Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard y Education Plus. Comparar tu edición
S/MIME alojado y la encriptación del cliente (CSE) son funciones de Google Workspace que permiten a los usuarios enviar y recibir mensajes de correo electrónico de S/MIME.
Google proporciona requisitos de certificados y certificados de CA de confianza para S/MIME. Si tus certificados no cumplen con estos requisitos, es posible que notes que no se confía en ciertos mensajes. Para solucionar este problema, puedes aceptar otros certificados raíz de autoridades certificadoras (CA) raíz en las que confíes.
Para aceptar un certificado raíz adicional, agrégalo en la Consola del administrador de Google. Luego, especifica al menos un dominio al que se aplica el certificado. También puedes ajustar de forma opcional el nivel de encriptación y el perfil de validación del certificado.
Si quieres conocer los pasos detallados para activar S/MIME en Google Workspace, consulta Cómo habilitar S/MIME alojado para la encriptación de mensajes. Para obtener más información sobre la CSE, visita Acerca de la encriptación del cliente.
En esta página, encontrarás lo siguiente:
- Lineamientos para certificados raíz
- Cómo cambiar el dominio de un certificado raíz
- Cómo borrar un certificado raíz
- Intercambia mensajes S/MIME entre dominios
- Usa diferentes certificados para firmar y encriptar
- Permitir discordancias de certificado (no recomendado)
- Permitir SHA-1 (no recomendado)
- Soluciona problemas relacionados con la carga de certificados raíz
Lineamientos para certificados raíz
Los certificados raíz deben cumplir con estos lineamientos para usarse con S/MIME en Google Workspace:
- El certificado debe estar en formato .pem y contener solo un certificado raíz.
- La cadena de certificados debe incluir al menos un certificado intermedio.
- Cada cadena de certificados debe tener un certificado de usuario final. Si no se incluye, Google realiza una verificación mínima.
- El certificado del usuario final no debe incluir la clave privada.
Importante: Debe haber al menos un certificado de CA intermedio en la cadena. Es decir, la raíz no debe emitir certificados de entidad final directamente.
Cómo cambiar el dominio de un certificado raíz
No puedes editar la fecha de vencimiento de un certificado ni editarlo para reemplazarlo. Debes borrar el certificado y subir uno nuevo. Si borras un certificado raíz, no se verán afectados los certificados de usuario final que ya se hayan subido.
Para cambiar el dominio de un certificado raíz, haz lo siguiente:
- En la Consola del administrador de Google, ve al parámetro de configuración S/MIME en la pestaña Configuración del usuario.
- En la tabla de certificados raíz adicionales, selecciona el certificado que deseas cambiar y, luego, haz clic en Editar.
- Actualiza el dominio y, luego, haz clic en Guardar.
Cómo borrar un certificado raíz
Para borrar un certificado raíz, haz lo siguiente:
- En la Consola del administrador de Google, ve al parámetro de configuración S/MIME en la pestaña Configuración del usuario.
- En la tabla de certificados raíz adicionales, selecciona el certificado que deseas quitar y haz clic en Borrar.
Usa diferentes certificados para firmar y encriptar
Esta función solo está disponible con el CSE. No está disponible con S/MIME alojado.
Por lo general, las organizaciones usan un solo certificado para firmar y encriptar mensajes. Sin embargo, si tu organización requiere diferentes certificados para firmar y encriptar mensajes, usa la API con CSE de Gmail para subir el certificado público de encriptación y el certificado público de firma para cada usuario.
Obtén más información para usar la API de CSE de Gmail para administrar certificados de usuario.
Intercambia mensajes S/MIME entre dominios
Para permitir que las personas de diferentes dominios intercambien mensajes S/MIME, es posible que debas seguir algunos pasos adicionales en la Consola del administrador de Google. Sigue los pasos recomendados aquí, según cómo se emitan los certificados de usuario para el dominio.
- Ambos dominios tienen certificados de usuario emitidos por una CA raíz de confianza: Cuando todos los certificados de usuario de ambos dominios son emitidos por una CA raíz en la que confía Google, no es necesario que realices ningún paso adicional. Gmail siempre confía en estos certificados de CA raíz.
Ambos certificados de usuario del dominio emitidos por la misma CA raíz no confiable: En este caso, una CA raíz no confiable emitió los certificados de usuario para tu dominio y el dominio con el que deseas intercambiar mensajes S/MIME.
Agrega la CA raíz no confiable a tu Consola del administrador de Google siguiendo los pasos que se indican en Cómo habilitar S/MIME alojado. En el cuadro Agregar certificado raíz, ingresa el otro dominio en el campo Lista de direcciones.
Certificados de usuario de un dominio emitidos por una CA raíz no confiable: En este caso, una CA raíz no confiable emite los certificados de usuario de un dominio. Los certificados de usuario del otro dominio son emitidos por una CA raíz diferente.
