Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard en Education Plus. Vergelijk uw editie
Hosted S/MIME en client-side encryption (CSE) zijn functies van Google Workspace waarmee uw gebruikers S/MIME-e-mailberichten kunnen verzenden en ontvangen.
Google biedt certificaatvereisten en vertrouwde CA-certificaten voor S/MIME. Als uw certificaten niet aan deze vereisten voldoen, kan het zijn dat bepaalde berichten niet worden vertrouwd. Om dit op te lossen, kunt u andere rootcertificaten accepteren van rootcertificeringsinstanties (CA's) die u vertrouwt.
Om een extra rootcertificaat te accepteren, voegt u dit toe in uw Google Admin-console. Geef vervolgens ten minste één domein op waarop het certificaat van toepassing is. U kunt optioneel ook het versleutelingsniveau en het validatieprofiel van het certificaat aanpassen.
Voor gedetailleerde instructies over het inschakelen van S/MIME in Google Workspace, ga naar S/MIME voor berichtenversleuteling inschakelen . Ga naar Client-side versleuteling voor meer informatie over CSE.
Op deze pagina
- Richtlijnen voor rootcertificaten
- Wijzig het domein voor een rootcertificaat.
- Een rootcertificaat verwijderen
- S/MIME-berichten uitwisselen tussen domeinen
- Gebruik verschillende certificaten voor ondertekening en versleuteling.
- Certificaatverschillen toestaan (niet aanbevolen)
- SHA-1 toestaan (niet aanbevolen)
- Problemen met het uploaden van rootcertificaten oplossen
Richtlijnen voor rootcertificaten
Rootcertificaten moeten aan deze richtlijnen voldoen om te kunnen worden gebruikt met S/MIME in Google Workspace:
- Het certificaat moet in .pem-formaat zijn en mag slechts één rootcertificaat bevatten.
- De certificaatketen moet ten minste één tussenliggend certificaat bevatten.
- Elke certificaatketen moet een eindgebruikerscertificaat bevatten. Als dit ontbreekt, voert Google een minimale verificatie uit.
- Het eindgebruikerscertificaat mag de privésleutel niet bevatten.
Belangrijk : Er moet ten minste één intermediair CA-certificaat in de certificaatketen aanwezig zijn. Dat wil zeggen dat de root-CA geen eindgebruikerscertificaten rechtstreeks mag uitgeven.
Wijzig het domein voor een rootcertificaat.
U kunt de vervaldatum van een certificaat niet wijzigen en u kunt een certificaat niet vervangen. U moet het certificaat verwijderen en een nieuw certificaat uploaden. Het verwijderen van een rootcertificaat heeft geen invloed op de certificaten van eindgebruikers die al zijn geüpload.
Om het domein voor een rootcertificaat te wijzigen:
- Ga in je Google Admin-console naar de S/MIME -instelling op het tabblad Gebruikersinstellingen .
- Selecteer in de tabel met extra rootcertificaten het certificaat dat u wilt wijzigen en klik vervolgens op Bewerken .
- Update the domain, then click Save.
Een rootcertificaat verwijderen
Om een rootcertificaat te verwijderen:
- Ga in je Google Admin-console naar de S/MIME -instelling op het tabblad Gebruikersinstellingen .
- Selecteer in de tabel met extra rootcertificaten het certificaat dat u wilt verwijderen en klik op Verwijderen .
Gebruik verschillende certificaten voor ondertekening en versleuteling.
Deze functie is alleen beschikbaar met CSE. Het is niet beschikbaar met gehoste S/MIME .
Organisaties gebruiken doorgaans één certificaat voor zowel het ondertekenen als het versleutelen van berichten. Als uw organisatie echter verschillende certificaten nodig heeft voor het ondertekenen en versleutelen van berichten, kunt u de Gmail CSE API gebruiken om het openbare certificaat voor versleuteling en het openbare certificaat voor ondertekening voor elke gebruiker te uploaden.
Lees meer over het gebruik van de Gmail CSE API voor het beheren van gebruikerscertificaten .
S/MIME-berichten uitwisselen tussen domeinen
Om gebruikers in verschillende domeinen S/MIME-berichten te laten uitwisselen, moet u mogelijk een paar extra stappen uitvoeren in uw Google Admin-console. Volg de aanbevolen stappen hier, afhankelijk van hoe de gebruikerscertificaten voor het domein zijn uitgegeven.
- De gebruikerscertificaten van beide domeinen zijn uitgegeven door een vertrouwde root-CA: Als alle gebruikerscertificaten in beide domeinen zijn uitgegeven door een root-CA die door Google wordt vertrouwd , hoeft u geen extra stappen te ondernemen. Deze root-CA-certificaten worden altijd door Gmail vertrouwd.
De gebruikerscertificaten van beide domeinen zijn uitgegeven door dezelfde, niet-vertrouwde root-CA: In dit geval heeft een niet-vertrouwde root-CA de gebruikerscertificaten uitgegeven voor uw domein en het domein waarmee u S/MIME-berichten wilt uitwisselen.
Voeg de niet-vertrouwde root-CA toe aan uw Google Admin-console door de stappen in 'Gehoste S/MIME inschakelen' te volgen. Voer in het vak 'Rootcertificaat toevoegen ' het andere domein in bij het veld 'Adreslijst' .
De gebruikerscertificaten van het ene domein zijn uitgegeven door een niet-vertrouwde root-CA: In dit geval zijn de gebruikerscertificaten van het ene domein uitgegeven door een niet-vertrouwde root-CA. De gebruikerscertificaten van het andere domein zijn uitgegeven door een andere root-CA.
