S/MIME pour Secure Mail

Secure Mail prend en charge les extensions S/MIME (Secure/Multipurpose Internet Mail Extensions), permettant aux utilisateurs de signer et de chiffrer les messages pour une sécurité accrue. La signature garantit au destinataire que le message a été envoyé par l’expéditeur identifié et non par un imposteur. Le chiffrement permet uniquement aux destinataires disposant d’un certificat compatible d’ouvrir le message.

Pour plus de détails sur S/MIME, consultez Microsoft TechNet.

Dans le tableau suivant, X indique que Secure Mail prend en charge une fonctionnalité S/MIME sur un système d’exploitation d’appareil.

Intégration avec un fournisseur d’identité numérique

Le diagramme suivant montre le chemin qu’un certificat emprunte depuis l’hôte du fournisseur d’identité numérique jusqu’à Secure Mail. Cela se produit lorsque vous intégrez Secure Mail à un fournisseur d’identité numérique tiers pris en charge.

-  ![Image du chemin du certificat du fournisseur d'identité numérique vers Secure Mail](/en-us/mobile-productivity-apps/media/xmob-securemail-smime-cert-flow.png)

-  Le coffre-fort partagé MDX est une zone de stockage sécurisée pour les données d'application sensibles telles que les certificats. Seules les applications activées par Endpoint Management peuvent accéder au coffre-fort partagé.

Prérequis

-  Secure Mail prend en charge l'intégration avec Entrust IdentityGuard.

Configuration de l’intégration

1. Préparez l’application du fournisseur d’identité et mettez-la à la disposition des utilisateurs :
   • Contactez Entrust pour obtenir le fichier .ipa à encapsuler.

   • Utilisez le MDX Toolkit pour encapsuler l’application.

     Si vous déployez cette application auprès d’utilisateurs qui possèdent déjà une version de l’application en dehors de l’environnement Endpoint Management, utilisez un ID d’application unique pour cette application. Utilisez le même profil de provisionnement pour cette application et Secure Mail.

   • Ajoutez l’application à Endpoint Management et publiez-la dans le magasin d’applications Endpoint Management.

   • Informez vos utilisateurs qu’ils doivent installer l’application du fournisseur d’identité depuis Secure Hub. Fournissez des conseils, si nécessaire, sur les étapes post-installation.

     Selon la façon dont vous configurez les stratégies S/MIME pour Secure Mail à l’étape suivante, Secure Mail peut inviter les utilisateurs à installer des certificats ou à activer S/MIME dans les paramètres de Secure Mail. Les étapes pour ces deux procédures se trouvent dans Activation de S/MIME sur Secure Mail pour iOS.

• 1. Lorsque vous ajoutez Secure Mail à Endpoint Management, assurez-vous de configurer ces stratégies :

  • Définissez la stratégie de source de certificat S/MIME sur Coffre-fort partagé. Ce paramètre signifie que Secure Mail utilise les certificats stockés dans son coffre-fort partagé par votre fournisseur d’identité numérique.

  • Pour activer S/MIME lors du démarrage initial de Secure Mail, configurez la stratégie Activer S/MIME lors du premier démarrage de Secure Mail. La stratégie détermine si Secure Mail active S/MIME lorsque des certificats sont présents dans le coffre-fort partagé. Si aucun certificat n’est disponible, Secure Mail invite l’utilisateur à importer des certificats. Si la stratégie n’est pas activée, les utilisateurs peuvent activer S/MIME dans les paramètres de Secure Mail. Par défaut, Secure Mail n’active pas S/MIME, ce qui signifie que les utilisateurs doivent activer S/MIME via les paramètres de Secure Mail.

Utilisation d’informations d’identification dérivées

Au lieu de vous intégrer à un fournisseur d’identité numérique, vous pouvez autoriser l’utilisation d’informations d’identification dérivées.

-  Lorsque vous ajoutez Secure Mail à Endpoint Management, configurez la stratégie de source de certificat S/MIME sur **Informations d'identification dérivées**. Pour plus d'informations sur les informations d'identification dérivées, consultez [Informations d'identification dérivées pour iOS](/fr-fr/citrix-endpoint-management/authentication/derived-credentials.html).

