Ao enviar um e-mail no Outlook, os destinatários nem sempre conseguem verificar se a mensagem veio de você e não foi alterada. O S/MIME (Secure/Multipurpose Internet Mail Extensions) resolve isso permitindo que você assine digitalmente seus e-mails usando um certificado pessoal. Sem um certificado instalado corretamente, o Outlook não pode aplicar a assinatura. Este artigo explica o que é um certificado S/MIME, como instalá-lo no repositório de certificados do Windows e como configurar o Outlook para assinar todas as mensagens enviadas.
Principais Conclusões: Instalar e Usar um Certificado S/MIME no Outlook
- Repositório de Certificados do Windows (certlm.msc ou certmgr.msc): O certificado deve ser importado para o repositório Pessoal antes que o Outlook possa acessá-lo para assinatura.
- Arquivo > Opções > Central de Confiabilidade > Configurações da Central de Confiabilidade > Segurança de E-mail: É aqui que você atribui o certificado instalado à sua conta de e-mail e ativa a assinatura padrão.
- Configurações do Outlook (ícone de engrenagem) > E-mail > S/MIME: No Outlook para Microsoft 365, este é o caminho alternativo para selecionar o certificado de assinatura e ativar a assinatura.
O Que é um Certificado S/MIME e Por Que Você Precisa Dele?
Um certificado S/MIME é um arquivo de identidade digital emitido por uma Autoridade Certificadora (CA) confiável. Ele vincula seu endereço de e-mail a um par de chaves pública e privada. Quando você assina um e-mail, o Outlook usa sua chave privada para criar uma assinatura digital única. O destinatário usa sua chave pública, incorporada no certificado, para verificar se a mensagem não foi adulterada e se realmente veio de você.
Para usar a assinatura S/MIME, você precisa de três coisas: um certificado válido emitido para seu endereço de e-mail, o certificado instalado no repositório de certificados do Windows e o Outlook configurado para usar esse certificado. O arquivo de certificado geralmente vem no formato .pfx ou .p12 e inclui a chave privada. Você o recebe do departamento de TI da sua organização ou o compra de uma CA como DigiCert, GlobalSign ou Sectigo. O certificado expira após um a três anos, e você deve renová-lo.
Pré-requisitos
Antes de começar, confirme que você tem o seguinte:
- Um arquivo de certificado (.pfx ou .p12) com a chave privada. Sem a chave privada, você não pode assinar e-mails.
- A senha do arquivo de certificado, se ele for protegido por senha. A maioria dos arquivos .pfx exige uma.
- Direitos de administrador no seu computador Windows. Alguns repositórios de certificados exigem elevação para serem modificados.
- Outlook 2019, Outlook 2021 ou Outlook para Microsoft 365. Versões anteriores também suportam S/MIME, mas os caminhos de menu podem diferir ligeiramente.
Passos para Instalar o Certificado no Repositório do Windows
O Outlook não lê um arquivo de certificado diretamente do seu disco rígido. Você deve importá-lo primeiro para o repositório de certificados do Windows. Siga estes passos para concluir a importação.
- Abra o Gerenciador de Certificados
Pressione Tecla Windows + R para abrir a caixa de diálogo Executar. Digite certmgr.msc e pressione Enter. A janela do Gerenciador de Certificados é aberta, mostrando os repositórios de certificados do usuário atual. - Navegue até o Repositório Pessoal
No painel esquerdo, expanda Certificados – Usuário Atual. Clique com o botão direito na pasta Pessoal e selecione Todas as Tarefas > Importar. O Assistente de Importação de Certificados é iniciado. - Selecione o Arquivo de Certificado
Clique em Avançar. Em seguida, clique em Procurar e localize seu arquivo .pfx ou .p12. Selecione-o e clique em Abrir. Clique em Avançar. - Insira a Senha da Chave Privada
Se o certificado for protegido por senha, digite a senha no campo Senha. Marque Marcar esta chave como exportável se quiser fazer backup do certificado posteriormente. Deixe as outras opções com os valores padrão. Clique em Avançar. - Escolha o Repositório de Certificados
Certifique-se de que Colocar todos os certificados no seguinte repositório esteja selecionado e que o repositório Pessoal seja exibido. Clique em Avançar e depois em Concluir. Você verá uma mensagem de confirmação informando que a importação foi bem-sucedida.
Após a importação, clique duas vezes no certificado no repositório Pessoal para verificar se o status diz “Este certificado está OK.” Se você vir uma mensagem sobre o certificado não ser confiável, o certificado raiz da CA emissora está ausente. Entre em contato com seu departamento de TI para instalar o certificado raiz da CA.
Como Configurar o Outlook para Usar o Certificado para Assinatura
Com o certificado instalado, você deve informar ao Outlook qual certificado pertence à sua conta de e-mail e ativar a assinatura por padrão. O método de configuração difere ligeiramente entre o Outlook clássico (versão com faixa de opções) e o novo Outlook para Windows.
