S/MIME-sertifikaatti Office 365:ssä

Sen ymmärtäminen, miten Office 365:n S/MIME SSL -sertifikaattien luottamus määritetään oikein, on olennaisen tärkeää organisaatioille, jotka haluavat ottaa käyttöön turvallisen sähköpostiviestinnän.

Office 365 käsittelee SSL-varmenteiden luottamusta eri tavalla kuin perinteiset paikalliset Exchange-palvelimet, ja se vaatii erityisiä toimenpiteitä digitaalisesti allekirjoitettujen sähköpostiviestien asianmukaisen validoinnin varmistamiseksi.

Office 365:n SSL-varmenteiden luottamusmalli

Office 365 noudattaa tiukkaa turvallisuuslähestymistapaa, sillä se ei luota automaattisesti oletusarvoisesti SSL-juurivarmenteisiin.

Tämä tehostettu turvatoimenpide auttaa suojaamaan organisaatioita mahdollisesti vaarantuneilta tai luvattomilta CA-varmentajilta, mutta se tarkoittaa myös sitä, että ylläpitäjien on määritettävä S/MIME SSL -varmenteiden luottamussuhteet manuaalisesti.

Office 365:n ja Exchange On-Premises -palvelimen välinen perustavanlaatuinen ero on niiden luottamusmalleissa. Exchange Server luottaa perinteisesti Windowsin SSL-varmenteiden varastoon, mutta Office 365 ylläpitää omaa erillistä SSL-varmenteiden luottamusluetteloa, jota on hallinnoitava nimenomaisesti PowerShell-komennoilla.

S/MIME SSL-varmenteen luottamuksen määrittäminen

Jotta S/MIME-solvarmenteisiin voidaan luottaa Office 365:ssä, ylläpitäjien on ensin hankittava varmentajalta koko SSL-sertifikaattiketju, mukaan lukien juuri- ja mahdolliset välivaiheen SSL-sertifikaatit. Näiden SSL-sertifikaattien on oltava oikeassa muodossa, tyypillisesti Base-64-koodattuja X.509-solvarmenteita, joissa on .cer -laajennus.

Prosessissa SSL-varmenteet ladataan Office 365:een Exchange Online PowerShellin avulla. Järjestelmänvalvojien on muodostettava yhteys Exchange Online PowerShelliin asianmukaisilla järjestelmänvalvojan tunnistetiedoilla ennen SSL-varmenteiden tuomiseen tarvittavien komentojen suorittamista.

Ketjun jokainen SSL-varmenne on lisättävä, aloittaen juurivarmentajan SSL-varmenteesta ja sen jälkeen kaikista väliketjun SSL-varmenteista. Tämä hierarkkinen lähestymistapa varmistaa ketjun asianmukaisen validoinnin S/MIME-allekirjoitetuille viesteille.

SST SSL-sertifikaattitiedoston hankkiminen

SSL-varmenteet sisältävän SST-tiedoston hankkimiseen on useita nykyaikaisia menetelmiä. Suosittelemme käyttämään Microsoft Management Console (MMC) Certificate -laajennusta, joka on käytettävissä kaikissa nykyaikaisissa Windows-järjestelmissä.

Avaa Suorita-valintaikkuna painamalla Windows + R, kirjoita mmc ja avaa Microsoft Management Console painamalla Enter.

Napsauta valikkorivillä File ja valitse sitten avattavasta valikosta Add/Remove Snap-in.

Valitse Available snap-ins (Käytettävissä olevat laajennukset) -luettelosta Certificates ja napsauta Add -painiketta.

Valitse pyydettäessä Computer account, napsauta Next, valitse sitten Local computer ja napsauta Finish.

Sulje Add or Remove Snap-ins -valintaikkuna napsauttamalla OK.

Laajenna vasemmassa ruudussa Certificates (Local Computer), laajenna sitten Trusted Root Certification Authorities ja napsauta Certificates.

Valitse osoitteessa Ctrl+Click kaikki asiaankuuluvat Root SSL -varmenteet, jotka haluat sisällyttää SST-tiedostoon.

Napsauta hiiren kakkospainikkeella yhtä valituista varmenteista ja valitse kontekstivalikosta All Tasks, sitten Export.

Napsauta ohjatussa varmenteiden vientitoiminnossa Tervetuloa-näytössä Next.