Distribution de certificats par e-mail

Au lieu de vous intégrer à un fournisseur d’identité numérique ou d’utiliser des informations d’identification dérivées, vous pouvez distribuer des certificats aux utilisateurs par e-mail. Cette option nécessite les étapes générales suivantes, détaillées dans cette section.

1. Utilisez le Gestionnaire de serveur pour activer l’inscription Web pour les services de certificats Microsoft et pour vérifier vos paramètres d’authentification dans IIS.

   • 1. Créez des modèles de certificat pour la signature et le chiffrement des messages électroniques. Utilisez ces modèles pour demander des certificats utilisateur.

2. Installez et validez les certificats, puis exportez les certificats utilisateur et envoyez-les par e-mail aux utilisateurs.

3. Les utilisateurs ouvrent l’e-mail dans Secure Mail et importent les certificats. Les certificats ne sont ainsi disponibles que pour Secure Mail. Ils n’apparaissent pas dans le profil iOS pour S/MIME.

Prérequis

Les instructions de cette section sont basées sur les composants suivants :

-  XenMobile® Server 10 et versions ultérieures

• Une version prise en charge de Citrix Gateway, anciennement NetScaler® Gateway
• Secure Mail pour iOS (version minimale 10.8.10) ; Secure Mail pour appareils Android (version minimale 10.8.10)
• Microsoft Windows Server 2008 R2 ou version ultérieure avec les services de certificats Microsoft agissant en tant qu’autorité de certification racine (CA)
• Microsoft Exchange :
  • Exchange Server 2016 Cumulative Update 4
  • Exchange Server 2013 Cumulative Update 15
  • Exchange Server 2010 SP3 Update Rollup 16

Effectuez les prérequis suivants avant de configurer S/MIME :

-  Distribuez les certificats racine et intermédiaires aux appareils mobiles, soit manuellement, soit via une stratégie d'appareil d'informations d'identification dans Endpoint Management. Pour plus de détails, consultez [Stratégie d'appareil d'informations d'identification](/en-us/citrix-endpoint-management/policies/credentials-policy.html).
-  Si vous utilisez des certificats de serveur privés pour sécuriser le trafic ActiveSync vers Exchange Server, procédez comme suit : Installez tous les certificats racine et intermédiaires sur les appareils mobiles.

Activation de l’inscription Web pour les services de certificats Microsoft

1. Accédez à Outils d’administration et sélectionnez Gestionnaire de serveur.
2. Sous Services de certificats Active Directory, vérifiez si l’Inscription Web de l’autorité de certification est installée.
3. Sélectionnez Ajouter des rôles de service pour installer l’Inscription Web de l’autorité de certification, si nécessaire.
   • 1. Cochez Inscription Web de l’autorité de certification, puis cliquez sur Suivant.
   • 1. Cliquez sur Fermer ou Terminer une fois l’installation terminée.

Vérification de vos paramètres d’authentification dans IIS

-  Assurez-vous que le site d'inscription Web utilisé pour demander des certificats utilisateur (par exemple, `https://ad.domain.com/certsrv/`) est sécurisé avec un certificat de serveur HTTPS (privé ou public).
-  Le site d'inscription Web doit être accessible via HTTPS.

1. Accédez à Outils d’administration, puis sélectionnez Gestionnaire de serveur.

2. Dans Serveur Web (IIS), recherchez sous Services de rôle. Vérifiez que l’authentification par mappage de certificat client et l’authentification par mappage de certificat client IIS sont installées. Si ce n’est pas le cas, installez ces services de rôle.
3. Accédez à Outils d’administration, puis sélectionnez Gestionnaire des services Internet (IIS).
   • 1. Dans le volet gauche de la fenêtre du Gestionnaire IIS, sélectionnez le serveur exécutant l’instance IIS pour l’inscription web.
   • 1. Cliquez sur Authentification.
   • 1. Assurez-vous que l’Authentification par certificat client Active Directory est Activée.
   • 1. Cliquez sur Sites > Site web par défaut pour Microsoft Internet Information Services > Liaisons dans le volet droit.
4. Si une liaison HTTPS n’existe pas, ajoutez-en une.
5. Accédez à l’Accueil du site web par défaut.
6. Cliquez sur Paramètres SSL, puis cliquez sur Accepter pour les certificats clients.

