Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard y Education Plus. Compara tu edición
Las S/MIME alojadas y la encriptación del cliente (CSE) son funciones de Google Workspace que permiten a los usuarios enviar y recibir mensajes de correo electrónico con S/MIME.
Google proporciona requisitos de certificados y certificados de CA de confianza para S/MIME. Si tus certificados no cumplen con estos requisitos, es posible que notes que no se confía en ciertos mensajes. Para solucionar este problema, puedes aceptar otros certificados raíz de autoridades certificadoras (CA) raíz en las que confíes.
Para aceptar un certificado raíz adicional, agrégalo en la Consola del administrador de Google. Luego, especifica al menos un dominio al que se aplique el certificado. De manera opcional, también puedes ajustar el nivel de encriptación y el perfil de validación del certificado.
Para obtener pasos detallados para activar S/MIME en Google Workspace, visita Habilita las S/MIME alojadas para la encriptación de mensajes. Para obtener más información sobre la CSE, visita Acerca de la encriptación del cliente.
En esta página
- Lineamientos para certificados raíz
- Cambia el dominio de un certificado raíz
- Borra un certificado raíz
- Intercambia mensajes de S/MIME entre dominios
- Usa diferentes certificados para firmar y encriptar
- Permite la discordancia de certificados (no recomendado)
- Permite SHA-1 (no recomendado)
- Soluciona problemas de carga de certificados raíz
Lineamientos para certificados raíz
Los certificados raíz deben cumplir con estos lineamientos para usarse con S/MIME en Google Workspace:
- El certificado debe estar en formato .pem y contener solo un certificado raíz.
- La cadena de certificados debe incluir al menos un certificado intermedio.
- Cada cadena de certificados debe tener un certificado de usuario final. Si no se incluye, Google realiza una verificación mínima.
- El certificado de usuario final no debe incluir la clave privada.
Importante: Debe haber al menos un certificado de CA intermedio en la cadena. Es decir, la raíz no debe emitir certificados de entidad final directamente.
Cambia el dominio de un certificado raíz
No puedes editar la fecha de vencimiento de un certificado ni editarlo para reemplazarlo. Debes borrar el certificado y subir uno nuevo. Si borras un certificado raíz, no se verán afectados los certificados de usuario final que ya se hayan subido.
Para cambiar el dominio de un certificado raíz, haz lo siguiente:
- En la Consola del administrador de Google, ve al parámetro de configuración S/MIME en la pestaña Configuración del usuario.
- En la tabla de certificados raíz adicionales, selecciona el certificado que deseas cambiar y, luego, haz clic en Editar.
- Actualiza el dominio y, luego, haz clic en Guardar.
Borra un certificado raíz
Para borrar un certificado raíz, haz lo siguiente:
- En la Consola del administrador de Google, ve al parámetro de configuración S/MIME en la pestaña Configuración del usuario.
- En la tabla de certificados raíz adicionales, selecciona el certificado que deseas quitar y haz clic en Borrar.
Usa diferentes certificados para firmar y encriptar
Esta función solo está disponible con la CSE. No está disponible con las S/MIME alojadas.
Por lo general, las organizaciones usan un solo certificado para firmar y encriptar mensajes. Sin embargo, si tu organización requiere diferentes certificados para firmar y encriptar mensajes, usa la API con CSE de Gmail para subir el certificado público de encriptación y el certificado público de firma para cada usuario.
Obtén más información sobre el uso de la API con CSE de Gmail para administrar certificados de usuario.
Intercambia mensajes de S/MIME entre dominios
Para permitir que las personas de diferentes dominios intercambien mensajes de S/MIME, es posible que debas seguir algunos pasos adicionales en la Consola del administrador de Google. Sigue los pasos recomendados aquí, según cómo se emitan los certificados de usuario para el dominio.
- Certificados de usuario de ambos dominios emitidos por una CA raíz de confianza: Cuando todos los certificados de usuario de ambos dominios son emitidos por una CA raíz en la que confía Google, no es necesario que sigas ningún paso adicional. Gmail siempre confía en estos certificados de CA raíz.
Certificados de usuario de ambos dominios emitidos por la misma CA raíz que no es de confianza: En este caso, una CA raíz que no es de confianza emitió los certificados de usuario para tu dominio y el dominio con el que deseas intercambiar mensajes de S/MIME.
Agrega la CA raíz que no es de confianza a la Consola del administrador de Google siguiendo los pasos que se indican en Habilita las S/MIME alojadas. En el cuadro Agregar certificado raíz, ingresa el otro dominio en el campo Lista de direcciones.