Valitse vientimuodoksi Microsoft Serialized Certificate Store (.SST) ja napsauta Next.

Anna SST-tiedoston tiedostonimi ja sijainti ja viimeistele vienti napsauttamalla Next ja Finish.

Vaihtoehtoisesti voit luoda SST-tiedoston PowerShellin avulla suoraan varmennepalvelusta seuraavalla komennolla :

Get-ChildItem -Path Cert:\LocalMachine\Root | Export-Certificate -FilePath C:\temp\certificates.sst -Type SST

Yhteyden muodostaminen Office 365:een PowerShellin avulla

Ennen kuin voit tuoda SSL-varmenteesi, sinun on muodostettava yhteys Office 365:een käyttämällä nykyaikaista Exchange Online PowerShell V3 -moduulia. Tämä päivitetty menetelmä tarjoaa parannetun turvallisuuden ja paremmat toiminnot verrattuna vanhoihin yhteysmenetelmiin.

Asenna ensin Exchange Online PowerShell V3 -moduuli suorittamalla seuraava komento :

Install-Module -Name ExchangeOnlineManagement -force

Varmista, että uusimmat päivitykset on asennettu, suorittamalla seuraava komento :

Update-Module -Name ExchangeOnlineManagement

Lataa Exchange Online -moduuli suorittamalla seuraava komento :

Import-Module ExchangeOnlineManagement

Muodosta yhteys Office 365:een asianmukaisella hallintatililläsi käyttämällä seuraavaa komentoa ja korvaamalla sähköpostiosoite todellisella hallintatililläsi :

Connect-ExchangeOnline -UserPrincipalName admin@yourdomain.com

Tämä komento pyytää sinua todennusta nykyaikaisilla todennusmenetelmillä. Kun yhteys on muodostettu onnistuneesti, voit jatkaa SSL-sertifikaatin tuontiprosessia ilman, että sinun tarvitsee hallita PowerShell-istuntoja manuaalisesti.

SST SSL-sertifikaattitiedoston tuominen

Kun olet muodostanut onnistuneen yhteyden Office 365:een PowerShellin kautta, voit tuoda SST SSL -sertifikaattitiedostosi komennolla Set-SmimeConfig. Suorita seuraava komento ja korvaa tiedostonimen sijoitusmerkki todellisella SST-tiedoston nimellä ja polulla :

Set-SmimeConfig -SMIMECertificateIssuingCA (Get-Content <filename>.sst -Encoding Byte)

Kun SST SSL -sertifikaattitiedosto on asennettu, sinun on varmistettava, että Directory Synchronization (DirSync) synkronoi muutokset koko Office 365 -ympäristössäsi.

Tämä prosessi tapahtuu yleensä automaattisesti 30 minuutin kuluessa SSL-sertifikaatin tuonnista, mutta se voidaan käynnistää manuaalisesti komennoilla DirSyncConfigShell ja start-onlinecoexistencesync, jos tarvitaan välitöntä synkronointia.

Kun olet saanut SSL-varmenteen tuontiprosessin päätökseen, on tärkeää sulkea PowerShell-istunto asianmukaisesti parhaiden turvallisuuskäytäntöjen säilyttämiseksi. Suorita seuraava komento, jotta yhteys Office 365:een voidaan lopettaa siististi :

Disconnect-ExchangeOnline

Kun hakemistosynkronointiprosessi on päättynyt, kaikkien tuomiesi varmentajien (CA) myöntämien SSL-sertifikaattien pitäisi ketjuuntua asianmukaisesti ja niihin pitäisi luottaa Office 365 -ympäristössäsi.

SSL-varmenteen käyttöönoton validointi ja testaus

Kun S/MIME SSL-sertifikaatin luottamus on otettu käyttöön, perusteellinen testaus on ratkaisevan tärkeää, jotta voidaan varmistaa asianmukainen toiminta koko organisaatiossa. Järjestelmänvalvojien on tarkistettava, että digitaalisesti allekirjoitetut sähköpostiviestit validoidaan asianmukaisesti eri Office 365 -asiakkaissa, kuten Outlook Web Accessissa (OWA), työpöytä-Olook-asiakkaissa ja mobiililaitteissa.

