Assinatura de E-mail S/MIME no Outlook: Como Instalar um Certificado Pessoal
🔍 WiseChecker

Assinatura de E-mail S/MIME no Outlook: Como Instalar um Certificado Pessoal

Ao enviar um e-mail no Outlook, os destinatários nem sempre conseguem verificar se a mensagem veio de você e não foi alterada. O S/MIME (Secure/Multipurpose Internet Mail Extensions) resolve isso permitindo que você assine digitalmente seus e-mails usando um certificado pessoal. Sem um certificado instalado corretamente, o Outlook não pode aplicar a assinatura. Este artigo explica o que é um certificado S/MIME, como instalá-lo no repositório de certificados do Windows e como configurar o Outlook para assinar todas as mensagens enviadas.

Principais Conclusões: Instalar e Usar um Certificado S/MIME no Outlook

  • Repositório de Certificados do Windows (certlm.msc ou certmgr.msc): O certificado deve ser importado para o repositório Pessoal antes que o Outlook possa acessá-lo para assinatura.
  • Arquivo > Opções > Central de Confiabilidade > Configurações da Central de Confiabilidade > Segurança de E-mail: É aqui que você atribui o certificado instalado à sua conta de e-mail e ativa a assinatura padrão.
  • Configurações do Outlook (ícone de engrenagem) > E-mail > S/MIME: No Outlook para Microsoft 365, este é o caminho alternativo para selecionar o certificado de assinatura e ativar a assinatura.

ADVERTISEMENT

O Que é um Certificado S/MIME e Por Que Você Precisa Dele?

Um certificado S/MIME é um arquivo de identidade digital emitido por uma Autoridade Certificadora (CA) confiável. Ele vincula seu endereço de e-mail a um par de chaves pública e privada. Quando você assina um e-mail, o Outlook usa sua chave privada para criar uma assinatura digital única. O destinatário usa sua chave pública, incorporada no certificado, para verificar se a mensagem não foi adulterada e se realmente veio de você.

Para usar a assinatura S/MIME, você precisa de três coisas: um certificado válido emitido para seu endereço de e-mail, o certificado instalado no repositório de certificados do Windows e o Outlook configurado para usar esse certificado. O arquivo de certificado geralmente vem no formato .pfx ou .p12 e inclui a chave privada. Você o recebe do departamento de TI da sua organização ou o compra de uma CA como DigiCert, GlobalSign ou Sectigo. O certificado expira após um a três anos, e você deve renová-lo.

Pré-requisitos

Antes de começar, confirme que você tem o seguinte:

  • Um arquivo de certificado (.pfx ou .p12) com a chave privada. Sem a chave privada, você não pode assinar e-mails.
  • A senha do arquivo de certificado, se ele for protegido por senha. A maioria dos arquivos .pfx exige uma.
  • Direitos de administrador no seu computador Windows. Alguns repositórios de certificados exigem elevação para serem modificados.
  • Outlook 2019, Outlook 2021 ou Outlook para Microsoft 365. Versões anteriores também suportam S/MIME, mas os caminhos de menu podem diferir ligeiramente.

Passos para Instalar o Certificado no Repositório do Windows

O Outlook não lê um arquivo de certificado diretamente do seu disco rígido. Você deve importá-lo primeiro para o repositório de certificados do Windows. Siga estes passos para concluir a importação.

  1. Abra o Gerenciador de Certificados
    Pressione Tecla Windows + R para abrir a caixa de diálogo Executar. Digite certmgr.msc e pressione Enter. A janela do Gerenciador de Certificados é aberta, mostrando os repositórios de certificados do usuário atual.
  2. Navegue até o Repositório Pessoal
    No painel esquerdo, expanda Certificados – Usuário Atual. Clique com o botão direito na pasta Pessoal e selecione Todas as Tarefas > Importar. O Assistente de Importação de Certificados é iniciado.
  3. Selecione o Arquivo de Certificado
    Clique em Avançar. Em seguida, clique em Procurar e localize seu arquivo .pfx ou .p12. Selecione-o e clique em Abrir. Clique em Avançar.
  4. Insira a Senha da Chave Privada
    Se o certificado for protegido por senha, digite a senha no campo Senha. Marque Marcar esta chave como exportável se quiser fazer backup do certificado posteriormente. Deixe as outras opções com os valores padrão. Clique em Avançar.
  5. Escolha o Repositório de Certificados
    Certifique-se de que Colocar todos os certificados no seguinte repositório esteja selecionado e que o repositório Pessoal seja exibido. Clique em Avançar e depois em Concluir. Você verá uma mensagem de confirmação informando que a importação foi bem-sucedida.

Após a importação, clique duas vezes no certificado no repositório Pessoal para verificar se o status diz “Este certificado está OK.” Se você vir uma mensagem sobre o certificado não ser confiável, o certificado raiz da CA emissora está ausente. Entre em contato com seu departamento de TI para instalar o certificado raiz da CA.

ADVERTISEMENT

Como Configurar o Outlook para Usar o Certificado para Assinatura

Com o certificado instalado, você deve informar ao Outlook qual certificado pertence à sua conta de e-mail e ativar a assinatura por padrão. O método de configuração difere ligeiramente entre o Outlook clássico (versão com faixa de opções) e o novo Outlook para Windows.

