Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните свою версию.
Функции Google Workspace Hosted S/MIME и Client-side encryption (CSE) позволяют пользователям отправлять и получать электронные письма в формате S/MIME.
Google устанавливает требования к сертификатам и указывает доверенные сертификаты центров сертификации (ЦС) для S/MIME. Если ваши сертификаты не соответствуют этим требованиям, вы можете заметить, что некоторые сообщения не считаются доверенными. Чтобы исправить это, вы можете принять другие корневые сертификаты от доверенных центров сертификации (ЦС).
Чтобы добавить дополнительный корневой сертификат, сделайте это в консоли администратора Google. Затем укажите как минимум один домен, к которому применяется сертификат. При желании вы также можете настроить уровень шифрования и профиль проверки сертификата.
Подробные инструкции по включению S/MIME в Google Workspace см. в разделе «Включение размещенного S/MIME для шифрования сообщений ». Чтобы узнать больше о CSE, см. раздел «О шифровании на стороне клиента» .
На этой странице
- Рекомендации по использованию корневого сертификата
- Измените домен для корневого сертификата
- Удаление корневого сертификата
- Обмен S/MIME-сообщениями между доменами.
- Используйте разные сертификаты для подписи и шифрования.
- Допускать несоответствие сертификатов (не рекомендуется)
- Разрешить использование SHA-1 (не рекомендуется)
- Устранение неполадок с загрузкой корневого сертификата
Рекомендации по использованию корневого сертификата
Для использования с S/MIME в Google Workspace корневые сертификаты должны соответствовать следующим требованиям:
- Сертификат должен быть в формате .pem и содержать только один корневой сертификат.
- Цепочка сертификатов должна включать как минимум один промежуточный сертификат.
- Каждая цепочка сертификатов должна содержать сертификат конечного пользователя. Если он отсутствует, Google выполняет минимальную проверку.
- Сертификат конечного пользователя не должен содержать закрытый ключ.
Важно : в цепочке должен присутствовать как минимум один промежуточный сертификат центра сертификации. То есть корневой сертификат не должен выдавать сертификаты конечных пользователей напрямую.
Измените домен для корневого сертификата
Вы не можете изменить дату истечения срока действия сертификата или заменить существующий сертификат. Необходимо удалить сертификат и загрузить новый. Удаление корневого сертификата не повлияет на сертификаты конечных пользователей, которые уже были загружены.
Чтобы изменить домен для корневого сертификата:
- В консоли администратора Google перейдите в раздел настроек S/MIME на вкладке « Настройки пользователя» .
- В таблице дополнительных корневых сертификатов выберите сертификат, который хотите изменить; затем нажмите «Редактировать» .
- Обновите домен, затем нажмите «Сохранить».
Удаление корневого сертификата
Чтобы удалить корневой сертификат:
- В консоли администратора Google перейдите в раздел настроек S/MIME на вкладке « Настройки пользователя» .
- В таблице дополнительных корневых сертификатов выберите сертификат, который хотите удалить, и нажмите «Удалить» .
Используйте разные сертификаты для подписи и шифрования.
Эта функция доступна только в CSE. Она недоступна в размещенном S/MIME .
Как правило, организации используют один сертификат как для подписи, так и для шифрования сообщений. Однако, если вашей организации требуются разные сертификаты для подписи и шифрования сообщений, используйте API Gmail CSE для загрузки открытого сертификата шифрования и открытого сертификата подписи для каждого пользователя.
Узнайте больше об использовании API Gmail CSE для управления сертификатами пользователей .
Обмен S/MIME-сообщениями между доменами.
Для обеспечения возможности обмена S/MIME-сообщениями между пользователями из разных доменов может потребоваться выполнить несколько дополнительных шагов в консоли администратора Google. Следуйте рекомендациям, приведенным здесь, в зависимости от способа выдачи пользовательских сертификатов для домена.
- Сертификаты пользователей обоих доменов выданы доверенным корневым центром сертификации: Если все сертификаты пользователей в обоих доменах выданы корневым центром сертификации, которому доверяет Google , вам не нужно предпринимать никаких дополнительных действий. Эти сертификаты корневого центра сертификации всегда являются доверенными для Gmail.
Сертификаты пользователей обоих доменов выданы одним и тем же недоверенным корневым центром сертификации: в данном случае недоверенный корневой центр сертификации выдал сертификаты пользователей для вашего домена и домена, с которым вы хотите обмениваться сообщениями S/MIME.
Добавьте недоверенный корневой центр сертификации в консоль администратора Google, следуя инструкциям в разделе «Включение размещенного S/MIME» . В поле «Добавить корневой сертификат» введите другой домен в поле «Адресный список» .
В данном случае пользовательские сертификаты одного домена выданы недоверенным корневым центром сертификации. Пользовательские сертификаты другого домена выданы другим корневым центром сертификации.
