en-us/office/forum/office_2013_release-outlook/outlook-2013-multiple-accounts-and-smime-problems/68a34f1c-b10e-492c-b20f-53252c89bafa

    Этот способ в 2016 - не работает
    https://superuser.com/questions/626538/outlook-2013-multiple-email-accounts-and-encrypted-email-only-last-s-mime-sett

    Единственное, что смущает, в основном домене в сертификатах для почты 
    у всех две записи в доп. имени субьекта
    другое имя - fqdn учетки AD
    rfc - собственно email адрес
    и эти настройки поменять не получится никак

    В дополнительном - только
    rfc - email
    25 июля 2018 г. 8:55

Все ответы

  • Outlook, поддерживает только одну Кофигурацию безопасности имеющую возможность отправки сообщений как за цифровой подписью так и(или) с шифрованием содержимого сообщения и вложения. Эта конфигурация должна иметь настройки Сертификата подписи и(или) шифрования с электронным адресом соответствующим электронному адресу установленному электронному адресу, от чьего имени отправляется подписанное и(или) зашифрованное сообщение.
    Соответственно, до того как отправить подписанное и(или) зашифрованое сообщение, соответствующий защищённый носитель закрытого ключа должен быть подключён к устройству.

    Таким образом, что бы отправлять подписанное и(или) зашифрованное Сообщение, Безопасность Учётной записи электронной почты должна быть настроена на свой единственный Сертификат подписи и(или) Сертификат шифрования, и защищённый носитель закрытого ключа должен быть подключён к устройству.

    P.S. Надеюсь, что в Outlook, у ваших Контактов с которыми вы обмениваетесь зашифрованными сообщениями, в Карточках контактов установлены их личные открытые cer-Сертификаты.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    25 июля 2018 г. 12:34
    Модератор
  • Не совсем понятен комментарий.

    Так технически есть возможность или нет? Или работает только в Outlook 2010 ?
    25 июля 2018 г. 13:03
  • Не совсем понятен комментарий.

    Так технически есть возможность или нет? Или работает только в Outlook 2010 ?

    Ваш вопрос не совсем корректный, по этой причине и был написан постскриптум.

    1. Для того, чтобы "объединить" несколько Учётных записей в одну, необходимо чтобы все учётные записи работали по протоколу РОР3 и имели единый pst-файл Личных данных:

    2. Outlook, все версии, по умолчанию может иметь только одну Учётную запись электронной почты. Однако, при добавлении и настройке других Учётных записей электронной почты, Outlook может отправлять сообщения и от имени других Учётных записей электронной почты.

    3. Для отправки из Outlook, подписанного и зашифрованного сообщения от имени Учётной записи необходимо не только чтобы электронный адрес Отправителя имел соответствующий Сертификат с закрытым ключом, но и в Карточке контакта Получателя был внесен его открытый cer-Сертификат.

    Всё тоже самое и со второй частью вашего вопроса, мой вам ответ - может, что наглядно демонстрируется предоставленным вам скриншотом. Каждая показанная на скриншоте Учётная запись электронной почты имеет свой Личный Сертификат цифровой подписи и каждая Учётная запись настроена на свой Сертификат. Единственно что неудобно, так это держать подключёнными семь защищённых носителей, с закрытыми ключами и помнить пароль от семи носителей.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    25 июля 2018 г. 14:28
    Модератор
  • Подробнее про конфиг.

    Всё на Exchange 
    Outlook 2010/2013/2016 (все клиенты в домене 1 например)
    Далее подключаем в эти же клиенты почтовые ящики из домена 2 (и т.д.), как дополнительные.

    Сертификаты S/MIME настроены и для домена 1, и для домена 2.
    Добавлены везде, куда нужно, прописано две конфигурации для S/MIME в настройках Outlook.

    Но шифрование в домене 2 работает только, если ящик из домена 2 подключить в Outlook как отдельный профиль только с этим ящиком.

    Как решить проблему?
    25 июля 2018 г. 14:45
  • По п.3

    действительно, шифрование заработало в указанной конфигурации, после действия Add to contact list на своей же учетке с сертификатом, в письме, которое было отправлено при подключении домена 2 отдельным профилем.
    https://social.technet.microsoft.com/Forums/office/en-US/a5fb1ee0-8abe-4581-ab03-857022783516/adding-an-smime-certificate-to-an-existing-contact-in-outlook-2013?forum=outlook

    При попытке сделать те же действия - для другой учетки домена 2 из адресной книги домена 2 - не работает.

    Как решить этот вопрос автоматически, если учетки из домена 2 подключаются в Outlook из домена 1 сразу как дополнительные, и отправить шифрованное сообщение изначально в принципе не получится.
    25 июля 2018 г. 14:53
  • С вашим подходом к решению - никак не решить.

    1. Откройте Outlook, посмотрите сами, у вас будет зарегистрирована только одна Конфигурация безопасности, внесённая последней. При подключенном соответствующего защищённого носителя закрытого ключа поля Outlook будут заполнены автоматически, или так если выданный сертификат имеет ограничение в применении:

    или так, если Сертификат ограничений на применение не имеет:

    2. Сертификаты работают только под той Учётной записью электронной почты, электронный адрес которого который указан в Сертификате.


