Unterstützte Versionen für diese Funktion: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen
Gehostete S/MIME-Verschlüsselung und clientseitige Verschlüsselung (Client-side Encryption, CSE) sind Google Workspace-Funktionen, mit denen Ihre Nutzer S/MIME-E-Mails senden und empfangen können.
Google stellt Zertifikatsanforderungen und vertrauenswürdige CA-Zertifikate für S/MIME bereit. Wenn Ihre Zertifikate diese Anforderungen nicht erfüllen, werden bestimmte Nachrichten möglicherweise nicht als vertrauenswürdig eingestuft. Um dieses Problem zu beheben, können Sie andere Root-Zertifikate von vertrauenswürdigen Root-Zertifizierungsstellen akzeptieren.
Wenn Sie ein zusätzliches Root-Zertifikat akzeptieren möchten, fügen Sie es in der Admin-Konsole hinzu. Geben Sie dann mindestens eine Domain an, für die das Zertifikat gilt. Optional können Sie auch die Verschlüsselungsstufe und das Validierungsprofil des Zertifikats anpassen.
Eine detaillierte Anleitung zum Aktivieren von S/MIME in Google Workspace finden Sie im Hilfeartikel Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren. Weitere Informationen zur clientseitigen Verschlüsselung finden Sie unter Clientseitige Verschlüsselung.
Auf dieser Seite
- Richtlinien für Root-Zertifikate
- Domain für ein Root-Zertifikat ändern
- Root-Zertifikate löschen
- S/MIME-Nachrichten zwischen Domains austauschen
- Unterschiedliche Zertifikate zum Signieren und Verschlüsseln verwenden
- Zertifikatabweichungen zulassen (nicht empfohlen)
- SHA-1 zulassen (nicht empfohlen)
- Probleme beim Hochladen von Root-Zertifikaten beheben
Richtlinien für Root-Zertifikate
Root-Zertifikate müssen die folgenden Richtlinien erfüllen, damit sie mit S/MIME in Google Workspace verwendet werden können:
- Das Zertifikat muss im PEM-Format vorliegen und darf nur ein Root-Zertifikat enthalten.
- Die Zertifikatkette muss mindestens ein Zwischenzertifikat enthalten.
- Jede Zertifikatskette sollte ein Endnutzerzertifikat haben. Andernfalls führt Google eine minimale Überprüfung durch.
- Das Endnutzerzertifikat sollte nicht den privaten Schlüssel enthalten.
Wichtig: In der Kette muss mindestens ein CA-Zwischenzertifikat vorhanden sein. Die Zertifikate der Endentität dürfen also nicht direkt von der Stamm-CA ausgegeben werden.
Domain für ein Root-Zertifikat ändern
Sie können das Ablaufdatum eines Zertifikats nicht bearbeiten oder ein Zertifikat durch Bearbeiten ersetzen. Sie müssen das Zertifikat löschen und anschließend ein neues hochladen. Wenn Sie Root-Zertifikate löschen, hat das keine Auswirkung auf Endnutzerzertifikate, die bereits hochgeladen wurden.
So ändern Sie die Domain für ein Root-Zertifikat:
- Gehen Sie in der Admin-Konsole auf dem Tab Nutzereinstellungen zur Einstellung S/MIME.
- Wählen Sie in der Tabelle der zusätzlichen Root-Zertifikate das Zertifikat aus, das Sie ändern möchten. Klicken Sie dann auf Bearbeiten.
- Aktualisieren Sie die Domain und klicken Sie auf Speichern.
Root-Zertifikate löschen
So löschen Sie ein Root-Zertifikat:
- Gehen Sie in der Admin-Konsole auf dem Tab Nutzereinstellungen zur Einstellung S/MIME.
- Wählen Sie in der Tabelle der zusätzlichen Root-Zertifikate das Zertifikat aus, das Sie entfernen möchten, und klicken Sie auf Löschen.
Unterschiedliche Zertifikate zum Signieren und Verschlüsseln verwenden
Diese Funktion ist nur mit der clientseitigen Verschlüsselung verfügbar. Sie wird für gehostetes S/MIME nicht unterstützt.