Outlook Clássico (Outlook 2019, 2021 e Microsoft 365 Clássico)
- Abra o Outlook e Vá para a Central de Confiabilidade
Clique em Arquivo > Opções. Na caixa de diálogo Opções do Outlook, clique em Central de Confiabilidade e depois em Configurações da Central de Confiabilidade. - Abra a Guia Segurança de E-mail
Na Central de Confiabilidade, selecione Segurança de E-mail. Na seção E-mail criptografado, clique em Configurações. - Escolha o Certificado de Assinatura
Na caixa de diálogo Alterar Configurações de Segurança, clique em Escolher ao lado do campo Certificado de Assinatura. Uma lista de certificados do repositório Pessoal aparece. Selecione o certificado que corresponde ao seu endereço de e-mail. Clique em OK. - Defina o Algoritmo de Assinatura e Ative a Assinatura Padrão
Deixe o Algoritmo de hash definido como SHA-256, a menos que sua organização exija um algoritmo diferente. Marque Adicionar esta assinatura digital a todas as mensagens enviadas. Clique em OK duas vezes para fechar ambas as caixas de diálogo.
Novo Outlook para Windows
- Abra as Configurações do Outlook
Clique no ícone de engrenagem no canto superior direito. No painel Configurações, clique em E-mail e depois em S/MIME. - Selecione o Certificado de Assinatura
Em Certificado de assinatura, clique em Selecionar um certificado. Escolha o certificado correto na lista. Clique em Salvar. - Ative a Assinatura Padrão
Ative a opção Assinar digitalmente todas as mensagens enviadas. Feche o painel Configurações.
Para testar a configuração, crie um novo e-mail para você ou um colega. Clique no botão Assinar (ícone da faixa de opções com uma fita vermelha) se ele ainda não estiver destacado. Envie a mensagem. O destinatário verá um ícone de assinatura digital no cabeçalho da mensagem se tiver o certificado do remetente ou o certificado raiz da CA instalado.
Se o Outlook Não Encontrar o Certificado ou a Assinatura Falhar
Mesmo após seguir os passos acima, você pode encontrar problemas. Abaixo estão os problemas mais comuns e suas soluções.
Erro “Nenhum certificado pôde ser encontrado para assinar esta mensagem”
Este erro significa que o Outlook não consegue localizar um certificado com chave privada no repositório Pessoal que corresponda ao seu endereço de e-mail de envio. Verifique se o campo Assunto (Subject) ou Nome Alternativo do Assunto (SAN) do certificado contém seu endereço de e-mail exato. Abra certmgr.msc, clique duas vezes no certificado e verifique a guia Detalhes. Se o endereço de e-mail estiver ausente ou incorreto, solicite um novo certificado à sua CA.
Erro “O certificado não é válido para assinatura”
Um certificado pode ter várias finalidades pretendidas, como autenticação de cliente e e-mail seguro. O certificado deve incluir o Uso Estendido de Chave (EKU) de E-mail Seguro. Na guia Detalhes do certificado, procure por Uso Aprimorado de Chave. Se “E-mail Seguro” não estiver listado, o certificado não pode ser usado para assinatura S/MIME. Obtenha um certificado que inclua o EKU de E-mail Seguro.
Certificado Não Listado na Caixa de Diálogo Escolher Certificado do Outlook
Se o certificado aparecer no certmgr.msc, mas não no Outlook, a chave privada pode estar ausente ou não acessível. Clique com o botão direito no certificado no repositório Pessoal, selecione Todas as Tarefas > Gerenciar Chaves Privadas e certifique-se de que sua conta de usuário tenha permissão de Leitura. Se a chave estiver marcada como não exportável, você não pode usá-la em outro computador, mas ela ainda deve funcionar na máquina onde foi instalada.
E-mail Assinado vs. Não Assinado: Principais Diferenças
| Item | E-mail Assinado | E-mail Não Assinado |
|---|---|---|
| Verificação do remetente | O destinatário pode verificar a identidade do remetente através do certificado | Nenhuma verificação de identidade; o endereço do remetente pode ser falsificado |
| Integridade da mensagem | Qualquer alteração quebra a assinatura, alertando o destinatário | Nenhuma detecção de adulteração; o conteúdo pode ser modificado sem aviso |
| Exigência de certificado | O remetente deve ter um certificado S/MIME instalado | Nenhum certificado necessário |
| Configuração do destinatário | O destinatário precisa do certificado raiz da CA ou do certificado do remetente para verificar | Nenhuma configuração necessária |
| Tamanho do e-mail | Ligeiramente maior porque a assinatura é anexada | Tamanho normal |
Após instalar seu certificado pessoal e configurar o Outlook, cada mensagem enviada carrega uma assinatura digital que comprova sua identidade e protege o conteúdo da mensagem contra adulteração. Os destinatários que possuem seu certificado ou confiam em sua CA podem verificar a assinatura sem etapas adicionais. Como dica avançada, você também pode ativar a criptografia S/MIME selecionando um certificado de criptografia na mesma caixa de diálogo Segurança de E-mail, garantindo que apenas o destinatário pretendido possa ler o corpo da mensagem.