Como assinar emails com um certificado usando o Outlook

Visão geral

Este guia explica como assinar digitalmente mensagens de email usando um certificado S/MIME gerenciado pelo Redtrust.

Redtrust fornece acesso seguro à chave privada do usuário através do agente Redtrust. Quando o agente está conectado e o certificado é permitido pela política, o Outlook pode usar o certificado para assinar mensagens enviadas.

Contexto

Uma assinatura digital permite que os destinatários verifiquem a autenticidade e a integridade de uma mensagem de email. Ela comprova que a mensagem foi assinada usando a chave privada associada ao certificado do remetente e que o conteúdo da mensagem não foi modificado durante o envio.

Em sistemas de email, assinaturas digitais são implementadas usando certificados S/MIME, certificados digitais emitidos especificamente para proteção de email. Diferente de outros certificados (por exemplo, certificados de autenticação), ele contém um endereço de email e as extensões de uso de chave necessárias para assinar e criptografar mensagens de email.

As etapas de configuração dependem do cliente Outlook que você utiliza:

• New Outlook usa a mesma página de configurações de S/MIME (e pode ser controlada por políticas do tenant).
• Classic Outlook é configurado no Trust Center.

info

S/MIME no Outlook para a web requer uma extensão de navegador e alguma configuração no tenant. Consulte a documentação oficial sobre configuração de S/MIME para atualizações.

Antes de começar

Para seguir este guia, você precisará do seguinte:

• Um certificado S/MIME disponível no Redtrust.
• Uma política do Redtrust que permita que o Outlook use o certificado.
  • olkexthost.exe para o New Outlook.
  • Outlook.exe para o Classic Outlook.

Requisitos da organização (administradores)

Em geral, S/MIME é implantado em organizações usando Active Directory. Implantá-lo em ambientes onde os certificados são gerenciados fora do Active Directory (por exemplo, por meio de serviços externos de certificados) não é tão direto. Nesses cenários, os administradores precisam publicar manualmente o certificado público do usuário no Exchange Online.

Você pode publicar o certificado público de um usuário (.cer) no Exchange Online usando PowerShell, conectando-se com credenciais que tenham permissão para executar Set-Mailbox.

1. Instale o módulo (caso ainda não esteja instalado).

   Install-Module -Name ExchangeOnlineManagement -Scope CurrentUser

2. Conecte-se ao Exchange Online.

   Connect-ExchangeOnline -UserPrincipalName ADMIN_UPN

3. Carregue o certificado público e publique-o na mailbox.

   $certPath = "C:\path\to\user.cer"
   $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($certPath)
   $certArray = New-Object System.Collections.ArrayList
   [void]$certArray.Insert(0, $cert.GetRawCertData())
   
   Set-Mailbox -Identity EMAIL_USUÁRIO -UserSMimeCertificate $certArray

   Em alguns ambientes, -UserCertificate também é usado, mas -UserSMimeCertificate geralmente é o atributo relevante para S/MIME.

4. Verifique se o certificado está associado à mailbox.

   Get-Mailbox -Identity EMAIL_USUÁRIO | Select-Object UserSMimeCertificate,UserCertificate | Format-List

Assinar emails

1. Conecte o agente Redtrust.

New Outlook

2. Na página inicial do Outlook, selecione New > Email.

3. Ao redigir um email, abra Message options e ative Digitally sign this message (S/MIME).

info

Se a sua organização tiver configurado S/MIME, você pode definir que todos os emails enviados utilizem S/MIME.

• Vá para Settings (ícone de engrenagem) > Mail > S/MIME.
• Ative Add a digital signature to all messages I send.

Outlook (classic)

2. Vá para File > Options > Trust Center > Trust Center Settings.
3. No painel esquerdo, selecione Email Security.
4. Em Encrypted email, selecione Settings.
5. Em Certificates and Algorithms, selecione Choose e depois selecione o certificado S/MIME.
6. Selecione OK duas vezes.

Ao redigir um email, você precisa configurar a assinatura.

1. Vá para Options > ⋯ > Message Options > Security Settings
2. Selecione seu certificado S/MIME.
3. Clique em Ok e Close.

Verificar a assinatura

1. Depois de enviar o email, abra a mensagem no Outlook. Mensagens assinadas exibem um indicador de assinatura no cabeçalho da mensagem. Você pode abrir os detalhes da assinatura para verificar o certificado usado para assinar a mensagem.

2. No console de administração, vá para Histórico. Se a assinatura tiver sido processada corretamente, ela aparecerá como Uso autorizado do certificado.