In der Regel verwenden Organisationen ein einzelnes Zertifikat zum Signieren und Verschlüsseln von Nachrichten. Wenn Ihre Organisation jedoch unterschiedliche Zertifikate zum Signieren und Verschlüsseln von Nachrichten benötigt, laden Sie mit der Gmail CSE API das öffentliche Verschlüsselungszertifikat und das öffentliche Signaturzertifikat für jeden Nutzer hoch.
Weitere Informationen zur Verwendung der Gmail CSE API zum Verwalten von Nutzerzertifikaten
S/MIME-Nachrichten zwischen Domains austauschen
Damit Nutzer in verschiedenen Domains S/MIME-Nachrichten austauschen können, müssen Sie möglicherweise einige zusätzliche Schritte in der Admin-Konsole ausführen. Folgen Sie der empfohlenen Anleitung, je nachdem, wie die Nutzerzertifikate für die Domain ausgestellt werden.
- Nutzerzertifikate beider Domains, die von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden: Wenn alle Nutzerzertifikate in beiden Domains von einer von Google vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden, müssen Sie keine zusätzliche Schritte ausführen. Diese Stammzertifizierungsstellen werden in Gmail immer als vertrauenswürdig eingestuft.
Nutzerzertifikate beider Domains wurden von derselben, nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt:In diesem Fall hat eine nicht vertrauenswürdige Stammzertifizierungsstelle die Nutzerzertifikate für Ihre Domain und die Domain ausgestellt, mit der Sie S/MIME-Nachrichten austauschen möchten.
Fügen Sie der Admin-Konsole die nicht vertrauenswürdige Stammzertifizierungsstelle hinzu. Folgen Sie dazu der Anleitung im Hilfeartikel Gehostetes S/MIME aktivieren. Geben Sie im Feld Adressliste des Felds Root-Zertifikat hinzufügen die andere Domain ein.
Probleme mit Nutzerzertifikaten einer Domain durch eine nicht vertrauenswürdige Stammzertifizierungsstelle: In diesem Fall wurden die Nutzerzertifikate einer Domain von einer nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt. Die Nutzerzertifikate der anderen Domain wurden von einer anderen Stammzertifizierungsstelle ausgestellt.
Fügen Sie der Admin-Konsole die Stammzertifizierungsstelle der anderen Domain hinzu. Folgen Sie dazu der Anleitung im Hilfeartikel Gehostetes S/MIME aktivieren. Geben Sie im Feld Adressliste des Felds Root-Zertifikat hinzufügen die andere Domain ein.
Nur bei Bedarf verwenden
Verwenden Sie die Zertifikatsoptionen in diesem Abschnitt nur bei Bedarf und machen Sie sich mit den möglichen Auswirkungen vertraut.
Zertifikatabweichungen zulassen (nicht empfohlen)
Manchmal kann sich die mit dem Zertifikat eines Nutzers verknüpfte E-Mail-Adresse von der primären E-Mail-Adresse des Nutzers unterscheiden. Das Zertifikat von Brandon Pham verwendet beispielsweise die E-Mail-Adresse b.pham@solarmora.com, aber Brandon verwendet die Adresse brandon.pham@solarmora.com für die meisten seiner geschäftlichen E-Mails. Das wird als Zertifikatabweichung bezeichnet.
Wichtig: Aus Sicherheitsgründen empfiehlt Google, Zertifikatabweichungen nur dann zuzulassen, wenn Ihre Organisation diese Funktion benötigt. Wenn diese Option aktiviert ist, erhalten Nutzer und Administratoren bei einer Zertifikatabweichung, die möglicherweise durch nicht autorisierte oder böswillige Nutzer verursacht wurde, keine Warnung.
Die Option Zertifikatabweichungen zulassen ist nur mit der clientseitigen Verschlüsselung und nicht mit gehostetem S/MIME verfügbar. Um die clientseitige Verschlüsselung so einzurichten, dass Zertifikatabweichungen zugelassen werden, wählen Sie die entsprechende Option aus, wenn Sie in der Einstellung für gehostete S/MIME Root-Zertifikate hinzufügen. Eine detaillierte Anleitung zum Hinzufügen von Root-Zertifikaten finden Sie hier.
