Fehler beim Senden von mit S/MIME verschlüsselten E-Mails aus OWA: Outlook Web Access konnte Ihre digitale ID zur Verschlüsselung nicht finden

  • Artikel
  • Gilt für::
    Exchange Server 2010 Enterprise, Exchange Server 2010 Standard

Ursprüngliche KB-Nummer: 2497165

Symptome

Benutzer können mit Secure/Multipurpose Internet Mail Extensions (S/MIME) signierte oder verschlüsselte E-Mails in Microsoft Office Outlook Web Access (OWA) nicht senden. In einem Dialogfeld wird die folgende Fehlermeldung angezeigt.

Outlook Web Access could not find your digital ID for encryption. If your digital ID is on a smart card, insert the card in the card reader, and then try to send the message again. You may also try sending the message unencrypted.

If your digital ID is not trusted by the Exchange server, you cannot use it to encrypt messages. For more information, contact technical support for your organization.

Ursache

Die Felder Antragsteller oder alternativer Antragstellername des Benutzerzertifikats müssen eine SMTP-Adresse enthalten, die in dem Konto aufgeführt ist, das für die Anmeldung bei OWA verwendet wird.

Wenn das Benutzerzertifikat in einer Standardinstallation von Exchange Server 2007 oder Exchange Server 2010 für eine SMTP-Adresse ausgestellt wird, die nicht im Active Directory-Konto aufgeführt ist, verwendet OWA das Zertifikat nicht.

Hinweis

Um die S/MIME-Features in OWA verwenden zu können, müssen Sie Exchange Server 2007 Service Pack 1 (SP1) oder höher von Exchange ausführen.

Lösung

Um dieses Problem zu beheben, müssen Sie eine digitale ID abrufen.

Wenn Sie über eine digitale ID verfügen, die für S/MIME-E-Mails verwendet werden kann, die SMTP-Adresse aber nicht mit Ihrem Exchange Server Postfachkonto übereinstimmt, kann der Exchange-Administrator den folgenden Registrierungswert aktivieren, um die Auswahl des Benutzerzertifikats zu ermöglichen. Dadurch können Benutzer das Zertifikat auswählen, das zum Signieren ausgehender Nachrichten verwendet wird. Der OWA-Client umgeht die SMTP-Namensüberprüfung.

Führen Sie die folgenden Schritte aus, um dieses OWA-Feature zu aktivieren.

Warnung

Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.

  1. Klicken Sie auf Ausführen starten>, geben Sie regedit ein, und drücken Sie die EINGABETASTE.
  2. Erweitern Sie HKLM\System\CurrentControlSet\services\MSExchangeOWA\SMIME.
  3. Klicken Sie mit der rechten Maustaste auf den SMIME-Schlüssel, und klicken Sie auf Neues>DWORD (32-Bit).
  4. Nennen Sie den neuen DWORD-Wert AllowUserChoiceOfSigningCertificate.
  5. Doppelklicken Sie auf AllowUserChoiceOfSigningCertificate , und legen Sie den Wert auf 1 fest.
  6. Schließen Sie den Registrierungs-Editor.
  7. Klicken Sie auf Ausführung starten>, geben Sie cmd ein, und drücken Sie die EINGABETASTE.
  8. Führen Sie an der Eingabeaufforderung aus IISReset /noforce. Alternativ können Sie den IIS-Admin-Dienst in Services.msc neu starten.

Nachdem Sie den Registrierungsschlüssel konfiguriert haben, wird dem Benutzer im Abschnitt E-Mail-Sicherheit in den OWA-Optionen eine neue Option angezeigt. Es wird ein neuer Abschnitt geben, in dem der Benutzer das Signaturzertifikat manuell auswählen kann.

  1. Melden Sie sich bei OWA an, und klicken Sie auf Optionen.
  2. Klicken Sie auf Email Sicherheit.
  3. Ändern Sie im Abschnitt Zertifikat für E-Mail-Signatur auswählen das Optionsfeld, um das Zertifikat manuell auszuwählen.
  4. Klicken Sie auf Signaturzertifikat auswählen.... Ein neues Fenster wird geöffnet, in dem verfügbare Benutzerzertifikate angezeigt werden.
  5. Wählen Sie das entsprechende Zertifikat aus, und klicken Sie auf OK.

Wenn der Benutzer Singed-E-Mails sendet, wird diese mit dem ausgewählten Zertifikat signiert. Beim Auswahlprozess wird die SMTP-Adresse, die in den Erweiterungen Subject oder Subject Alternative Name des Zertifikats enthalten ist, nicht anhand der SMTP-Adressen für das Benutzerkonto in Active Directory überprüft.

Weitere Informationen

Mit einem Outlook-Client können Sie den E-Mail-Abgleich für Zertifikate über einen clientseitigen Registrierungsschlüssel deaktivieren. Die schritte für den Outlook-Client sind unter Deaktivieren des E-Mail-Abgleichs für Zertifikate in Outlook dokumentiert.

Weitere Informationen zum Verwalten von S/MIME-Einstellungen für OWA finden Sie in den folgenden Artikeln von TechNet online.

Verwalten von S/MIME für Outlook Web Access (Exchange Server 2007)

Verwalten von S/MIME für Outlook Web App (Exchange Server 2010)