Certificados de usuario de un dominio emitidos por una CA raíz que no es de confianza: En este caso, los certificados de usuario de un dominio son emitidos por una CA raíz que no es de confianza. Los certificados de usuario del otro dominio son emitidos por una CA raíz diferente.
Agrega la CA raíz del otro dominio a la Consola del administrador de Google siguiendo los pasos que se indican en Activa las S/MIME alojadas. En el cuadro Agregar certificado raíz, ingresa el otro dominio en el campo Lista de direcciones.
Usa solo cuando sea necesario
Usa las opciones de certificado de esta sección solo cuando sea necesario y asegúrate de comprender los posibles impactos cuando las uses.
Permite la discordancia de certificados (no recomendado)
En ocasiones, la dirección de correo electrónico asociada con un certificado de usuario podría ser diferente de la dirección de correo electrónico principal del usuario. Por ejemplo, el certificado de Brandon Pham usa la dirección de correo electrónico b.pham@solarmora.com, pero Brandon usa la dirección brandon.pham@solarmora.com para la mayoría de sus correos electrónicos laborales. Esto se denomina discordancia de certificado.
Importante: Por motivos de seguridad, Google recomienda permitir las discordancias de certificado solo cuando tu organización requiera esta función. Cuando esta opción está activada, los usuarios y administradores no recibirán una advertencia cuando haya una discordancia de certificado, que podría ser causada por un usuario no autorizado o malicioso.
La opción Permitir discordancia de certificado solo está disponible con la CSE y no con las S/MIME alojadas. Para configurar la CSE de modo que permita la discordancia de certificados, selecciona la opción de discordancia de certificados cuando agregues certificados raíz en el parámetro de configuración de S/MIME alojadas. Consulta los pasos detallados para agregar certificados raíz.
Cuando se selecciona la opción Permitir discordancia de certificado, los destinatarios pueden desencriptar y leer los mensajes entrantes con una discordancia de certificado. También se pueden desencriptar y leer los mensajes anteriores con una discordancia de certificado (recibidos antes de que se activara el parámetro de configuración). Sin embargo, la dirección de correo electrónico asociada con el certificado del usuario no se guarda en los contactos del destinatario. Para sincronizar y guardar direcciones de correo electrónico, usa Google Cloud Directory Sync.
La opción Permitir discordancia de certificado solo funciona para contactos internos o contactos sincronizados con GCDS. No funciona para contactos externos.
Permite SHA-1 (no recomendado)
Aunque algunos clientes de correo electrónico permiten firmas con hash SHA-1, estas firmas aparecen como no confiables. Esto se debe a que SHA-1 dejó de estar disponible debido a problemas de seguridad.
Cuando agregues un certificado raíz nuevo al parámetro de configuración S/MIME, selecciona la opción Permitir SHA-1 globalmente solo si se cumplen las siguientes condiciones:
- Tu organización se comunica con la función de hash criptográfica SHA-1 para la seguridad de los mensajes de S/MIME.
- Quieres que estas comunicaciones aparezcan como confiables.
Cuando se selecciona esta opción, Gmail confía en los certificados de S/MIME que se adjuntan al correo entrante con SHA-1.
Soluciona problemas de carga de certificados
Si tienes problemas para subir certificados, revisa estas posibles causas y prueba las soluciones recomendadas:
El certificado no cumple con los requisitos mínimos para ser de confianza
Verifica que el certificado no esté autofirmado, que no se haya revocado y que la longitud de la clave sea de 1024 bits o más. Luego, vuelve a intentarlo.
Edita el certificado para cambiar los dominios en la lista de direcciones. Por ejemplo, si subiste certificados personalizados y los mensajes aún se tratan como no confiables, intenta editar la lista de dominios permitidos del certificado.
La firma del certificado no es válida
Verifica que el certificado tenga una firma válida y vuelve a intentarlo.
Certificado vencido
Verifica que la fecha del certificado esté dentro del período especificado en los campos No antes (fecha) y No después (fecha). Luego, vuelve a intentarlo.
La cadena de certificados tiene al menos un certificado no válido
Verifica que el certificado tenga el formato correcto y vuelve a intentarlo.
El certificado contiene varios certificados raíz
No puedes subir un certificado que contenga más de un certificado raíz. Verifica que el certificado tenga solo un certificado raíz y, luego, vuelve a intentarlo.
No se pudo analizar el certificado
Verifica que el certificado tenga el formato correcto y vuelve a intentarlo.
El servidor muestra una respuesta desconocida
Verifica que el certificado tenga el formato correcto y vuelve a intentarlo.
No se puede subir el certificado
Es posible que haya habido un problema para conectarse al servidor. Por lo general, este es un problema temporal. Espera unos minutos y vuelve a intentarlo. Si la carga sigue fallando, verifica que el certificado tenga el formato correcto.