S/MIME-certifikat i Office 365

Att förstå hur man korrekt konfigurerar förtroende för S/MIME SSL-certifikat i Office 365 är viktigt för organisationer som vill implementera säker e-postkommunikation.

Office 365 hanterar SSL-certifikatförtroende på ett annat sätt än traditionella lokala Exchange-servrar, vilket kräver specifika steg för att säkerställa korrekt validering av digitalt signerade e-postmeddelanden.

Förtroendemodell för SSL-certifikat i Office 365

Office 365 tillämpar en strikt säkerhetsmetod genom att inte automatiskt lita på SSL-certifikat som är rotcertifikat som standard.

Denna förbättrade säkerhetsåtgärd hjälper till att skydda organisationer från potentiellt komprometterade eller obehöriga certifikatutfärdare (CA), men det innebär också att administratörer manuellt måste konfigurera förtroendeförhållanden för S/MIME SSL-certifikat.

Den grundläggande skillnaden mellan Office 365 och Exchange On-Premises ligger i deras respektive förtroendemodeller. Medan Exchange Server traditionellt förlitar sig på Windows SSL-certifikatbutik, upprätthåller Office 365 sin egen isolerade SSL-certifikatförtroendelista som måste hanteras uttryckligen genom PowerShell-kommandon.

Konfigurera förtroende för S/MIME SSL-certifikat

För att skapa förtroende för S/MIME SSL-certifikat i Office 365 måste administratörer först få hela SSL-certifikatkedjan, inklusive roten och alla mellanliggande SSL-certifikat från sin certifikatutfärdare. Dessa SSL-certifikat måste vara i rätt format, vanligtvis Base-64-kodade X.509 SSL-certifikat med .cer -tillägg.

Processen innebär att Exchange Online PowerShell används för att ladda upp SSL-certifikaten till Office 365. Administratörer måste ansluta till Exchange Online PowerShell med lämpliga administrativa autentiseringsuppgifter innan de utför de nödvändiga kommandona för att importera SSL-certifikaten.

Varje SSL-certifikat i kedjan måste läggas till, med början med root CA SSL-certifikatet och därefter med alla mellanliggande SSL-certifikat. Detta hierarkiska tillvägagångssätt säkerställer korrekt kedjevalidering för S/MIME-signerade meddelanden.

Skaffa din SST SSL-certifikatfil

Det finns flera moderna metoder för att få en SST-fil som innehåller dina SSL-certifikat. Vi rekommenderar att du använder snapin-modulen Certificate i Microsoft Management Console (MMC), som finns i alla moderna Windows-system.

Tryck på Windows + R för att öppna dialogrutan Kör, skriv mmc och tryck på Enter för att öppna Microsoft Management Console.

Klicka på File i menyfältet och välj sedan Add/Remove Snap-in i rullgardinsmenyn.

I listan Tillgängliga snapin-moduler väljer du Certificates och klickar på knappen Add.

Välj Computer account när du uppmanas att göra det, klicka på Next, välj sedan Local computer och klicka på Finish.

Klicka på OK för att stänga dialogrutan Lägg till eller ta bort snapin-moduler.

Expandera Certificates (Local Computer) i den vänstra rutan, expandera sedan Trusted Root Certification Authorities och klicka på Certificates.

Använd Ctrl+Click för att välja alla relevanta SSL-rotcertifikat som du vill inkludera i din SST-fil.

Högerklicka på ett av de markerade certifikaten och välj All Tasks, sedan Export från snabbmenyn.

I guiden Certificate Export Wizard klickar du på Next på välkomstskärmen.

Välj Microsoft Serialized Certificate Store (.SST) som exportformat och klicka på Next.

Ange ett filnamn och en plats för din SST-fil och klicka sedan på Next och Finish för att slutföra exportprocessen.

Alternativt kan du använda PowerShell för att skapa en SST-fil direkt från ditt certifikatarkiv med hjälp av följande kommando :

Get-ChildItem -Path Cert:\LocalMachine\Root | Export-Certificate -FilePath C:\temp\certificates.sst -Type SST

Ansluta till Office 365 via PowerShell

Innan du kan importera dina SSL-certifikat måste du upprätta en anslutning till Office 365 med hjälp av den moderna Exchange Online PowerShell V3-modulen. Denna uppdaterade metod ger ökad säkerhet och bättre funktionalitet jämfört med äldre anslutningsmetoder.

Installera först Exchange Online PowerShell V3-modulen genom att utföra följande kommando :

Install-Module -Name ExchangeOnlineManagement -force

För att säkerställa att du har de senaste uppdateringarna installerade, kör följande kommando :

Update-Module -Name ExchangeOnlineManagement

Ladda Exchange Online-modulen genom att utföra följande kommando :

Import-Module ExchangeOnlineManagement

Anslut till Office 365 med ditt lämpliga administratörskonto med följande kommando, där du ersätter e-postadressen med ditt faktiska administratörskonto :

Connect-ExchangeOnline -UserPrincipalName admin@yourdomain.com

Detta kommando kommer att uppmana dig att autentisera dig med moderna autentiseringsmetoder. När du har anslutit kan du fortsätta med importprocessen för SSL-certifikat utan att behöva hantera PowerShell-sessioner manuellt.