Création de nouveaux modèles de certificat

Pour signer et chiffrer les messages électroniques, Citrix vous recommande de créer des certificats sur les services de certificats Active Directory de Microsoft. Si vous utilisez le même certificat pour les deux objectifs et que vous archivez le certificat de chiffrement, il est possible de récupérer un certificat de signature et de permettre l’usurpation d’identité.

La procédure suivante duplique les modèles de certificat sur le serveur d’autorité de certification (CA) :

• Signature Exchange uniquement (pour la signature)
• Utilisateur Exchange (pour le chiffrement)

1. Ouvrez le composant logiciel enfichable Autorité de certification.

2. Développez l’autorité de certification, puis accédez à Modèles de certificats.

3. Cliquez avec le bouton droit de la souris, puis cliquez sur Gérer.

4. Recherchez le modèle Signature Exchange uniquement, cliquez avec le bouton droit sur le modèle, puis cliquez sur Dupliquer le modèle.

   

5. Attribuez un nom.

6. Cochez la case Publier le certificat dans Active Directory.

   Remarque :

   Si vous ne cochez pas la case Publier le certificat dans Active Directory, les utilisateurs doivent publier manuellement les certificats utilisateur (pour la signature et le chiffrement). Ils peuvent le faire via Client de messagerie Outlook > Centre de gestion de la confidentialité > Sécurité du courrier électronique > Publier dans la GAL (liste d’adresses globale).

   

7. Cliquez sur l’onglet Gestion des requêtes, puis définissez les paramètres suivants :

   • Objectif : Signature
   • Taille de clé minimale : 2048
   • Case à cocher Autoriser l’exportation de la clé privée : sélectionnée
   • Case à cocher Inscrire l’objet sans nécessiter d’entrée utilisateur : sélectionnée

   

8. Cliquez sur l’onglet Sécurité et, sous Noms de groupe ou d’utilisateur, assurez-vous que les Utilisateurs authentifiés (ou tout groupe de sécurité de domaine souhaité) sont ajoutés. Assurez-vous également que, sous Autorisations pour les utilisateurs authentifiés, les cases à cocher Lecture et Inscription sont sélectionnées pour Autoriser.

   

9. Pour tous les autres onglets et paramètres, conservez les paramètres par défaut.

10. Dans Modèles de certificats, cliquez sur Utilisateur Exchange, puis répétez les étapes 4 à 9.

    

    Pour le nouveau modèle Utilisateur Exchange, utilisez les mêmes paramètres par défaut que pour le modèle d’origine.

11. Cliquez sur l’onglet Gestion des requêtes, puis définissez les paramètres suivants :

    • Objectif : Chiffrement
    • Taille de clé minimale : 2048
    • Case à cocher Autoriser l’exportation de la clé privée : sélectionnée

    • Case à cocher Inscrire l’objet sans nécessiter d’entrée utilisateur : sélectionnée

      

      

12. Une fois les deux modèles créés, assurez-vous d’émettre les deux modèles de certificats. Cliquez sur Nouveau, puis sur Modèle de certificat à émettre.

    

Demande de certificats utilisateur

Cette procédure utilise « user1 » pour accéder à la page d’inscription Web ; par exemple, https://ad.domain.com/certsrv/. La procédure demande deux nouveaux certificats utilisateur pour la messagerie sécurisée : un certificat pour la signature et l’autre pour le chiffrement. Vous pouvez répéter la même procédure pour les autres utilisateurs de domaine qui nécessitent l’utilisation de S/MIME via Secure Mail.

L’inscription manuelle est utilisée via le site d’inscription Web (par exemple, https://ad.domain.com/certsrv/) sur les services de certificats Microsoft pour générer les certificats utilisateur pour la signature et le chiffrement. Une alternative consiste à configurer l’inscription automatique via une stratégie de groupe pour le groupe d’utilisateurs qui utiliseraient cette fonctionnalité.

1. Sur un ordinateur Windows, ouvrez Internet Explorer et accédez au site d’inscription Web pour demander un nouveau certificat utilisateur.

   Remarque :

   Assurez-vous de vous connecter avec le bon utilisateur de domaine pour demander le certificat.