Wenn die Option Zertifikatabweichungen zulassen ausgewählt ist, können Empfänger eingehende Nachrichten mit Zertifikatabweichungen entschlüsseln und lesen. Auch frühere Nachrichten mit Zertifikatabweichungen, die vor Aktivierung der Einstellung empfangen wurden, können entschlüsselt und gelesen werden. Die mit dem Zertifikat des Nutzers verknüpfte E-Mail-Adresse wird jedoch nicht in den Kontakten des Empfängers gespeichert. Wenn Sie E-Mail-Adressen synchronisieren und speichern möchten, verwenden Sie Google Cloud Directory Sync.
Die Option Zertifikatabweichungen zulassen funktioniert nur für interne Kontakte oder Kontakte, die mit GCDS synchronisiert wurden. Sie funktioniert nicht für externe Kontakte.
SHA-1 zulassen (nicht empfohlen)
Obwohl einige E-Mail-Clients SHA-1-Hash-Signaturen zulassen, werden diese Signaturen als nicht vertrauenswürdig angezeigt. Das liegt daran, dass SHA-1 aufgrund von Sicherheitsproblemen veraltet ist.
Wenn Sie der Einstellung S/MIME ein neues Root-Zertifikat hinzufügen, wählen Sie die Option SHA-1 global zulassen nur aus, wenn:
- Ihre Organisation kommuniziert mithilfe der kryptografischen SHA-1-Hash-Funktion für die S/MIME-Nachrichtensicherheit und
- Sie möchten, dass diese Mitteilungen als vertrauenswürdig angezeigt werden.
Wenn diese Option ausgewählt ist, betrachtet Gmail S/MIME-Zertifikate für eingehende E-Mails mit SHA-1 als vertrauenswürdig.
Probleme beim Hochladen von Zertifikaten beheben
Wenn Sie Probleme beim Hochladen von Zertifikaten haben, sehen Sie sich diese möglichen Ursachen an und probieren Sie die empfohlenen Lösungen aus:
Das Zertifikat erfüllt nicht die Mindestanforderungen, um als vertrauenswürdig eingestuft zu werden
Das Zertifikat darf weder selbst signiert noch widerrufen worden sein und die Schlüssellänge darf nicht weniger als 1.024 Bit betragen. Versuchen Sie dann noch einmal, das Zertifikat hochzuladen.
Bearbeiten Sie das Zertifikat, um die Domains in der Adressliste zu ändern. Wenn Sie beispielsweise benutzerdefinierte Zertifikate hochgeladen haben und Nachrichten immer noch als nicht vertrauenswürdig eingestuft werden, bearbeiten Sie die Liste der zulässigen Domains des Zertifikats.
Die Signatur des Zertifikats ist ungültig
Prüfen Sie, ob das Zertifikat eine gültige Signatur hat, und versuchen Sie dann noch einmal, es hochzuladen.
Abgelaufenes Zertifikat
Verwenden Sie ein Zertifikat mit einem korrekten Datum innerhalb des Zeitraums, der in den Feldern Nicht vor (Datum) und Nicht nach (Datum) angegeben ist. Versuchen Sie dann noch einmal, das Zertifikat hochzuladen.
Die Zertifikatkette enthält mindestens ein ungültiges Zertifikat.
Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.
Das Zertifikat enthält mehrere Root-Zertifikate
Sie können kein Zertifikat hochladen, das mehr als ein Root-Zertifikat enthält. Prüfen Sie, ob das Zertifikat nur ein Root-Zertifikat enthält, und versuchen Sie dann noch einmal, es hochzuladen.
Das Zertifikat konnte nicht geparst werden
Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.
Der Server gibt eine unbekannte Antwort zurück
Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.
Das Zertifikat kann nicht hochgeladen werden
Möglicherweise ist ein Problem beim Aufbau der Serververbindung aufgetreten. In der Regel ist das nur ein vorübergehendes Problem. Bitte warten Sie ein paar Minuten und versuchen Sie dann noch einmal, das Zertifikat hochzuladen. Wenn der Upload weiterhin fehlschlägt, prüfen Sie, ob das Zertifikat richtig formatiert ist.
Weitere Informationen
Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren