Você precisa assinar digitalmente um e-mail no Outlook usando um certificado armazenado em um smart card. Smart cards emitidos pela sua organização contêm uma chave privada e um certificado pessoal que comprovam sua identidade. Ao assinar um e-mail com esse certificado, os destinatários podem verificar que a mensagem veio de você e não foi alterada. Este artigo explica como configurar o Outlook para usar o certificado do smart card e como aplicar uma assinatura digital a um novo e-mail.
Principais Conclusões: Assinar um E-mail do Outlook com um Certificado de Smart Card
- Central de Confiabilidade > Segurança de E-mail > Configurações > Escolher: Selecione o certificado do smart card para assinatura.
- Arquivo > Opções > Central de Confiabilidade > Configurações da Central de Confiabilidade > Segurança de E-mail: Habilite o certificado de assinatura padrão e defina o algoritmo de assinatura.
- Opções > Assinar na janela de nova mensagem: Clique no botão Assinar para aplicar a assinatura digital antes de enviar.
Como o Outlook Usa um Certificado de Smart Card para Assinatura de E-mail
Um smart card contém um certificado digital e uma chave privada que nunca é exposta fora do cartão. O Outlook usa o certificado para criar uma assinatura digital anexada ao e-mail. A assinatura inclui o certificado e um hash do conteúdo da mensagem criptografado com a chave privada. Quando o destinatário abre o e-mail assinado, o cliente de e-mail usa a chave pública no certificado para descriptografar o hash e compará-lo com um hash recém-calculado. Se os hashes coincidirem, a mensagem é verificada como autêntica e inalterada.
Antes de assinar um e-mail, o smart card deve estar inserido em um leitor de smart card conectado ao computador. Você também precisa do driver de middleware correto instalado, como o ActivClient ou um driver específico do fornecedor. O certificado deve ser carregado no smart card pela autoridade de certificação da sua organização. O Outlook não gerencia drivers de smart card; o Windows lida com o reconhecimento do cartão por meio do minidriver.
Pré-requisitos para Assinatura com Smart Card
Você precisa dos seguintes itens antes de configurar o Outlook:
- Um smart card com um certificado pessoal emitido pela infraestrutura de chave pública da sua organização.
- Um leitor de smart card conectado ao computador, interno ou USB.
- Software de middleware para smart card instalado, como ActivClient ou o driver do fornecedor.
- Windows 10 ou Windows 11 com o minidriver do smart card instalado automaticamente ou via Windows Update.
- Uma conta de e-mail Exchange ou IMAP configurada no Outlook com suporte a S/MIME.
Passos para Configurar o Outlook para Usar o Certificado do Smart Card para Assinatura
- Insira o smart card no leitor
Conecte o leitor de smart card a uma porta USB, se for externo. Insira o smart card no leitor com o chip voltado para a direção correta, conforme indicado no leitor. Aguarde o Windows reconhecer o cartão e instalar os drivers necessários. - Abra o Outlook e vá para a Central de Confiabilidade
Abra o Outlook. Clique em Arquivo > Opções. Na caixa de diálogo Opções do Outlook, clique em Central de Confiabilidade à esquerda e depois no botão Configurações da Central de Confiabilidade. - Abra as configurações de Segurança de E-mail
Na caixa de diálogo Central de Confiabilidade, clique em Segurança de E-mail à esquerda. Na seção E-mail criptografado, clique no botão Configurações. - Escolha o certificado de assinatura
Na caixa de diálogo Alterar Configurações de Segurança, clique no botão Escolher em Certificado de Assinatura. A caixa de diálogo Selecionar Certificado mostra todos os certificados disponíveis no computador, incluindo os do smart card. Selecione o certificado pessoal do smart card. O emissor e a data de validade do certificado aparecem na lista. Clique em OK. - Defina o algoritmo de assinatura
Na mesma caixa de diálogo Alterar Configurações de Segurança, confirme que o Algoritmo de Assinatura está definido como SHA-256 ou SHA-384, conforme recomendado pela sua organização. O SHA-1 está obsoleto e pode causar problemas de compatibilidade. Clique em OK para fechar a caixa de diálogo Alterar Configurações de Segurança. - Habilite as configurações padrão de assinatura
De volta à guia Segurança de E-mail, marque a caixa Adicionar assinatura digital às mensagens de saída. Se quiser que todas as mensagens de saída sejam assinadas por padrão, marque a caixa. Se preferir assinar apenas mensagens específicas, deixe desmarcado. Clique em OK para fechar a Central de Confiabilidade e depois em OK para fechar as Opções do Outlook.