    Да, я Жук, три пары лапок и фасеточные глаза :))


    25 июля 2018 г. 15:04
    Модератор
  • Вот еще нюанс, как я понял - Recipient из домена 2 тоже должен как-то добавить сертификат в GAL в домене 2

    А как это сделать, если нет кнопки Publish to GAL ?
    https://superuser.com/questions/655707/cannot-send-encrypted-message-to-others-using-outlook-2010

    Или в >2013 это уже убрали??

    Microsoft tells how to resolve this, but it's on your recipient & not for you to do:http://support.microsoft.com/kb/884738

    To resolve this issue, the recipient must follow these steps:

    • On the Tools menu, click Options.
    • Click the Security tab.
    • In the Default Setting list, make sure that the correct security profile for the digital ID that you want to use is selected. To verify your certificate settings, click Settings. You can click Choose, and then click View Certificate to view your certificate details.
    • Under Digital IDs (Certificates), click Publish to GAL, and then click OK. This will republish the correct certificate to the global address list to make sure that users are addressing you with the correct digital certificate.
    • Click OK when you are prompted that your certificates were published successfully.
    • Click OK to exit the Options dialog box.
    26 июля 2018 г. 6:35
  • Я подключил ящик домена 2 отдельным профилем, кнопки нет, хотя статьи утверждают, что должна быть.

    https://social.technet.microsoft.com/Forums/ie/en-US/845f1630-5571-405f-8a68-95a86d11e130/publish-to-gal-missing?forum=outlook
    https://social.technet.microsoft.com/Forums/ie/en-US/86cb5890-ffa3-4594-ba8c-81dca5a7f2c0/publish-to-gal-button-not-available?forum=exchangesvrsecuremessaging

    Вот тут ну совсем костыли предлагают, это же нереально совершенно так работать

    https://www.ucunleashed.com/509

    I think I got a manual workaround, these steps worked for me:
    1. Navigate to the properties of the users Active-Directory-Object
    2. Tab *Published certificates*: Import the certificate (You might need to export it in the correct file format prior to that)
    3. Tab *Attribute Editor*: Copy the value from “userCertificate” to “userSMIMEcertificate”
    4. Run these two commands in the exchange management shell:
    – Update-GlobalAddressList -Identity “”
    – Update-OfflineAddressBook -Identity “”
    (You can get the identities via Get-GlobalAddressList / Get-OfflineAddressBook)
    After telling my Outlook to update it’s offline adress book, I was able to send the user an S/MIME-encrypted mail.
    (I hope I got the translations right, I’m using a German OS)


    26 июля 2018 г. 6:50
  • Вы опять наступаете на те же грабли.

    Условия работы с цифровым Сертификатом:

    1. Закрытый ключ и Публичный сертификат должны располагаться на защищённом съёмном носителе с установленной опцией автоматической загрузкой Сертификата на используемое устройство.

    2. Защищённый носитель, должен подключаться до запуска программ требующих подписания документов (Word, Excel, Outlook и т.д.) и отключаться сразу же после выполнения операции подписания.

    3. Для работы цифровой подписи, на устройстве должна работать связка Цифровая подпись-Открытый Сертификат пользователя привязанный к закрытому ключу.

    Исходя из пункта 2, у вас Учётная запись электронной почты должна напрямую быть заведена и настроена в Outlook.

    P.S. В отношении пункта 3. моего раннего сообщения, цитата: "3. Для отправки из Outlook, подписанного и зашифрованного сообщения от имени Учётной записи необходимо не только чтобы электронный адрес Отправителя имел соответствующий Сертификат с закрытым ключом, но и в Карточке контакта Получателя был внесен его открытый cer-Сертификат."

    а) в Outlook пользователя Отправителя допустимо ввести Карточку контакта Отправителя и добавить в неё закрытый ключ. При этом потребуется ввести пароль доступа к закрытому ключу располагаемого на съёмном защищённом носителе.
    б) в Outlook пользователя Отправителя, в Карточку контакта Получателя, таким же образом можно добавить Публичный сертификат Получателя полученного отдельно в сообщении или опубликованного в Publish to GAL («Опубликовать в глобальном списке адресов») в разделе Digital IDs («Цифровые удостоверения»).

    Дополнительно, внимательно изучите статью Шифрование в Exchange Online. Часть 4


    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 июля 2018 г. 8:26
    Модератор
  • 1. Сертификаты для домена 1 и 2 хранятся на токене

    2. Токен подключен, запускается Outlook с двумя ящиками, где домен 1 был первым, домен 2 подключен как дополнительный. В ящике домена 2 не работает шифрование, хотя и в контакте получателя виден сертификат, и в AD домена 2 в атрибут отправителя и получателя вручную SMIME прописан.
    При отправке письма - в безопасности стоит Авто, т.е. как я понимаю, что система уж должна определить, чем подписывать письма обоих доменов.

