Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME (zaawansowane)

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard i Education Plus. Porównanie wersji

Hostowane szyfrowanie S/MIME i szyfrowanie po stronie klienta (CSE) to funkcje Google Workspace, które umożliwiają użytkownikom wysyłanie i odbieranie e-maili w standardzie S/MIME.

Na potrzeby obsługi S/MIME Google zapewnia wymagania dotyczące certyfikatów i zaufane certyfikaty CA. Jeśli Twoje certyfikaty nie spełniają tych wymagań, możesz zauważyć, że niektóre wiadomości nie są zaufane. Aby rozwiązać ten problem, możesz zaakceptować inne certyfikaty główne od głównych urzędów certyfikacji, którym ufasz.

Aby zaakceptować dodatkowy certyfikat główny, dodaj go w konsoli administracyjnej Google. Następnie określ co najmniej jedną domenę, do której ma on zastosowanie. Możesz też dostosować poziom szyfrowania certyfikatu i profil weryfikacyjny.

Szczegółowe instrukcje włączania S/MIME w Google Workspace znajdziesz w artykule Włączanie hostowanego szyfrowania S/MIME w celu szyfrowania wiadomości. Aby dowiedzieć się więcej o szyfrowaniu po stronie klienta, przeczytaj artykuł Informacje o szyfrowaniu po stronie klienta.

Informacje dostępne na tej stronie

Wytyczne dotyczące certyfikatu głównego

Certyfikaty główne muszą być zgodne z tymi wytycznymi, aby można było ich używać z S/MIME w Google Workspace:

  • Certyfikat musi być w formacie .pem i zawierać tylko jeden certyfikat główny.
  • Łańcuch certyfikatów musi zawierać co najmniej jeden certyfikat pośredni.
  • Każdy łańcuch certyfikatów powinien zawierać certyfikat użytkownika. W przeciwnym razie Google przeprowadza minimalną weryfikację.
  • Certyfikat użytkownika nie powinien zawierać klucza prywatnego.

Ważne: w łańcuchu musi znajdować się co najmniej 1 pośredni certyfikat CA. Oznacza to, że główny urząd certyfikacji nie może bezpośrednio wystawić certyfikatów podmiotu końcowego.

Zmienianie domeny certyfikatu głównego

Nie możesz edytować daty ważności certyfikatu ani edytować go w celu jego zastąpienia. Aby to zrobić, musisz usunąć certyfikat i przesłać nowy. Usunięcie certyfikatu głównego nie ma wpływu na żadne certyfikaty użytkowników, które zostały już przesłane.

Aby zmienić domenę certyfikatu głównego:

  1. W konsoli administracyjnej Google otwórz ustawienie S/MIME na karcie Ustawienia użytkownika.
  2. W tabeli dodatkowych certyfikatów głównych wybierz certyfikat, który chcesz zmienić, a następnie kliknij Edytuj.
  3. Zaktualizuj domenę, a potem kliknij Zapisz.

Usuwanie certyfikatu głównego

Aby usunąć certyfikat główny:

  1. W konsoli administracyjnej Google otwórz ustawienie S/MIME na karcie Ustawienia użytkownika.
  2. W tabeli dodatkowych certyfikatów głównych wybierz certyfikat, który chcesz usunąć, a następnie kliknij Usuń.

Używanie różnych certyfikatów do podpisywania i szyfrowania

Ta funkcja jest dostępna tylko w przypadku szyfrowania po stronie klienta. ale nie w przypadku hostowanego szyfrowania S/MIME.

Do podpisywania i szyfrowania wiadomości organizacje zwykle używają jednego certyfikatu. Jeśli jednak Twoja organizacja wymaga do tego różnych certyfikatów, możesz przy użyciu interfejsu Gmail CSE API przesłać publiczny certyfikat szyfrowania i publiczny certyfikat podpisywania dla każdego użytkownika.

Dowiedz się więcej o zarządzaniu certyfikatami użytkowników za pomocą interfejsu Gmail CSE API.

Wysyłanie wiadomości z szyfrowaniem S/MIME pomiędzy domenami

Aby osoby z różnych domen mogły wymieniać wiadomości z szyfrowaniem S/MIME, może być konieczne wykonanie kilku dodatkowych czynności w konsoli administracyjnej Google. Wykonaj zalecane tu czynności w zależności od tego, jak są wystawiane certyfikaty użytkownika dla danej domeny.

  • Certyfikaty użytkownika obu domen wystawione przez zaufany główny urząd certyfikacji: jeśli wszystkie certyfikaty użytkownika w obu domenach zostały wydane przez główny urząd certyfikacji, który Google uważa za zaufany, nie musisz wykonywać dodatkowych czynności. Te główne certyfikaty CA są zawsze zaufane w Gmailu.

  • Certyfikaty użytkowników obu domen wystawione przez ten sam niezaufany główny urząd certyfikacji: w tym przypadku niezaufany główny urząd certyfikacji wystawił certyfikaty użytkowników dla Twojej domeny oraz domeny, z którą chcesz wymieniać się wiadomościami z szyfrowaniem S/MIME.

    Dodaj niezaufany główny urząd certyfikacji do konsoli administracyjnej Google, wykonując czynności opisane w artykule Włączanie hostowanego szyfrowania S/MIME. W sekcji Dodawanie certyfikatu głównego wpisz inną domenę w polu Lista adresów.

  • Certyfikaty użytkowników jednej domeny wystawione przez niezaufany główny urząd certyfikacji: w tym przypadku certyfikaty użytkowników tylko jednej domeny zostały wystawione przez niezaufany główny urząd certyfikacji. Certyfikaty użytkowników drugiej domeny wystawił natomiast inny główny urząd certyfikacji.

