S/MIME para Secure Mail

Secure Mail es compatible con las Extensiones de correo de Internet seguras/multipropósito (S/MIME), lo que permite a los usuarios firmar y cifrar mensajes para una mayor seguridad. La firma asegura al destinatario que el remitente identificado envió el mensaje y no un impostor. El cifrado permite que solo los destinatarios con un certificado compatible abran el mensaje.

Para obtener más información sobre S/MIME, consulta Microsoft TechNet.

En la siguiente tabla, una X indica que Secure Mail es compatible con una función S/MIME en un sistema operativo de dispositivo.

Integración con un proveedor de identidad digital

El siguiente diagrama muestra la ruta que sigue un certificado desde el host del proveedor de identidad digital hasta Secure Mail. Esto ocurre cuando integras Secure Mail con un proveedor de identidad digital de terceros compatible.

-  ![Imagen de la ruta del certificado del proveedor de identidad digital a Secure Mail](/en-us/mobile-productivity-apps/media/xmob-securemail-smime-cert-flow.png)

-  El almacén compartido de MDX es un área de almacenamiento segura para datos confidenciales de aplicaciones, como certificados. Solo las aplicaciones habilitadas por Endpoint Management pueden acceder al almacén compartido.

Requisitos previos

-  Secure Mail es compatible con la integración con Entrust IdentityGuard.

Configuración de la integración

1. Prepara la aplicación del proveedor de identidad y proporciónala a los usuarios:
   • Ponte en contacto con Entrust para obtener el archivo .ipa que se va a encapsular.

   • Usa MDX Toolkit para encapsular la aplicación.

     Si implementas esta aplicación para usuarios que ya tienen una versión de la aplicación fuera del entorno de Endpoint Management, usa un ID de aplicación único para esta aplicación. Usa el mismo perfil de aprovisionamiento para esta aplicación y Secure Mail.

   • Agrega la aplicación a Endpoint Management y publícala en la tienda de aplicaciones de Endpoint Management.

   • Informa a tus usuarios de que deben instalar la aplicación del proveedor de identidad desde Secure Hub. Proporciona orientación, según sea necesario, sobre cualquier paso posterior a la instalación.

     Según cómo configures las directivas S/MIME para Secure Mail en el siguiente paso, Secure Mail podría solicitar a los usuarios que instalen certificados o que habiliten S/MIME en la configuración de Secure Mail. Los pasos para ambos procedimientos se encuentran en Habilitar S/MIME en Secure Mail para iOS.

• 1. Cuando agregues Secure Mail a Endpoint Management, asegúrate de configurar estas directivas:

  • Establece la directiva de origen de certificados S/MIME en Almacén compartido. Esta configuración significa que Secure Mail usa los certificados almacenados en su almacén compartido por tu proveedor de identidad digital.

  • Para habilitar S/MIME durante el inicio inicial de Secure Mail, configura la directiva Habilitar S/MIME durante el primer inicio de Secure Mail. La directiva determina si Secure Mail habilita S/MIME cuando hay certificados en el almacén compartido. Si no hay certificados disponibles, Secure Mail solicita al usuario que importe certificados. Si la directiva no está habilitada, los usuarios pueden habilitar S/MIME en la configuración de Secure Mail. De forma predeterminada, Secure Mail no habilita S/MIME, lo que significa que los usuarios deben habilitar S/MIME a través de la configuración de Secure Mail.

Uso de credenciales derivadas

En lugar de integrarte con un proveedor de identidad digital, puedes permitir el uso de credenciales derivadas.

-  Cuando agregues Secure Mail a Endpoint Management, configura la directiva de origen de certificados S/MIME en **Credenciales derivadas**. Para obtener más información sobre las credenciales derivadas, consulta [Credenciales derivadas para iOS](/es-es/citrix-endpoint-management/authentication/derived-credentials.html).

Distribución de certificados por correo electrónico

En lugar de integrarte con un proveedor de identidad digital o usar credenciales derivadas, puedes distribuir certificados a los usuarios por correo electrónico. Esta opción requiere los siguientes pasos generales, detallados en esta sección.

1. Usa el Administrador del servidor para habilitar la inscripción web para los Servicios de certificados de Microsoft y para verificar tu configuración de autenticación en IIS.

   • 1. Crea plantillas de certificados para firmar y cifrar mensajes de correo electrónico. Usa esas plantillas para solicitar certificados de usuario.

2. Instala y valida los certificados, luego exporta los certificados de usuario y envíalos por correo electrónico a los usuarios.

3. Los usuarios abren el correo electrónico en Secure Mail e importan los certificados. Los certificados solo están disponibles para Secure Mail. No aparecen en el perfil de iOS para S/MIME.

Requisitos previos

Las instrucciones de esta sección se basan en los siguientes componentes:

-  XenMobile® Server 10 y versiones posteriores

• Una versión compatible de Citrix Gateway, anteriormente NetScaler® Gateway
• Secure Mail para iOS (versión mínima 10.8.10); Secure Mail para dispositivos Android (versión mínima 10.8.10)
• Microsoft Windows Server 2008 R2 o posterior con Servicios de certificados de Microsoft actuando como Entidad de certificación raíz (CA)
• Microsoft Exchange:
  • Exchange Server 2016 Cumulative Update 4
  • Exchange Server 2013 Cumulative Update 15
  • Exchange Server 2010 SP3 Update Rollup 16

Completa los siguientes requisitos previos antes de configurar S/MIME:

-  Entrega los certificados raíz e intermedios a los dispositivos móviles de forma manual o mediante una directiva de dispositivo de credenciales en Endpoint Management. Para obtener más información, consulta [Directiva de dispositivo de credenciales](/es-es/citrix-endpoint-management/policies/credentials-policy.html).
-  Si usas certificados de servidor privados para proteger el tráfico de ActiveSync a Exchange Server, haz lo siguiente: Ten todos los certificados raíz e intermedios instalados en los dispositivos móviles.

Habilitación de la inscripción web para los Servicios de certificados de Microsoft

1. Ve a Herramientas administrativas y selecciona Administrador del servidor.
2. En Servicios de certificados de Active Directory, comprueba si Inscripción web de entidad de certificación está instalada.
3. Selecciona Agregar servicios de rol para instalar la Inscripción web de entidad de certificación, si es necesario.
   • 1. Marca Inscripción web de entidad de certificación y luego haz clic en Siguiente.
   • 1. Haz clic en Cerrar o Finalizar cuando la instalación se haya completado.

Verificación de la configuración de autenticación en IIS

• Asegúrate de que el sitio de inscripción web utilizado para solicitar certificados de usuario (por ejemplo, https://ad.domain.com/certsrv/) esté protegido con un certificado de servidor HTTPS (privado o público).
• Se debe acceder al sitio de inscripción web a través de HTTPS.

1. Ve a Herramientas administrativas y luego selecciona Administrador del servidor.

2. En Servidor web (IIS), busca en Servicios de rol. Verifica que la Autenticación de asignación de certificados de cliente y la Autenticación de asignación de certificados de cliente de IIS estén instaladas. Si no es así, instala estos servicios de rol.
3. Ve a Herramientas administrativas y luego selecciona Administrador de Internet Information Services (IIS).
   • 1. En el panel izquierdo de la ventana del Administrador de IIS, selecciona el servidor que ejecuta la instancia de IIS para la inscripción web.
   • 1. Haz clic en Autenticación.
   • 1. Asegúrate de que la Autenticación de certificados de cliente de Active Directory esté Habilitada.
   • 1. Haz clic en Sitios > Sitio web predeterminado para Microsoft Internet Information Services > Enlaces en el panel derecho.
4. Si no existe un enlace HTTPS, agrega uno.
5. Ve a la página de inicio del sitio web predeterminado.
6. Haz clic en Configuración SSL y luego haz clic en Aceptar para certificados de cliente.

Creación de nuevas plantillas de certificado

Para firmar y cifrar mensajes de correo electrónico, Citrix recomienda que crees certificados en los Servicios de certificados de Microsoft Active Directory. Si usas el mismo certificado para ambos propósitos y archivas el certificado de cifrado, es posible recuperar un certificado de firma y permitir la suplantación.

El siguiente procedimiento duplica las plantillas de certificado en el servidor de la Autoridad de certificación (CA):

• Solo firma de Exchange (para firmar)
• Usuario de Exchange (para cifrado)

1. Abre el complemento de Autoridad de certificación.

2. Expande la CA y luego ve a Plantillas de certificado.

3. Haz clic con el botón derecho y luego haz clic en Administrar.

4. Busca la plantilla Solo firma de Exchange, haz clic con el botón derecho en la plantilla y luego haz clic en Duplicar plantilla.

   

5. Asigna un nombre cualquiera.

6. Selecciona la casilla de verificación Publicar certificado en Active Directory.

   Nota:

   Si no seleccionas la casilla de verificación Publicar certificado en Active Directory, los usuarios deben publicar los certificados de usuario (para firma y cifrado) manualmente. Pueden hacerlo a través de cliente de correo de Outlook > Centro de confianza > Seguridad del correo electrónico > Publicar en la LGD (Lista global de direcciones).

   

7. Haz clic en la ficha Administración de solicitudes y luego establece los siguientes parámetros:

   • Propósito: Firma
   • Tamaño mínimo de clave: 2048
   • Casilla de verificación Permitir exportar clave privada: seleccionada
   • Casilla de verificación Inscribir sujeto sin requerir ninguna entrada del usuario: seleccionada

   

8. Haz clic en la ficha Seguridad y, en Nombres de grupo o de usuario, asegúrate de que Usuarios autenticados (o cualquier grupo de seguridad de dominio deseado) esté agregado. Asegúrate también de que, en Permisos para Usuarios autenticados, las casillas de verificación Leer e Inscribir estén seleccionadas para Permitir.

   

9. Para todas las demás fichas y configuraciones, deja la configuración predeterminada.

10. En Plantillas de certificado, haz clic en Usuario de Exchange y luego repite los pasos del 4 al 9.

    

    Para la nueva plantilla Usuario de Exchange, usa la misma configuración predeterminada que para la plantilla original.

11. Haz clic en la ficha Administración de solicitudes y luego establece los siguientes parámetros:

    • Propósito: Cifrado
    • Tamaño mínimo de clave: 2048
    • Casilla de verificación Permitir exportar clave privada: seleccionada

    • Casilla de verificación Inscribir sujeto sin requerir ninguna entrada del usuario: seleccionada

      

      

12. Cuando ambas plantillas estén creadas, asegúrate de emitir ambas plantillas de certificado. Haz clic en Nuevo y luego haz clic en Plantilla de certificado para emitir.

    

Solicitar certificados de usuario

Este procedimiento usa “user1” para navegar a la página de inscripción web; por ejemplo, https://ad.domain.com/certsrv/. El procedimiento solicita dos nuevos certificados de usuario para correo electrónico seguro: un certificado para firma y el otro para cifrado. Puedes repetir el mismo procedimiento para otros usuarios de dominio que requieran el uso de S/MIME a través de Secure Mail.

La inscripción manual se usa a través del sitio de inscripción web (por ejemplo, https://ad.domain.com/certsrv/) en los Servicios de certificados de Microsoft para generar los certificados de usuario para firma y cifrado. Una alternativa es configurar la inscripción automática a través de una Directiva de grupo para el grupo de usuarios que usarían esta característica.

1. En un equipo basado en Windows, abre Internet Explorer y ve al sitio de inscripción web para solicitar un nuevo certificado de usuario.

   Nota:

   Asegúrate de iniciar sesión con el usuario de dominio correcto para solicitar el certificado.

   

2. Cuando hayas iniciado sesión, haz clic en Solicitar un certificado.

   

3. Haz clic en Solicitud de certificado avanzada.

4. Haz clic en Crear y enviar una solicitud a esta CA.

5. Genera el certificado de usuario para fines de firma. Selecciona el nombre de plantilla adecuado y escribe tu configuración de usuario, y luego, junto a Formato de solicitud, selecciona PKCS10.

   La solicitud se ha enviado.

   

6. Haz clic en Instalar este certificado.

7. Verifica que el certificado se haya instalado correctamente.

   

8. Repite el mismo procedimiento, pero ahora para cifrar mensajes de correo electrónico. Con el mismo usuario que inició sesión en el sitio de inscripción web, ve al enlace Inicio para solicitar un nuevo certificado.

9. Selecciona la nueva plantilla para cifrado y luego escribe la misma configuración de usuario que introdujiste en el paso 5.

   

10. Asegúrate de haber instalado el certificado correctamente y, a continuación, repite el mismo procedimiento para generar un par de certificados de usuario para otro usuario de dominio. Este ejemplo sigue el mismo procedimiento y genera un par de certificados para “User2”.

    Nota:

        -  >
        -  > Este procedimiento usa el mismo equipo basado en Windows para solicitar el segundo par de certificados para "User2".
    

Validar certificados publicados

1. Para asegurarte de que los certificados están instalados correctamente en el perfil de usuario de dominio, ve a Usuarios y equipos de Active Directory > Ver > Características avanzadas.

   

2. Ve a las propiedades del usuario (User1 para este ejemplo) y, a continuación, haz clic en la ficha Certificados publicados. Asegúrate de que ambos certificados estén disponibles. También puedes verificar que cada certificado tiene un uso específico.

   

   Esta figura muestra un certificado para cifrar mensajes de correo electrónico.

   

   Esta figura muestra un certificado para firmar mensajes de correo electrónico.

   

   Asegúrate de que el certificado cifrado correcto esté asignado al usuario. Puedes verificar esta información en Usuarios y equipos de Active Directory > propiedades de usuario.

   

   Secure Mail funciona comprobando el atributo de objeto de usuario userCertificate mediante consultas LDAP. Puedes leer este valor en la ficha Editor de atributos. Si este campo está vacío o tiene el certificado de usuario incorrecto para el cifrado, Secure Mail no puede cifrar (o descifrar) un mensaje.

   

Exportar los certificados de usuario

Este procedimiento exporta los certificados de “User1” y “User2” en formato .PFX (PKCS#12) con la clave privada. Una vez exportados, los certificados se envían por correo electrónico al usuario mediante Outlook Web Access (OWA).

1. Abre la consola MMC y ve al complemento de Certificados - Usuario actual. Verás los certificados de “User1” y “User2”.

   

2. Haz clic con el botón derecho en el certificado y, a continuación, haz clic en Todas las tareas > Exportar.

3. Exporta la clave privada seleccionando Sí, exportar la clave privada.

4. Selecciona las casillas de verificación Incluir todos los certificados en la ruta de certificación si es posible y Exportar todas las propiedades extendidas.

   

5. Cuando exportes el primer certificado, repite el mismo procedimiento para los certificados restantes de los usuarios.

   Nota:

   Etiqueta claramente qué certificado es el de firma y cuál es el de cifrado. En el ejemplo, los certificados se etiquetan como userX-sign.pfx y userX-enc.pfx.

   

Enviar certificados por correo electrónico

Cuando todos los certificados se hayan exportado en formato PFX, puedes usar Outlook Web Access (OWA) para enviarlos por correo electrónico. El nombre de inicio de sesión para este ejemplo es User1 y el correo electrónico enviado contiene ambos certificados.

Repite el mismo procedimiento para User2 u otros usuarios de tu dominio.

Habilitar S/MIME en Secure Mail para iOS y Android

Una vez entregado el correo electrónico, el siguiente paso es abrir el mensaje usando Secure Mail y habilitar S/MIME con los certificados apropiados para la firma y el cifrado.

Para habilitar S/MIME con certificados individuales de firma y cifrado

1. Abre Secure Mail, navega hasta el correo electrónico que contiene los certificados S/MIME.

2. Toca el certificado de firma para descargarlo e importarlo.

3. Escribe la contraseña asignada a la clave privada cuando el certificado de firma se exportó desde el servidor.

   

   Tu certificado se ha importado.

4. Toca Activar firma.

   

5. Alternativamente, puedes ir a Ajustes > y S/MIME y tocar S/MIME para activar el certificado de firma.

   

6. En la pantalla de Firma, verifica que el certificado de firma correcto se haya importado.

   

7. Vuelve al correo electrónico y toca el certificado de cifrado para descargarlo e importarlo.

   

8. Escribe la contraseña asignada a la clave privada cuando se exportó el certificado de cifrado desde el servidor.

   

   Tu certificado se ha importado.

9. Toca Activar cifrado

   

10. Alternativamente, puedes ir a Ajustes > y S/MIME y tocar S/MIME para activar Cifrar por defecto.

    

11. En la pantalla de Cifrado, verifica que el certificado de cifrado correcto se haya importado.

    

    Nota:

    1. Si un correo electrónico está firmado digitalmente con S/MIME, tiene archivos adjuntos y el destinatario no tiene S/MIME activado, los archivos adjuntos no se reciben. Este comportamiento es una limitación de Active Sync. Para recibir mensajes S/MIME de forma eficaz, activa S/MIME en la configuración de Secure Mail.

    2. La opción Cifrar por defecto te permite minimizar los pasos necesarios para cifrar tu correo electrónico. Si esta función está activada, tu correo electrónico estará en estado cifrado mientras lo redactas. Si esta función está desactivada, tu correo electrónico estará en estado sin cifrar mientras lo redactas y deberás tocar el icono de Bloqueo para cifrarlo.

    

Para activar S/MIME con un único certificado de firma y cifrado

1. Abre Secure Mail, ve al correo electrónico que contiene el certificado S/MIME.

   

2. Toca el certificado S/MIME para descargarlo e importarlo.

3. Escribe la contraseña asignada a la clave privada cuando se exportó el certificado desde el servidor.

   

4. De las opciones de certificado que aparecen, toca la opción adecuada para importar el certificado de firma o el certificado de cifrado. Toca Abrir certificado para ver los detalles del certificado.

   

   Tu certificado se ha importado.

   Puedes ver los certificados importados yendo a Ajustes > S/MIME

Prueba de S/MIME en iOS y Android

Una vez que hayas realizado los pasos enumerados en la sección anterior, tu destinatario podrá leer tu correo firmado y cifrado.

La siguiente imagen muestra un ejemplo de un mensaje cifrado tal como lo lee el destinatario.

La siguiente imagen muestra un ejemplo de verificación de un certificado de confianza firmado.

Secure Mail busca en el dominio de Active Directory los certificados de cifrado públicos de los destinatarios. Si un usuario envía un mensaje cifrado a un destinatario que no tiene una clave de cifrado pública válida, el mensaje se envía sin cifrar. En un mensaje de grupo, si incluso un destinatario no tiene una clave válida, el mensaje se envía sin cifrar a todos los destinatarios.

Configuración de fuentes de certificados públicos

Para usar certificados públicos S/MIME, configura la fuente de certificados públicos S/MIME, la dirección del servidor LDAP, el DN base de LDAP y las políticas de acceso anónimo a LDAP.

Además de las políticas de la aplicación, haz lo siguiente.

• Si los servidores LDAP son públicos, asegúrate de que el tráfico vaya directamente a los servidores LDAP. Para ello, configura la política de red de Secure Mail para que sea Tunelizado a la red interna y configura el DNS dividido para Citrix ADC.
• Si los servidores LDAP están en una red interna, haz lo siguiente:
  • Para iOS, asegúrate de no configurar la política de puerta de enlace de servicio de red en segundo plano. Si configuras la política, los usuarios recibirán solicitudes de autenticación frecuentes.
  • Para Android, asegúrate de agregar la URL del servidor LDAP en la lista de la política de puerta de enlace de servicio de red en segundo plano.