Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard och Education Plus. Jämför din utgåva
Värdbaserad S/MIME och klientsideskryptering (CSE) är Google Workspace-funktioner som låter dina användare skicka och ta emot S/MIME-e-postmeddelanden.
Google tillhandahåller certifikatkrav och betrodda CA-certifikat för S/MIME. Om dina certifikat inte uppfyller dessa krav kan du märka att vissa meddelanden inte är betrodda. För att åtgärda detta kan du acceptera andra rotcertifikat från rotcertifikatutfärdare (CA:er) som du litar på.
För att acceptera ett ytterligare rotcertifikat lägger du till det i Googles administratörskonsol. Ange sedan minst en domän som certifikatet gäller för. Du kan också valfritt justera certifikatets krypteringsnivå och valideringsprofil.
Detaljerade steg för att aktivera S/MIME i Google Workspace finns i Aktivera värdbaserad S/MIME för meddelandekryptering . Mer information om CSE finns i Om kryptering på klientsidan .
På den här sidan
- Riktlinjer för rotcertifikat
- Ändra domänen för ett rotcertifikat
- Ta bort ett rotcertifikat
- Utbyta S/MIME-meddelanden mellan domäner
- Använd olika certifikat för signering och kryptering
- Tillåt certifikatavvikelser (rekommenderas inte)
- Tillåt SHA-1 (rekommenderas inte)
- Felsök problem med uppladdning av rotcertifikat
Riktlinjer för rotcertifikat
Rotcertifikat måste uppfylla dessa riktlinjer för att användas med S/MIME i Google Workspace:
- Certifikatet måste vara i .pem-format och endast innehålla ett rotcertifikat.
- Certifikatkedjan måste innehålla minst ett mellanliggande certifikat.
- Varje certifikatkedja bör ha ett slutanvändarcertifikat. Om det inte ingår utför Google minimal verifiering.
- Slutanvändarcertifikatet ska inte innehålla den privata nyckeln.
Viktigt : Minst ett mellanliggande CA-certifikat måste finnas i kedjan. Det vill säga, roten får inte utfärda slut-entitetscertifikat direkt.
Ändra domänen för ett rotcertifikat
Du kan inte redigera ett certifikats utgångsdatum eller ersätta det. Du måste ta bort certifikatet och ladda upp ett nytt. Att ta bort ett rotcertifikat påverkar inte slutanvändarcertifikat som redan har laddats upp.
Så här ändrar du domänen för ett rotcertifikat:
- I Googles administratörskonsol går du till S/MIME -inställningen på fliken Användarinställningar .
- I tabellen över ytterligare rotcertifikat väljer du det certifikat du vill ändra; klicka sedan på Redigera .
- Uppdatera domänen och klicka sedan på Spara.
Ta bort ett rotcertifikat
Så här tar du bort ett rotcertifikat:
- I Googles administratörskonsol går du till S/MIME -inställningen på fliken Användarinställningar .
- I tabellen över ytterligare rotcertifikat markerar du det certifikat du vill ta bort och klickar på Ta bort .
Använd olika certifikat för signering och kryptering
Den här funktionen är endast tillgänglig med CSE. Den är inte tillgänglig med värdbaserad S/MIME .
Vanligtvis använder organisationer ett enda certifikat för både signering och kryptering av meddelanden. Om din organisation däremot kräver olika certifikat för signering och kryptering av meddelanden kan du använda Gmail CSE API för att ladda upp det offentliga krypteringscertifikatet och det offentliga signaturcertifikatet för varje användare.
Läs mer om hur du använder Gmail CSE API för att hantera användarcertifikat .
Utbyta S/MIME-meddelanden mellan domäner
För att låta personer i olika domäner utbyta S/MIME-meddelanden kan du behöva vidta några extra steg i Googles administratörskonsol. Följ de rekommenderade stegen här, baserat på hur användarcertifikaten utfärdas för domänen.
- Båda domänernas användarcertifikat utfärdade av en betrodd rot-CA: När alla användarcertifikat i båda domänerna utfärdas av en rot-CA som är betrodd av Google behöver du inte vidta några extra steg. Dessa rot-CA-certifikat är alltid betrodda av Gmail.
Båda domänernas användarcertifikat utfärdade av samma, opålitliga rot-CA: I det här fallet har en opålitlig rot-CA utfärdat användarcertifikaten för din domän och den domän du vill utväxla S/MIME-meddelanden med.
Lägg till den opålitliga rot-CA:n i Googles administratörskonsol genom att följa stegen i Aktivera värdbaserad S/MIME . I rutan Lägg till rotcertifikat anger du den andra domänen i fältet Adresslista .
En domäns användarcertifikat utfärdas av en opålitlig rot-CA: I det här fallet utfärdas en domäns användarcertifikat av en opålitlig rot-CA. Den andra domänens användarcertifikat utfärdas av en annan rot-CA.