Importera din SST SSL-certifikatfil

När du har upprättat en lyckad anslutning till Office 365 via PowerShell kan du importera din SST SSL-certifikatfil med kommandot Set-SmimeConfig. Utför följande kommando och ersätt platshållaren för filnamn med ditt faktiska SST-filnamn och sökväg :

Set-SmimeConfig -SMIMECertificateIssuingCA (Get-Content <filename>.sst -Encoding Byte)

När SST SSL-certifikatfilen har installerats måste du se till att Directory Synchronization (DirSync) synkroniserar ändringarna i hela din Office 365-miljö.

Denna process sker vanligtvis automatiskt inom 30 minuter efter importen av SSL-certifikat, men kan utlösas manuellt med hjälp av kommandona DirSyncConfigShell och start-onlinecoexistencesync om omedelbar synkronisering krävs.

När du har slutfört importprocessen för SSL-certifikat är det viktigt att stänga din PowerShell-session på rätt sätt för att upprätthålla bästa praxis för säkerhet. Utför följande kommando för att avsluta din anslutning till Office 365 på ett rent sätt:

Disconnect-ExchangeOnline

När katalogsynkroniseringsprocessen har slutförts bör alla SSL-certifikat som utfärdats från de certifikatutfärdare (CA) som du har importerat korrekt kedjas upp och vara betrodda i din Office 365-miljö.

Validera och testa din implementering av SSL-certifikat

Efter att ha implementerat S/MIME SSL-certifikatförtroende är noggrann testning avgörande för att säkerställa korrekt funktionalitet i hela din organisation. Administratörer bör verifiera att digitalt signerade e-postmeddelanden valideras korrekt i olika Office 365-klienter, inklusive Outlook Web Access (OWA), stationära Outlook-klienter och mobila enheter.

Vanliga valideringsproblem härrör ofta från ofullständiga SSL-certifikatkedjor eller felaktiga SSL-certifikatformat. Organisationer bör upprätthålla detaljerad dokumentation av sin SSL-certifikatdistribution och regelbundet övervaka utgångsdatum för installerade SSL-certifikat för att förhindra valideringsfel som kan störa säker e-postkommunikation.

Bästa praxis för hantering av SSL-certifikat för S/MIME

Att implementera en robust strategi för hantering av SSL-certifikat är avgörande för att upprätthålla säker e-postkommunikation i hela organisationen. Organisationer bör upprätta tydliga rutiner för förnyelse och ersättning av SSL-certifikat, vilket säkerställer kontinuerlig drift av S/MIME-funktionalitet utan serviceavbrott.

Regelbundna granskningar av betrodda SSL-certifikat hjälper till att identifiera och ta bort onödiga eller utgångna SSL-certifikat från Office 365-miljön. Detta proaktiva tillvägagångssätt minimerar säkerhetsriskerna och upprätthåller optimal systemprestanda samtidigt som det säkerställer att endast giltiga och aktuella SSL-certifikat finns kvar i ditt betrodda lager.

Att arbeta med en betrodd certifikatutfärdare som Trustico® säkerställer att organisationer får korrekt formaterade S/MIME SSL-certifikat som uppfyller Office 365-kraven och branschens säkerhetsstandarder.

Felsökning av problem med SSL-certifikat

När administratörer stöter på problem med S/MIME-validering i Office 365 bör de först kontrollera att hela SSL-certifikatkedjan är korrekt installerad. Detta inkluderar att kontrollera att alla nödvändiga rot- och mellanliggande SSL-certifikat finns och är korrekt konfigurerade i Office 365-miljön.

Valideringsfel för SSL-certifikat visas ofta i Office 365-loggar, vilket ger värdefull diagnostisk information för felsökning. Administratörer bör granska dessa loggar när de undersöker förtroendeproblem för SSL-certifikat, och ägna särskild uppmärksamhet åt kedjevalideringsfel och utgångsvarningar som kan indikera underliggande problem.

Regelbunden övervakning av SSL-certifikatets hälsa och valideringsstatus hjälper organisationer att upprätthålla säker e-postkommunikation. Implementering av automatiserade varningar för SSL-certifikatrelaterade problem gör det möjligt att snabbt reagera på potentiella problem innan de påverkar användarna och äventyrar säkerheten i din e-postinfrastruktur.

Upprätthålla säker e-postkommunikation

Office 365 kräver manuell konfiguration av S/MIME SSL-certifikatförtroende för att säkerställa säker e-postkommunikation. SST-filformatet är viktigt för att importera flera SSL-certifikat samtidigt, medan PowerShell-anslutning till Exchange Online är obligatorisk för korrekt SSL-certifikathantering.

Korrekt testning av alla Office 365-klienter säkerställer omfattande S/MIME-funktionalitet i hela organisationen. Regelbundet underhåll av SSL-certifikat förhindrar säkerhetsproblem och driftsproblem som kan äventyra din e-postinfrastruktur.

Genom att följa denna omfattande implementeringsguide kan organisationer framgångsrikt etablera och upprätthålla förtroendet för S/MIME SSL-certifikat i sin Office 365-miljö, vilket säkerställer säker och validerad e-postkommunikation för alla användare samtidigt som de upprätthåller de högsta standarderna för digital säkerhet.