none
Exchange 2016 SMIME证书问题 RRS feed

  • 问题

  • 使用Get-ADUser   -Identity XXXXX -Properties *|fl 查看到部分用户属性中有UserSMimeCertificate  数值存在,大多用户则没有。

    1. 想知道UserSMimeCertificate 这个参数是怎么产生的,由哪些因素触发?

    2.UserSMimeCertificate 参数和 UserCertificate 参数的关系?(如果用户申请了UserCertificate证书,UserSMimeCertificate 的数值是否会自动创建)

    3. 在用户使用outlook发送加密邮件时这两个参数值起到什么作用?

    4.  当使用Get-mailbox   -Identity XXXXX |fl   ,UserSMimeCertificate 数值为空和数值不为空 在加密和签名过程中有什么影响?   

    UserSMimeCertificate                   : {}
    UserCertificate                        : {48 130 6 159。。。。。

    当前问题 :

    用户A在serSMimeCertificate 参数和 UserCertificate 参数均有数值 但不一样, 其他用户给A发送邮件时,部分 用户提示如下信息,


    2019年3月14日 7:27

全部回复

  • 您好,

    关于UserCertificate与UserSMimeCertificate两个AD参数相关的问题,我暂时没找到太多相关的资料。目前所知的信息是UserCertificate只存储单个证书,而UserSMimeCertificate可以存储证书链信息。当处理加密邮件是,Outlook首先会查找UserSMimeCertificate属性,如果UserSMimeCertificate属性为空,下一步会查找UserCertificate属性。以下是官方文档对这两个参数的定义:

    2.382 Attribute userSMIMECertificate

    2.377 Attribute userCertificate

    您可以查看有UserSMimeCertificate属性的用户与没有这个属性的用户之间有什么区别。

    关于您当前的问题,提示加密问题的部分用户,一般是由于这部分用户没有用户A的证书公钥导致的。而且,发件人与收件人之间必须共享彼此的证书公钥,才能发送和接收加密邮件。获取证书公钥的具体步骤请参考以下文章中的“步骤 3: 将某个收件人的数字标识添加到您的联系人”章节:

    获取数字标识

    此致, 

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月15日 2:58
    版主
  • 您好,

    请问关于当前帖子里面的疑问,还有什么我们可以帮到您的吗?以上的解决方案是否解决了您的问题?

    此致,

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.



    2019年3月18日 1:40
    版主
  • 您好,再请教以下,如何判断UserCertificate与UserSMimeCertificate 使用的是同一个证书?  如果一样,两个字段数值是不是应该是一样的?  此外 如何导入UserSMimeCertificate 信息? 谢谢
    2019年3月18日 2:44
  • 您好,

    当用户将证书发布到GAL的时候,UserCertificate与UserSMimeCertificate将会使用同一证书,关于这两个参数的值是否一致我也不太清楚。您可以看一下您的环境中这两个参数都存在的用户,这两个参数值是否一样。

    此致,

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月19日 10:17
    版主
  • 系统会自动将证书发布到GAL,还是要手动设置?目前看问题用户UserCertificate与UserSMimeCertificate这两个数值不一样。      

    现象是其他用户给“问题用户” 发送邮件。一部分可以查看到内容,一部分无法查看到内容,怀疑是邮件使用了不同的证书进行加密的


    经测试发现  其他用户使用3DES加密方式时,“问题用户”可以看到邮件内容;当其他用户使用AES256方式加密时,用户无法打开邮件内容(outlook2013),邮件手机客户端正常显示。
    • 已编辑 ice9898 2019年3月21日 10:33
    2019年3月21日 7:08
  • 您好,

    如果您将证书发布到了AD中,就会自动将证书发布到GAL。

    >>经测试发现  其他用户使用3DES加密方式时,“问题用户”可以看到邮件内容;当其他用户使用AES256方式加密时,用户无法打开邮件内容(outlook2013),邮件手机客户端正常显示。

    AES256是更安全的加密算法,而3DES是兼容性更高的加密算法。Outlook 2013默认的加密算法是3DES,建议您使用3DES加密算法作为这个问题的应变方法。

    此致,

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月22日 9:37
    版主
  • 您好,

    请问关于当前问题,是否还有什么我们可以帮您的?

    此致,

    Steve Fan


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.


    2019年3月26日 10:04
    版主