Добавьте корневой центр сертификации другого домена в консоль администратора Google, следуя инструкциям в разделе «Включение размещенного S/MIME» . В поле «Добавить корневой сертификат» введите другой домен в поле «Адресный список» .
Использовать только при необходимости.
Используйте параметры сертификата, описанные в этом разделе, только при необходимости и убедитесь, что вы понимаете возможные последствия их использования.
Допускать несоответствие сертификатов (не рекомендуется)
Иногда адрес электронной почты, связанный с сертификатом пользователя, может отличаться от основного адреса электронной почты пользователя. Например, в сертификате Брэндона Фама используется адрес b.pham@solarmora.com, но для большинства рабочих писем Брэндон использует адрес brandon.pham@solarmora.com. Это называется несоответствием сертификата.
Важно : В целях безопасности Google рекомендует разрешать несоответствие сертификатов только в том случае, если эта функция необходима вашей организации. При включении этой опции пользователи и администраторы не будут получать предупреждение о несоответствии сертификатов, которое может быть вызвано неавторизованным или злонамеренным пользователем.
Параметр «Разрешить несоответствие сертификатов» доступен только в CSE, а не в Hosted S/MIME . Чтобы настроить CSE для разрешения несоответствия сертификатов, выберите этот параметр при добавлении корневых сертификатов в настройках Hosted S/MIME. Подробные инструкции по добавлению корневых сертификатов см. в соответствующем разделе.
Если выбран параметр « Разрешить несоответствие сертификатов» , получатели могут расшифровывать и читать входящие сообщения с несоответствием сертификатов. Предыдущие сообщения с несоответствием сертификатов (полученные до включения этой настройки) также можно расшифровать и прочитать. Однако адрес электронной почты, связанный с сертификатом пользователя, не сохраняется в контактах получателя. Для синхронизации и сохранения адресов электронной почты используйте Google Cloud Directory Sync .
Параметр «Разрешить несоответствие сертификатов» работает только для внутренних контактов или контактов, синхронизированных с GCDS. Он не работает для внешних контактов.
Разрешить использование SHA-1 (не рекомендуется)
Хотя некоторые почтовые клиенты позволяют использовать хешированные подписи SHA-1, такие подписи кажутся ненадежными. Это связано с тем, что алгоритм SHA-1 устарел из-за проблем с безопасностью.
При добавлении нового корневого сертификата в параметр S/MIME выбирайте параметр «Разрешить SHA-1 глобально» только в том случае, если:
- Ваша организация использует криптографическую хеш-функцию SHA-1 для обеспечения безопасности сообщений S/MIME, и
- Вы хотите, чтобы эти сообщения воспринимались как заслуживающие доверия.
При выборе этой опции Gmail доверяет S/MIME-сертификатам, прикрепленным к входящим письмам, с использованием хеша SHA-1.
Устранение неполадок с загрузкой сертификатов
Если у вас возникли проблемы с загрузкой сертификатов, ознакомьтесь с возможными причинами и попробуйте предложенные решения:
Сертификат не соответствует минимальным требованиям для того, чтобы ему можно было доверять.
Убедитесь, что сертификат не является самоподписанным, не был отозван и что длина ключа составляет 1024 бита или более. Затем попробуйте загрузить его снова.
Отредактируйте сертификат, чтобы изменить домены в списке адресов. Например, если вы загрузили собственные сертификаты, а сообщения по-прежнему обрабатываются как недоверенные, попробуйте отредактировать список разрешенных доменов в сертификате.
Подпись сертификата недействительна.
Убедитесь, что сертификат имеет действительную подпись, и попробуйте загрузить его снова.
Просроченный сертификат
Убедитесь, что дата на сертификате находится в диапазоне дат, указанном в полях «Не раньше (дата)» и «Не позже (дата )». Затем попробуйте загрузить сертификат еще раз.
В цепочке сертификатов содержится как минимум один недействительный сертификат.
Убедитесь, что сертификат отформатирован правильно, и попробуйте загрузить его снова.
Сертификат содержит несколько корневых сертификатов.
Невозможно загрузить сертификат, содержащий более одного корневого сертификата. Убедитесь, что сертификат содержит только один корневой сертификат, а затем попробуйте загрузить его снова.
Сертификат не удалось обработать.
Убедитесь, что сертификат отформатирован правильно, а затем попробуйте загрузить его снова.
Сервер возвращает неизвестный ответ.
Убедитесь, что сертификат отформатирован правильно, а затем попробуйте загрузить его снова.
Не удалось загрузить сертификат.
Возможно, возникла проблема с подключением к серверу. Обычно это временная проблема. Подождите несколько минут и попробуйте загрузить файл снова. Если загрузка по-прежнему не удается, убедитесь, что сертификат отформатирован правильно.