Voeg de root-CA van het andere domein toe aan uw Google Admin-console door de stappen in 'Hosted S/MIME inschakelen' te volgen. Voer in het vak 'Rootcertificaat toevoegen ' het andere domein in bij het veld 'Adreslijst' .
Gebruik alleen wanneer nodig.
Gebruik de certificaatopties in dit gedeelte alleen wanneer nodig en zorg ervoor dat u de mogelijke gevolgen van het gebruik ervan begrijpt.
Certificaatverschillen toestaan (niet aanbevolen)
Soms kan het e-mailadres dat aan een gebruikerscertificaat is gekoppeld, afwijken van het primaire e-mailadres van de gebruiker. Zo gebruikt het certificaat van Brandon Pham het e-mailadres b.pham@solarmora.com, terwijl Brandon voor de meeste van zijn werk-e-mails brandon.pham@solarmora.com gebruikt. Dit noemen we een certificaatmismatch.
Belangrijk : Om veiligheidsredenen raadt Google aan om certificaatverschillen alleen toe te staan wanneer dit vereist is voor uw organisatie. Wanneer deze optie is ingeschakeld, ontvangen gebruikers en beheerders geen waarschuwing bij een certificaatverschil, dat mogelijk veroorzaakt wordt door een onbevoegde of kwaadwillende gebruiker.
De optie 'Certificaatverschillen toestaan' is alleen beschikbaar met CSE en niet met gehoste S/MIME . Om CSE zo in te stellen dat certificaatverschillen zijn toegestaan, selecteert u de optie 'Certificaatverschillen toestaan' wanneer u rootcertificaten toevoegt in de gehoste S/MIME-instellingen. Zie de gedetailleerde stappen voor het toevoegen van rootcertificaten .
Wanneer de optie 'Certificaatverschillen toestaan' is geselecteerd, kunnen ontvangers inkomende berichten met een certificaatverschil decoderen en lezen. Eerdere berichten met een certificaatverschil (ontvangen voordat deze instelling werd ingeschakeld) kunnen ook worden gedecodeerd en gelezen. Het e-mailadres dat aan het certificaat van de gebruiker is gekoppeld, wordt echter niet opgeslagen in de contacten van de ontvanger. Gebruik Google Cloud Directory Sync om e-mailadressen te synchroniseren en op te slaan.
De optie 'Certificaatverschillen toestaan' werkt alleen voor interne contactpersonen of contactpersonen die zijn gesynchroniseerd met GCDS. Deze optie werkt niet voor externe contactpersonen.
SHA-1 toestaan (niet aanbevolen)
Hoewel sommige e-mailclients SHA-1-gehashte handtekeningen toestaan, worden deze handtekeningen als onbetrouwbaar beschouwd. Dit komt doordat SHA-1 vanwege beveiligingsproblemen niet meer wordt gebruikt.
Wanneer u een nieuw rootcertificaat toevoegt aan de S/MIME -instellingen, selecteert u de optie 'SHA-1 globaal toestaan' alleen als:
- Uw organisatie communiceert met behulp van de SHA-1 cryptografische hashfunctie voor de beveiliging van S/MIME-berichten, en
- Je wilt dat deze communicatie betrouwbaar overkomt.
Wanneer deze optie is geselecteerd, vertrouwt Gmail S/MIME-certificaten die met SHA-1 aan inkomende e-mail zijn gekoppeld.
Problemen met het uploaden van certificaten oplossen
Als je problemen ondervindt bij het uploaden van certificaten, bekijk dan deze mogelijke oorzaken en probeer de aanbevolen oplossingen:
Het certificaat voldoet niet aan de minimale vereisten om betrouwbaar te zijn.
Controleer of het certificaat niet zelfondertekend is, niet is ingetrokken en of de sleutellengte 1024 bits of meer is. Probeer het daarna opnieuw te uploaden.
Bewerk het certificaat om de domeinen in de adreslijst te wijzigen. Als u bijvoorbeeld aangepaste certificaten hebt geüpload en berichten nog steeds als niet-vertrouwd worden beschouwd, probeer dan de lijst met toegestane domeinen in het certificaat te bewerken.
De handtekening op het certificaat is ongeldig.
Controleer of het certificaat een geldige handtekening heeft en probeer het opnieuw te uploaden.
Verlopen certificaat
Controleer of de datum op het certificaat binnen het opgegeven datumbereik valt in de velden 'Niet voor (datum)' en 'Niet na (datum )'. Probeer het vervolgens opnieuw te uploaden.
De certificaatketen bevat ten minste één ongeldig certificaat.
Controleer of het certificaat correct is opgemaakt en probeer het opnieuw te uploaden.
Het certificaat bevat meerdere rootcertificaten.
Je kunt geen certificaat uploaden dat meer dan één rootcertificaat bevat. Controleer of het certificaat slechts één rootcertificaat bevat en probeer het vervolgens opnieuw te uploaden.
Het certificaat kon niet worden verwerkt.
Controleer of het certificaat correct is opgemaakt en probeer het vervolgens opnieuw te uploaden.
De server retourneert een onbekende respons.
Controleer of het certificaat correct is opgemaakt en probeer het vervolgens opnieuw te uploaden.
Het lukte niet om het certificaat te uploaden.
Er is mogelijk een probleem opgetreden bij het verbinden met de server. Dit is meestal een tijdelijk probleem. Wacht een paar minuten en probeer het uploaden opnieuw. Als het uploaden blijft mislukken, controleer dan of het certificaat correct is opgemaakt.