Como Assinar um Novo E-mail com o Certificado do Smart Card
- Crie uma nova mensagem de e-mail
Clique em Novo E-mail na guia Início do Outlook. A janela de nova mensagem é aberta. - Habilite a assinatura digital
Na janela de nova mensagem, vá para a guia Opções. No grupo Permissão, clique no botão Assinar. O botão fica destacado para indicar que a assinatura está habilitada para esta mensagem. Se você configurou a assinatura padrão na seção anterior, o botão Assinar pode já estar selecionado. - Digite o conteúdo do e-mail e envie
Componha seu e-mail normalmente. Ao clicar em Enviar, o Outlook solicita que você insira o smart card, se ainda não estiver inserido. Você também pode ser solicitado a digitar o PIN do smart card. Digite o PIN e clique em OK. O Outlook anexa a assinatura digital e envia a mensagem.
Problemas Comuns ao Assinar E-mails com um Smart Card
O Outlook não detecta o certificado do smart card
Se o certificado não aparecer na caixa de diálogo Selecionar Certificado, o middleware do smart card ou o minidriver está ausente ou desatualizado. Abra o Gerenciador de Dispositivos e expanda a seção Leitores de smart card. Se o leitor não estiver listado, reinstale o driver do fabricante. Verifique também se o certificado está realmente no smart card abrindo certmgr.msc e procurando em Pessoal > Certificados. Certificados armazenados no smart card aparecem com um pequeno ícone de smart card.
O Outlook solicita o PIN do smart card repetidamente
Esse comportamento ocorre quando o leitor de smart card não está bem encaixado ou o middleware está armazenando em cache o PIN errado. Remova o smart card e reinsira-o. Se o prompt continuar, reinicie o serviço de smart card no Windows: abra Services.msc, localize Smart Card, clique com o botão direito e clique em Reiniciar. Depois, tente assinar o e-mail novamente.
O e-mail assinado é marcado como não confiável pelo destinatário
O cliente de e-mail do destinatário deve confiar na autoridade de certificação raiz que emitiu seu certificado. Se o destinatário vir um aviso de que a assinatura é inválida ou não confiável, ele precisa instalar o certificado da CA raiz da sua organização no repositório de Autoridades de Certificação Raiz Confiáveis. Isso geralmente é tratado automaticamente em ambientes corporativos por meio de Política de Grupo.
Assinatura Digital vs Criptografia: Principais Diferenças
| Item | Assinatura Digital | Criptografia |
|---|---|---|
| Finalidade | Verifica a identidade do remetente e a integridade da mensagem | Protege o conteúdo da mensagem contra leitura não autorizada |
| Chave usada | Chave privada do remetente (no smart card) | Chave pública do destinatário |
| Requer ação do destinatário | O destinatário verifica a assinatura usando a chave pública do remetente | O destinatário descriptografa usando sua própria chave privada |
| Localização do certificado | O certificado do remetente é anexado ao e-mail | O certificado do destinatário deve estar disponível para o remetente |
| Configuração no Outlook | Botão Assinar na guia Opções | Botão Criptografar na guia Opções |
Depois de configurar o Outlook para usar o certificado do smart card, você pode assinar digitalmente e-mails com um único clique. O destinatário vê um ícone de assinatura no cabeçalho da mensagem e pode verificar os detalhes da assinatura. Para proteger ainda mais informações confidenciais, você pode combinar a assinatura com a criptografia clicando também no botão Criptografar na janela de nova mensagem. Para usuários avançados, considere configurar um certificado de assinatura separado para cada conta de e-mail no seu perfil do Outlook.