Lägg till den andra domänens rot-CA i Googles administratörskonsol genom att följa stegen i Aktivera värdbaserad S/MIME . Ange den andra domänen i fältet Adresslista i rutan Lägg till rotcertifikat .
Använd endast vid behov
Använd certifikatalternativen i det här avsnittet endast när det är nödvändigt, och se till att du förstår de möjliga konsekvenserna när du använder dem.
Tillåt certifikatavvikelser (rekommenderas inte)
Ibland kan e-postadressen som är kopplad till en användares certifikat skilja sig från användarens primära e-postadress. Till exempel använder Brandon Phams certifikat e-postadressen b.pham@solarmora.com, men Brandon använder adressen brandon.pham@solarmora.com för de flesta av sina arbetsrelaterade e-postadresser. Detta kallas certifikatavvikelse.
Viktigt : Av säkerhetsskäl rekommenderar Google att certifikatavvikelser endast tillåts när den här funktionen krävs av din organisation. När det här alternativet är aktiverat får användare och administratörer ingen varning när det finns en certifikatavvikelse, vilket kan orsakas av en obehörig eller illvillig användare.
Alternativet Tillåt certifikatmatchningsfel är endast tillgängligt med CSE och inte med värdbaserad S/MIME . Om du vill konfigurera CSE för att tillåta certifikatmatchningsfel väljer du alternativet certifikatmatchningsfel när du lägger till rotcertifikat i den värdbaserade S/MIME-inställningen. Se de detaljerade stegen för att lägga till rotcertifikat .
När alternativet Tillåt certifikatavvikelser är valt kan mottagare dekryptera och läsa inkommande meddelanden med certifikatavvikelser. Tidigare meddelanden med certifikatavvikelser (mottagna innan inställningen aktiverades) kan också dekrypteras och läsas. E-postadressen som är kopplad till användarens certifikat sparas dock inte i mottagarens kontakter. För att synkronisera och spara e-postadresser, använd Google Cloud Directory Sync .
Alternativet Tillåt certifikatavvikelser fungerar bara för interna kontakter eller kontakter som är synkroniserade med GCDS. Det fungerar inte för externa kontakter.
Tillåt SHA-1 (rekommenderas inte)
Även om vissa e-postklienter tillåter hashade SHA-1-signaturer, verkar dessa signaturer vara opålitliga. Detta beror på att SHA-1 har föråldrats på grund av säkerhetsproblem.
När du lägger till ett nytt rotcertifikat i S/MIME -inställningen, välj alternativet Tillåt SHA-1 globalt endast om:
- Din organisation kommunicerar med hjälp av den kryptografiska hashfunktionen SHA-1 för S/MIME-meddelandesäkerhet, och
- Du vill att dessa meddelanden ska framstå som betrodda.
När det här alternativet är valt litar Gmail på S/MIME-certifikat som är kopplade till inkommande e-post med SHA-1.
Felsök problem med certifikatuppladdning
Om du har problem med att ladda upp certifikat kan du granska dessa möjliga orsaker och prova de rekommenderade lösningarna:
Certifikatet uppfyller inte minimikraven för att vara betrott
Kontrollera att certifikatet inte är självsignerat, inte har återkallats och att nyckellängden är 1024 bitar eller mer. Försök sedan ladda upp igen.
Redigera certifikatet för att ändra domänerna i adresslistan. Om du till exempel har laddat upp anpassade certifikat och meddelanden fortfarande behandlas som icke-betrodda kan du försöka redigera certifikatets lista över tillåtna domäner.
Certifikatets signatur är ogiltig
Kontrollera att certifikatet har en giltig signatur och försök att ladda upp igen.
Utgånget certifikat
Kontrollera att datumet på certifikatet ligger inom det datumintervall som anges i fälten Inte före (datum) och Inte efter (datum ). Försök sedan ladda upp igen.
Certifikatkedjan har minst ett ogiltigt certifikat.
Kontrollera att certifikatet är korrekt formaterat och försök att ladda upp igen.
Certifikatet innehåller flera rotcertifikat
Du kan inte ladda upp ett certifikat som innehåller mer än ett rotcertifikat. Kontrollera att certifikatet bara har ett rotcertifikat och försök sedan ladda upp igen.
Certifikatet kunde inte tolkas
Kontrollera att certifikatet är korrekt formaterat och försök sedan ladda upp igen.
Servern returnerar ett okänt svar
Kontrollera att certifikatet är korrekt formaterat och försök sedan ladda upp igen.
Det gick inte att ladda upp certifikatet
Det kan ha uppstått ett problem med att ansluta till servern. Detta är vanligtvis ett tillfälligt problem. Vänta några minuter och försök att ladda upp igen. Om uppladdningen fortsätter att misslyckas, kontrollera att certifikatet är korrekt formaterat.