Outlook Clássico (Outlook 2019, 2021 e Microsoft 365 Clássico)

  1. Abra o Outlook e Vá para a Central de Confiabilidade
    Clique em Arquivo > Opções. Na caixa de diálogo Opções do Outlook, clique em Central de Confiabilidade e depois em Configurações da Central de Confiabilidade.
  2. Abra a Guia Segurança de E-mail
    Na Central de Confiabilidade, selecione Segurança de E-mail. Na seção E-mail criptografado, clique em Configurações.
  3. Escolha o Certificado de Assinatura
    Na caixa de diálogo Alterar Configurações de Segurança, clique em Escolher ao lado do campo Certificado de Assinatura. Uma lista de certificados do repositório Pessoal aparece. Selecione o certificado que corresponde ao seu endereço de e-mail. Clique em OK.
  4. Defina o Algoritmo de Assinatura e Ative a Assinatura Padrão
    Deixe o Algoritmo de hash definido como SHA-256, a menos que sua organização exija um algoritmo diferente. Marque Adicionar esta assinatura digital a todas as mensagens enviadas. Clique em OK duas vezes para fechar ambas as caixas de diálogo.

Novo Outlook para Windows

  1. Abra as Configurações do Outlook
    Clique no ícone de engrenagem no canto superior direito. No painel Configurações, clique em E-mail e depois em S/MIME.
  2. Selecione o Certificado de Assinatura
    Em Certificado de assinatura, clique em Selecionar um certificado. Escolha o certificado correto na lista. Clique em Salvar.
  3. Ative a Assinatura Padrão
    Ative a opção Assinar digitalmente todas as mensagens enviadas. Feche o painel Configurações.

Para testar a configuração, crie um novo e-mail para você ou um colega. Clique no botão Assinar (ícone da faixa de opções com uma fita vermelha) se ele ainda não estiver destacado. Envie a mensagem. O destinatário verá um ícone de assinatura digital no cabeçalho da mensagem se tiver o certificado do remetente ou o certificado raiz da CA instalado.

Se o Outlook Não Encontrar o Certificado ou a Assinatura Falhar

Mesmo após seguir os passos acima, você pode encontrar problemas. Abaixo estão os problemas mais comuns e suas soluções.

Erro “Nenhum certificado pôde ser encontrado para assinar esta mensagem”

Este erro significa que o Outlook não consegue localizar um certificado com chave privada no repositório Pessoal que corresponda ao seu endereço de e-mail de envio. Verifique se o campo Assunto (Subject) ou Nome Alternativo do Assunto (SAN) do certificado contém seu endereço de e-mail exato. Abra certmgr.msc, clique duas vezes no certificado e verifique a guia Detalhes. Se o endereço de e-mail estiver ausente ou incorreto, solicite um novo certificado à sua CA.

Erro “O certificado não é válido para assinatura”

Um certificado pode ter várias finalidades pretendidas, como autenticação de cliente e e-mail seguro. O certificado deve incluir o Uso Estendido de Chave (EKU) de E-mail Seguro. Na guia Detalhes do certificado, procure por Uso Aprimorado de Chave. Se “E-mail Seguro” não estiver listado, o certificado não pode ser usado para assinatura S/MIME. Obtenha um certificado que inclua o EKU de E-mail Seguro.

Certificado Não Listado na Caixa de Diálogo Escolher Certificado do Outlook

Se o certificado aparecer no certmgr.msc, mas não no Outlook, a chave privada pode estar ausente ou não acessível. Clique com o botão direito no certificado no repositório Pessoal, selecione Todas as Tarefas > Gerenciar Chaves Privadas e certifique-se de que sua conta de usuário tenha permissão de Leitura. Se a chave estiver marcada como não exportável, você não pode usá-la em outro computador, mas ela ainda deve funcionar na máquina onde foi instalada.

ADVERTISEMENT

E-mail Assinado vs. Não Assinado: Principais Diferenças

Item E-mail Assinado E-mail Não Assinado
Verificação do remetente O destinatário pode verificar a identidade do remetente através do certificado Nenhuma verificação de identidade; o endereço do remetente pode ser falsificado
Integridade da mensagem Qualquer alteração quebra a assinatura, alertando o destinatário Nenhuma detecção de adulteração; o conteúdo pode ser modificado sem aviso
Exigência de certificado O remetente deve ter um certificado S/MIME instalado Nenhum certificado necessário
Configuração do destinatário O destinatário precisa do certificado raiz da CA ou do certificado do remetente para verificar Nenhuma configuração necessária
Tamanho do e-mail Ligeiramente maior porque a assinatura é anexada Tamanho normal

Após instalar seu certificado pessoal e configurar o Outlook, cada mensagem enviada carrega uma assinatura digital que comprova sua identidade e protege o conteúdo da mensagem contra adulteração. Os destinatários que possuem seu certificado ou confiam em sua CA podem verificar a assinatura sem etapas adicionais. Como dica avançada, você também pode ativar a criptografia S/MIME selecionando um certificado de criptografia na mesma caixa de diálogo Segurança de E-mail, garantindo que apenas o destinatário pretendido possa ler o corpo da mensagem.

ADVERTISEMENT