Yleiset validointiongelmat johtuvat usein puutteellisista SSL-sertifikaattiketjuista tai virheellisistä SSL-sertifikaattimuodoista. Organisaatioiden olisi ylläpidettävä yksityiskohtaista dokumentaatiota SSL-sertifikaattien käyttöönotosta ja seurattava säännöllisesti asennettujen SSL-sertifikaattien voimassaolon päättymispäivämääriä, jotta voidaan estää validointivirheet, jotka voivat häiritä suojattua sähköpostiviestintää.

Parhaat käytännöt S/MIME SSL-varmenteiden hallintaan

Vankan SSL-varmenteen hallintastrategian toteuttaminen on olennaisen tärkeää, jotta turvallinen sähköpostiviestintä voidaan ylläpitää koko organisaatiossa. Organisaatioiden olisi laadittava selkeät menettelyt SSL-varmenteen uusimista ja korvaamista varten, jotta varmistetaan S/MIME-toimintojen jatkuva toiminta ilman palvelukatkoksia.

Luotettujen SSL-varmenteiden säännölliset tarkastukset auttavat tunnistamaan ja poistamaan tarpeettomat tai vanhentuneet SSL-varmenteet Office 365 -ympäristöstä. Tämä ennakoiva lähestymistapa minimoi tietoturvariskit ja ylläpitää järjestelmän optimaalista suorituskykyä varmistaen samalla, että luotettavuusvarastossa on vain voimassa olevia ja ajankohtaisia SSL-varmenteita.

Yhteistyö Trustico®:n kaltaisen luotettavan varmentajan kanssa varmistaa, että organisaatiot saavat oikein muotoillut S/MIME SSL-sertifikaatit, jotka täyttävät Office 365:n vaatimukset ja alan turvallisuusstandardit.

SSL-varmenteen ongelmien vianmääritys

Kun Office 365:ssä ilmenee S/MIME-varmennusongelmia, ylläpitäjien on ensin tarkistettava, että koko SSL-varmenne-ketju on asennettu oikein. Tähän kuuluu sen tarkistaminen, että kaikki tarvittavat pää- ja välivaiheen SSL-varmenteet ovat läsnä ja oikein määritetty Office 365 -ympäristössä.

SSL-varmenteen validointivirheet näkyvät usein Office 365:n lokitiedostoissa, jotka tarjoavat arvokasta diagnostiikkatietoa vianmääritystä varten. Järjestelmänvalvojien olisi tarkasteltava näitä lokitietoja tutkiessaan SSL-varmenteen luottamusongelmia ja kiinnitettävä erityistä huomiota ketjun validointivirheisiin ja voimassaolon päättymisvaroituksiin, jotka voivat viitata taustalla oleviin ongelmiin.

SSL-varmenteen kunnon ja validoinnin tilan säännöllinen seuranta auttaa organisaatioita ylläpitämään turvallista sähköpostiviestintää. SSL-varmenteeseen liittyvien ongelmien automaattisten hälytysten käyttöönotto mahdollistaa nopean reagoinnin mahdollisiin ongelmiin ennen kuin ne vaikuttavat käyttäjiin ja vaarantavat sähköposti-infrastruktuurin turvallisuuden.

Turvallisen sähköpostiviestinnän ylläpitäminen

Office 365 edellyttää S/MIME SSL -varmenteen luottamuksen manuaalista määritystä turvallisen sähköpostiviestinnän varmistamiseksi. SST-tiedostomuoto on välttämätön useiden SSL-varmenteiden samanaikaista tuontia varten, ja PowerShell-yhteys Exchange Onlineen on pakollinen SSL-varmenteiden asianmukaista hallintaa varten.

Asianmukainen testaus kaikissa Office 365 -asiakkaissa varmistaa kattavan S/MIME-toiminnallisuuden koko organisaatiossasi. Säännöllinen SSL-varmenteen ylläpito ehkäisee tietoturva-aukkoja ja toimintaongelmia, jotka voivat vaarantaa sähköposti-infrastruktuurin.

Tätä kattavaa käyttöönotto-opasta noudattamalla organisaatiot voivat onnistuneesti luoda ja ylläpitää S/MIME SSL -sertifikaattien luottamusta Office 365 -ympäristöönsä ja varmistaa turvallisen ja validoidun sähköpostiviestinnän kaikille käyttäjille samalla, kun digitaalisen tietoturvan korkeimmat standardit säilyvät.