Agrega la CA raíz del otro dominio a tu Consola del administrador de Google siguiendo los pasos que se indican en Cómo activar S/MIME alojado. En el cuadro Agregar certificado raíz, ingresa el otro dominio en el campo Lista de direcciones.
Úsalo solo cuando sea necesario
Usa las opciones de certificado de esta sección solo cuando sea necesario y asegúrate de comprender los posibles impactos cuando las uses.
Permitir discrepancias de certificados (no recomendado)
En ocasiones, la dirección de correo electrónico asociada con un certificado de usuario podría ser diferente de la dirección de correo electrónico principal del usuario. Por ejemplo, el certificado de Brandon Pham usa la dirección de correo electrónico b.pham@solarmora.com, pero Brandon usa la dirección brandon.pham@solarmora.com para la mayoría de sus correos electrónicos laborales. Esto se denomina discrepancia de certificado.
Importante: Por motivos de seguridad, Google recomienda permitir las discordancias de certificado solo cuando tu organización requiera esta función. Cuando esta opción está activada, los usuarios y administradores no recibirán una advertencia cuando haya una discrepancia en el certificado, lo que podría deberse a un usuario no autorizado o malicioso.
La opción Permitir discrepancias de certificados solo está disponible con la CSE y no con S/MIME alojado. Para configurar el CSE de modo que permita que los certificados no coincidan, selecciona la opción de certificado no coincidente cuando agregues certificados raíz en la configuración de S/MIME alojado. Consulta los pasos detallados para agregar certificados raíz.
Cuando se selecciona la opción Permitir discordancia de certificado, los destinatarios pueden desencriptar y leer los mensajes entrantes con una discordancia de certificado. También se pueden desencriptar y leer los mensajes anteriores con una discrepancia en el certificado (recibidos antes de que se activara el parámetro de configuración). Sin embargo, la dirección de correo electrónico asociada al certificado del usuario no se guarda en los contactos del destinatario. Para sincronizar y guardar direcciones de correo electrónico, usa Google Cloud Directory Sync.
La opción Permitir discrepancias de certificados solo funciona para los contactos internos o los contactos sincronizados con GCDS. No funciona para los contactos externos.
Permitir SHA-1 (no recomendado)
Si bien algunos clientes de correo electrónico permiten firmas con hash SHA-1, estas firmas aparecen como no confiables. Esto se debe a que SHA-1 dejó de estar disponible debido a problemas de seguridad.
Cuando agregues un nuevo certificado raíz al parámetro de configuración S/MIME, selecciona la opción Permitir SHA-1 de forma global solo en los siguientes casos:
- Tu organización se comunica con la función hash criptográfica SHA-1 para la seguridad de los mensajes S/MIME.
- Quieres que estas comunicaciones aparezcan como confiables.
Cuando se selecciona esta opción, Gmail confía en los certificados de S/MIME adjuntos al correo entrante con SHA-1.
Soluciona problemas de carga de certificados
Si tienes problemas para subir certificados, revisa estas posibles causas y prueba las soluciones recomendadas:
El certificado no cumple con los requisitos mínimos para ser confiable
Verifica que el certificado no esté autofirmado, que no se haya revocado y que la longitud de la clave sea de 1, 024 bits o más. Luego, vuelve a subirlo.
Edita el certificado para cambiar los dominios en la lista de direcciones. Por ejemplo, si subiste certificados personalizados y los mensajes aún se tratan como no confiables, intenta editar la lista de dominios permitidos del certificado.
La firma del certificado no es válida
Verifica que el certificado tenga una firma válida y vuelve a subirlo.
Certificado vencido
Verifica que la fecha del certificado esté dentro del período especificado en los campos Not Before (Date) y Not After (Date). Luego, vuelve a subirlo.
La cadena de certificados tiene al menos un certificado no válido.
Verifica que el certificado tenga el formato correcto y vuelve a subirlo.
El certificado contiene varios certificados raíz
No puedes subir un certificado que contenga más de un certificado raíz. Verifica que el certificado tenga solo un certificado raíz y, luego, vuelve a subirlo.
No se pudo analizar el certificado
Verifica que el certificado tenga el formato correcto y vuelve a subirlo.
El servidor devolvió una respuesta desconocida
Verifica que el certificado tenga el formato correcto y vuelve a subirlo.
No se pudo subir el certificado
Es posible que haya habido un problema al conectarse al servidor. Por lo general, este es un problema temporal. Espera unos minutos y vuelve a intentarlo. Si la carga sigue fallando, verifica que el certificado tenga el formato correcto.
Temas relacionados
Cómo activar S/MIME alojado para la encriptación de mensajes