    Но если запустить отдельный профиль с ящиком только домена 2 - все работает.

    3. Все ок, как я понимаю.

    Если это by default - то это очень печально.
    26 июля 2018 г. 8:49
  • Дополните, какое отношение Сертификаты доменов, имеют отношение к цифровым подписям Пользователей.

    Внимательно перечитайте все данные вам мои сообщения.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 июля 2018 г. 9:48
    Модератор
  • Под сертификатами доменов я конечно же подразумеваю S/MIME сертификаты для УЗ сотрудников.

    Между доменами трастов нет, сами компьютеры изначально в домене 1, на них конечно же дополнительно добавлены в хранилища root ca и issuing ca сертификаты домена 2.
    26 июля 2018 г. 9:54
  • Есть правило цифровой подписи сотрудников:

    Сотрудник - электронный адрес Сотрудника - цифровая подпись Сотрудника.

    Дополните, какое отношение Учётная запись сотрудника, имеет к цифровой подписи сотрудника?

    Далее, у вас должно быть организовано так:

    1. В Outlook, должна быть основная Учётная запись электронной почты Сотрудника, с настроенной Конфигурацией безопасности.

    2. В этом же Outlook, у вас должны быть созданы все Учётные записи имеющие цифровые подписи сотрудников, для каждой новой создаваемой Учётной записи электронной почты, должно быть настроена Конфигурация с выбором Сертификата подписи и Сертификата шифрования указанные в Сертификате сотрудника.


    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 июля 2018 г. 12:33
    Модератор
  • Все так и настроено.

    1. Основная УЗ, домен 1, сертификат на токене, добавлен как шифрование/подпись в конфигурации.

    2. В этом же Outlook, УЗ из домена 2, сертификат на этом же токене, добавлен как вторая конфигурация.

    И не работает отправка от УЗ п.2 другим получателям из GAL домена 2, даже если вручную контакт добавлять (в котором явно видно, что с cer частью все в порядке).

    Если подключить УЗ из п.2 как единственную, в отдельном профиле - все работает.

    Windows 10, Outlook 2016, как минимум еще на одном компьютере та же ситуация.
    26 июля 2018 г. 13:19
  • Дополните, при отправке сотрудником сообщения от имени другой Учётной записи, у вас в Outlook, видны ли какие либо уведомления?

    Да, я Жук, три пары лапок и фасеточные глаза :))

    26 июля 2018 г. 15:55
    Модератор
  • Ошибка выглядит вот так

    В явном виде наблюдаем ситуацию, описанную многими выше в ссылках: 2013 и 2016 клиенты не поддерживают указанную задачу судя по всему

    В 2010 клиенте - запустилось сразу без каких-либо проблем.

    UPD. Работает согласно задаче и в 2016 клиенте, но если сделать новый профиль и подключить сначала ящик домена 2, потом ящик домена 1. Как выясним точную причину - напишу в теме.

    
    27 июля 2018 г. 7:12
  • Представленный вами скриншот говорит о том, что у вашего Получателя нет действительного публичного сертификата. Проверьте и напишите в открытом сообщении, об этом Получателю которому вы пытаетесь отправить зашифрованное сообщение. В противном случае, при ошибках на стороне Отправителя, Outlook выдал бы Уведомление:


    Да, я Жук, три пары лапок и фасеточные глаза :))

    27 июля 2018 г. 11:13
    Модератор
  • В нашем случае - получатель из домена 2, и точно имеет корректные настройки открытого ключа сертификата cer, т.е. все настроено, и видно в AD/Exchange. 
    Т.е. даже подключенная УЗ из домена 2 не может отправить шифрованное сообщение от себя себе.
    27 июля 2018 г. 11:59
  • 1. Для чего и для какой цели вы ранее писали, цитата: "... Если подключить УЗ из п.2 как единственную, в отдельном профиле - все работает. ..." ?

    2. Outlook вашего Отправителя, не согласен с вашей точкой зрения, по этой причине, он вам и выдаёт Уведомление, об отсутствии у Получателя легитимного Личного открытого Сертификата:

     

    P.S. Вы пишите, цитата: "... Т.е. даже подключенная УЗ из домена 2 не может отправить шифрованное сообщение от себя себе.", в правильно настроенном Outlook Отправителя, отправка самому себе:


    Да, я Жук, три пары лапок и фасеточные глаза :))

    27 июля 2018 г. 16:51
    Модератор
  • На ваш основной вопрос, цитата: "S/MIME шифрование для 2 и более почтовых ящиков в одном профиле Outlook 2013/2016" ответ один - так делать неправильно, так как:

    -у неуполномоченного лица, оказываются закрытые ключи, от не зарегистрированных на него юридически значимых цифровых подписей;

    -это приводит к компрометации цифровых подписей.

    Объединение в одной Учётной записи несколько других Учётных записей допустимо в РОР3 протоколе, но это не даёт право, на использование чужих цифровых подписей.




    Да, я Жук, три пары лапок и фасеточные глаза :))


    29 июля 2018 г. 19:31
    Модератор