    Dodaj główny urząd certyfikacji drugiej domeny do konsoli administracyjnej Google, wykonując czynności opisane w artykule Włączanie hostowanego szyfrowania S/MIME. W sekcji Dodawanie certyfikatu głównego wpisz inną domenę w polu Lista adresów.

Używaj tylko w razie potrzeby

Opcji certyfikatu w tej sekcji używaj tylko w razie potrzeby i upewnij się, że rozumiesz możliwe konsekwencje ich używania.

Czasami adres e-mail powiązany z certyfikatem użytkownika może różnić się od jego podstawowego adresu e-mail. Na przykład certyfikat Brandona Phama korzysta z adresu b.pham@solarmora.com, ale na potrzeby e-maili służbowych Brandon używa głównie adresu brandon.pham@solarmora.com. Nazywa się to niezgodnością certyfikatu.

Ważne: ze względów bezpieczeństwa zalecamy zezwolenie na niezgodność certyfikatów tylko wtedy, gdy ta funkcja jest wymagana przez organizację. Gdy ta opcja jest włączona, użytkownicy i administratorzy nie otrzymują ostrzeżenia w przypadku niezgodności certyfikatu, która może być spowodowana przez nieautoryzowanego lub złośliwego użytkownika.

Opcja Zezwalaj na niezgodność certyfikatów jest dostępna tylko w przypadku szyfrowania po stronie klienta, a nie hostowanego szyfrowania S/MIME. Aby skonfigurować szyfrowanie po stronie klienta tak, aby zezwalało na niezgodność certyfikatów, podczas dodawania certyfikatów głównych w ustawieniu hostowanego szyfrowania S/MIME wybierz opcję niezgodności certyfikatów. Szczegółowe instrukcje dodawania certyfikatów głównych.

Gdy opcja Zezwalaj na niezgodność certyfikatów jest zaznaczona, adresaci mogą odszyfrowywać i odczytywać przychodzące wiadomości z niezgodnością certyfikatów. Wcześniejsze wiadomości z niezgodnością certyfikatów (odebrane przed włączeniem tej opcji) będzie można odszyfrować i odczytać. Adres e-mail powiązany z certyfikatem użytkownika nie jest jednak zapisywany w kontaktach odbiorcy. Aby synchronizować i zapisywać adresy e-mail, użyj Google Cloud Directory Sync.

Opcja Zezwalaj na niezgodność certyfikatów działa tylko w przypadku kontaktów wewnętrznych lub kontaktów zsynchronizowanych z GCDS. Nie działa w przypadku kontaktów zewnętrznych.

Chociaż niektóre klienty poczty e-mail zezwalają na podpisy szyfrowane przy użyciu SHA-1, te podpisy wyglądają na niezaufane. Dzieje się tak, ponieważ ze względu na problemy z bezpieczeństwem algorytm SHA-1 został wycofany.

Gdy dodajesz nowy certyfikat główny w ustawieniu S/MIME, wybierz opcję Zezwalaj na korzystanie ze standardu SHA-1 w całej organizacji tylko wtedy, gdy:

  • Twoja organizacja komunikuje się za pomocą algorytmu kryptograficznego SHA-1 w celu zabezpieczania wiadomości w standardzie S/MIME.
  • Ta komunikacja powinna być zaufana.

Gdy ta opcja jest zaznaczona, Gmail ufa certyfikatom S/MIME dołączonym do poczty przychodzącej w standardzie SHA-1.

Rozwiązywanie problemów z przesyłaniem certyfikatów

Jeśli masz problemy z przesyłaniem certyfikatów, zapoznaj się z możliwymi przyczynami i wypróbuj zalecane rozwiązania:

Certyfikat nie spełnia minimalnych wymagań zaufania

Sprawdź, czy certyfikat nie jest podpisany samodzielnie, nie został unieważniony i czy klucz ma co najmniej 1024 bity. Następnie spróbuj przesłać go jeszcze raz.

Możesz edytować certyfikat, aby zmienić domeny na liście adresów. Jeśli na przykład przesłano niestandardowe certyfikaty, a wiadomości nadal są traktowane jako niezaufane, spróbuj edytować listę dozwolonych domen certyfikatu.

Nieprawidłowy podpis certyfikatu

Sprawdź poprawność podpisu certyfikatu i spróbuj przesłać go jeszcze raz.

Certyfikat utracił ważność

Sprawdź, czy data na certyfikacie mieści się w zakresie dat określonym w polach „Nie wcześniej niż (data)” i „Nie później niż (data)”. Następnie spróbuj przesłać go jeszcze raz.

Łańcuch certyfikatów zawiera co najmniej jeden nieprawidłowy certyfikat.

Sprawdź, czy certyfikat jest poprawnie sformatowany, i spróbuj przesłać go jeszcze raz.

Certyfikat zawiera wiele certyfikatów głównych

Nie możesz przesłać certyfikatu, który zawiera więcej niż 1 certyfikat główny. Sprawdź, czy przesyłany certyfikat ma tylko 1 certyfikat główny, i spróbuj przesłać go jeszcze raz.

Nie udało się przeanalizować certyfikatu

Sprawdź, czy certyfikat jest poprawnie sformatowany, i spróbuj przesłać go jeszcze raz.

Serwer zwraca nieznaną odpowiedź

Sprawdź, czy certyfikat jest poprawnie sformatowany, i spróbuj przesłać go jeszcze raz.

Nie udało się przesłać certyfikatu

Być może wystąpił problem z nawiązywaniem połączenia z serwerem. Zwykle jest to problem tymczasowy. Zaczekaj kilka minut i spróbuj przesłać film jeszcze raz. Jeśli nadal nie można przesłać certyfikatu, sprawdź, czy jest on poprawnie sformatowany.

Włączanie hostowanego szyfrowania S/MIME w celu szyfrowania wiadomości