   

2. Une fois connecté, cliquez sur Demander un certificat.

   

3. Cliquez sur Demande de certificat avancée.

4. Cliquez sur Créer et soumettre une demande à cette autorité de certification.

5. Générez le certificat utilisateur à des fins de signature. Sélectionnez le nom de modèle approprié et saisissez vos paramètres utilisateur, puis, à côté de Format de la demande, sélectionnez PKCS10.

   La demande a été soumise.

   

6. Cliquez sur Installer ce certificat.

7. Vérifiez que le certificat est installé avec succès.

   

8. Répétez la même procédure, mais cette fois pour le chiffrement des messages électroniques. Avec le même utilisateur connecté au site d’inscription Web, accédez au lien Accueil pour demander un nouveau certificat.

9. Sélectionnez le nouveau modèle pour le chiffrement, puis saisissez les mêmes paramètres utilisateur que ceux que vous avez entrés à l’étape 5.

   

10. Assurez-vous d’avoir installé le certificat avec succès, puis répétez la même procédure pour générer une paire de certificats utilisateur pour un autre utilisateur de domaine. Cet exemple suit la même procédure et génère une paire de certificats pour « User2 ».

    Remarque :

        -  >
        -  > Cette procédure utilise le même ordinateur Windows pour demander la deuxième paire de certificats pour « User2 ».
    

Validation des certificats publiés

1. Pour vous assurer que les certificats sont correctement installés dans le profil utilisateur du domaine, accédez à Utilisateurs et ordinateurs Active Directory > Affichage > Fonctionnalités avancées.

   

2. Accédez aux propriétés de l’utilisateur (User1 pour cet exemple), puis cliquez sur l’onglet Certificats publiés. Assurez-vous que les deux certificats sont disponibles. Vous pouvez également vérifier que chaque certificat a une utilisation spécifique.

   

   Cette figure montre un certificat pour chiffrer les messages électroniques.

   

   Cette figure montre un certificat pour signer les messages électroniques.

   

   Assurez-vous que le certificat chiffré correct est attribué à l’utilisateur. Vous pouvez vérifier ces informations sous Utilisateurs et ordinateurs Active Directory > propriétés de l’utilisateur.

   

   Le fonctionnement de Secure Mail consiste à vérifier l’attribut d’objet utilisateur userCertificate via des requêtes LDAP. Vous pouvez lire cette valeur dans l’onglet Éditeur d’attributs. Si ce champ est vide ou contient un certificat utilisateur incorrect pour le chiffrement, Secure Mail ne peut pas chiffrer (ou déchiffrer) un message.

   

Exportation des certificats utilisateur

Cette procédure exporte les paires de certificats « User1 » et « User2 » au format .PFX (PKCS#12) avec la clé privée. Une fois exportés, les certificats sont envoyés par e-mail à l’utilisateur via Outlook Web Access (OWA).

1. Ouvrez la console MMC et accédez au composant logiciel enfichable Certificats - Utilisateur actuel. Vous verrez les paires de certificats « User1 » et « User2 ».

   

2. Cliquez avec le bouton droit sur le certificat, puis cliquez sur Toutes les tâches > Exporter.

3. Exportez la clé privée en sélectionnant Oui, exporter la clé privée.

4. Cochez les cases Inclure tous les certificats dans le chemin de certification si possible et Exporter toutes les propriétés étendues.

   

5. Lorsque vous exportez le premier certificat, répétez la même procédure pour les certificats restants des utilisateurs.

   Remarque :

   Indiquez clairement quel certificat est le certificat de signature et quel certificat est le certificat de chiffrement. Dans l’exemple, les certificats sont étiquetés userX-sign.pfx et « userX-enc.pfx ».

   

Envoi de certificats par e-mail

Lorsque tous les certificats sont exportés au format PFX, vous pouvez utiliser Outlook Web Access (OWA) pour les envoyer par e-mail. Le nom de connexion pour cet exemple est User1 ; l’e-mail envoyé contient les deux certificats.

Répétez la même procédure pour User2 ou d’autres utilisateurs de votre domaine.

Activation de S/MIME sur Secure Mail pour iOS et Android

Une fois l’e-mail livré, l’étape suivante consiste à ouvrir le message à l’aide de Secure Mail et à activer S/MIME avec les certificats appropriés pour la signature et le chiffrement.

Pour activer S/MIME avec des certificats de signature et de chiffrement individuels

1. Ouvrez Secure Mail, accédez à l’e-mail contenant les certificats S/MIME.

2. Appuyez sur le certificat de signature pour le télécharger et l’importer.

3. Saisissez le mot de passe attribué à la clé privée lorsque le certificat de signature a été exporté du serveur.

   

   Votre certificat a été importé.

4. Appuyez sur Activer la signature

   

5. Vous pouvez également accéder à Paramètres > et S/MIME, puis appuyer sur S/MIME pour activer le certificat de signature.

1. Dans l’écran Signature, vérifiez que le certificat de signature correct est importé.

1. Retournez à l’e-mail et appuyez sur le certificat de chiffrement pour le télécharger et l’importer.

1. Saisissez le mot de passe attribué à la clé privée lorsque le certificat de chiffrement a été exporté du serveur.

Votre certificat a été importé.

1. Appuyez sur Activer le chiffrement

1. Vous pouvez également accéder à Paramètres > et S/MIME, puis appuyer sur S/MIME pour activer Chiffrer par défaut.

1. Dans l’écran Chiffrement, vérifiez que le certificat de chiffrement correct est importé.

Remarque :

1. Si un e-mail est signé numériquement avec S/MIME, contient des pièces jointes et que le destinataire n’a pas S/MIME activé, les pièces jointes ne sont pas reçues. Ce comportement est une limitation d’Active Sync. Pour recevoir efficacement les messages S/MIME, activez S/MIME dans les paramètres de Secure Mail.

2. L’option Chiffrer par défaut vous permet de minimiser les étapes nécessaires pour chiffrer votre e-mail. Si cette fonctionnalité est activée, votre e-mail sera dans l’état chiffré pendant la composition. Si cette fonctionnalité est désactivée, votre e-mail sera dans l’état non chiffré pendant la composition et vous devrez appuyer sur l’icône Verrouiller pour chiffrer.

Pour activer S/MIME avec un seul certificat de signature et de chiffrement

1. Ouvrez Secure Mail, accédez à l’e-mail contenant le certificat S/MIME.

1. Appuyez sur le certificat S/MIME pour le télécharger et l’importer.

2. Saisissez le mot de passe attribué à la clé privée lorsque le certificat a été exporté du serveur.

1. Parmi les options de certificat qui apparaissent, appuyez sur l’option appropriée pour importer le certificat de signature ou le certificat de chiffrement. Appuyez sur Ouvrir le certificat pour afficher les détails du certificat.

Votre certificat a été importé.

Vous pouvez afficher les certificats importés en accédant à Paramètres > S/MIME

Test de S/MIME sur iOS et Android

Une fois que vous avez effectué les étapes énumérées dans la section précédente, votre destinataire peut lire votre e-mail signé et chiffré.

L’image suivante montre un exemple de message chiffré tel que lu par le destinataire.

L’image suivante montre un exemple de vérification d’un certificat de confiance signé.

Secure Mail recherche dans le domaine Active Directory les certificats de chiffrement publics des destinataires. Si un utilisateur envoie un message chiffré à un destinataire qui ne possède pas de clé de chiffrement publique valide, le message est envoyé non chiffré. Dans un message de groupe, si même un seul destinataire ne possède pas de clé valide, le message est envoyé non chiffré à tous les destinataires.

Configuration des sources de certificats publics

Pour utiliser les certificats publics S/MIME, configurez les stratégies suivantes : source de certificat public S/MIME, adresse du serveur LDAP, DN de base LDAP et Accéder à LDAP de manière anonyme.

En plus des stratégies d’application, effectuez les opérations suivantes.

• Si les serveurs LDAP sont publics, assurez-vous que le trafic va directement aux serveurs LDAP. Pour ce faire, configurez la stratégie réseau de Secure Mail pour qu’elle soit Tunnelisée vers le réseau interne et configurez le DNS fractionné pour Citrix ADC.
• Si les serveurs LDAP se trouvent sur un réseau interne, effectuez les opérations suivantes :
  • Pour iOS, assurez-vous de ne pas configurer la stratégie de passerelle de service réseau en arrière-plan. Si vous configurez cette stratégie, les utilisateurs reçoivent des invites d’authentification fréquentes.
  • Pour Android, assurez-vous d’ajouter l’URL du serveur LDAP à la liste de la stratégie de passerelle de service réseau en arrière-plan.