支持此功能的版本:一线员工 Plus 版;企业 Plus 版;教育基础版、教育标准版和教育 Plus 版。 版本对比
托管 S/MIME 和客户端加密 (CSE) 是可让您的用户收发 S/MIME 电子邮件的 Google Workspace 功能。
Google 为 S/MIME 提供了证书要求和受信任的 CA 证书。如果您的证书不符合这些要求,您可能会注意到某些邮件不受信任。如要解决此问题,您可以接受来自您信任的根证书授权机构 (CA) 的其他根证书。
如需接受其他根证书,请在 Google 管理控制台中添加相应的证书。然后,指定证书所适用的网域(至少一个)。您也可以选择调整证书的加密级别和验证配置文件。
如需了解在 Google Workspace 中启用 S/MIME 的详细步骤,请参阅为邮件加密启用托管 S/MIME。如需详细了解 CSE,请访问客户端加密功能简介。
本页内容
根证书准则
根证书必须符合以下准则,才能在 Google Workspace 中与 S/MIME 搭配使用:
- 证书必须采用 .pem 格式,并且仅包含一份根证书。
- 证书链必须至少包含一个中间证书。
- 每个证书链都应具有最终用户证书。如果没有最终用户证书,Google 会执行最低级别的验证。
- 最终用户证书不得包含私钥。
重要提示:证书链中必须至少存在 1 个中间 CA 证书。也就是说,根不得直接颁发最终实体证书。
更改根证书的网域
您无法修改证书的失效日期,也无法通过修改来替换证书。如需更换证书,您必须删除要换掉的证书,然后上传新证书。删除根证书不会影响已经上传的任何最终用户证书。
如需更改根证书的网域,请执行以下操作:
- 在 Google 管理控制台中,打开用户设置标签页上的 S/MIME 设置。
- 在额外根证书表中,选择您要更改的证书,然后点击修改。
- 更新网域,然后点击保存。
删除根证书
如需删除根证书,请执行以下操作:
- 在 Google 管理控制台中,打开用户设置标签页上的 S/MIME 设置。
- 在额外根证书表中,选择您要移除的证书,然后点击删除。
为签名和加密使用不同证书
仅 CSE 提供此功能。托管 S/MIME 不支持此功能。
通常,组织使用同一个证书为邮件签名和加密。不过,如果贵组织要求使用不同的证书来为邮件签名和加密,请使用 Gmail CSE API 为每位用户上传加密公共证书和签名公共证书。
详细了解如何使用 Gmail CSE API 管理用户证书。
在网域之间交换 S/MIME 邮件
如要允许不同网域中的用户互相发送 S/MIME 邮件,您可能需要在 Google 管理控制台中额外执行一些步骤。请根据为网域颁发用户证书的方式,按照此处推荐的步骤进行操作。
- 两个网域的用户证书均由受信任的根 CA 颁发:如果两个网域中的所有用户证书均由 Google 信任的根 CA 颁发,则您无需执行任何额外的步骤。这些根 CA 证书始终受 Gmail 信任。
两个网域的用户证书由不受信任的同一根 CA 颁发:在这种情况下,不受信任的根 CA 为您的网域以及您要与其交换 S/MIME 邮件的网域颁发用户证书。
按照启用托管 S/MIME 中的步骤,将不受信任的根 CA 添加到您的 Google 管理控制台中。在添加根证书框中,在地址列表字段中输入另一个网域。
一个网域的用户证书由不受信任的根 CA 颁发:在这种情况下,一个网域的用户证书由不受信任的根 CA 颁发。另一网域的用户证书由不同的根 CA 颁发。
按照启用托管 S/MIME 中的步骤,将另一网域的根 CA 添加到您的 Google 管理控制台中。在添加根证书框中,在地址列表字段中输入另一个网域。
仅在必要时使用
仅在必要时使用本部分中的证书选项,并确保了解使用这些选项可能产生的影响。
允许证书不匹配(不推荐)
有时,与用户证书关联的电子邮件地址可能不同于用户的主电子邮件地址。例如,Brandon Pham 的证书使用电子邮件地址 b.pham@solarmora.com,但 Brandon 使用 brandon.pham@solarmora.com 来收发自己的大部分工作电子邮件。这称为证书不匹配。
重要提示:出于安全考虑,Google 建议仅在贵组织要求允许证书不匹配时才使用此选项。启用此选项后,如果证书不匹配(可能是未经授权的用户或恶意用户导致的),用户和管理员将不会收到警告。
允许证书不匹配选项仅适用于 CSE,不适用于托管 S/MIME。如需将 CSE 设置为允许证书不匹配,请在托管 S/MIME 设置中添加根证书时选择证书不匹配选项。了解添加根证书的详细步骤。
选择允许证书不匹配选项后,收件人可以解密和阅读证书不匹配情况下收到的邮件。此外,在此设置启用之前收到的证书不匹配邮件也可以进行解密和读取。不过,与用户证书关联的电子邮件地址不会保存到收件人的通讯录中。如需同步和保存电子邮件地址,请使用 Google Cloud Directory Sync。
允许证书不匹配选项仅适用于内部联系人或通过 GCDS 同步的联系人。不适用于外部联系人。
允许使用 SHA-1(不推荐)
尽管部分电子邮件客户端允许使用 SHA-1 哈希签名,但这些签名似乎不受信任。这是因为 SHA-1 因安全问题已被废弃。
将新的根证书添加到 S/MIME 设置时,请仅在以下情况下选择允许全局使用 SHA-1 选项:
- 贵组织使用 SHA-1 加密哈希函数进行通信,以保障 S/MIME 邮件的安全性;
- 您想让这些通信显示为受信任的通信。
选择此选项后,Gmail 会信任使用 SHA-1 附加到入站邮件的 S/MIME 证书。
排查证书上传问题
如果您在上传证书时遇到问题,请查看以下可能的原因,并尝试建议的解决方案:
证书不符合受信任的最低要求
确认证书并未采用自签名,未被撤消,而且密钥长度不少于 1,024 位。然后,重新尝试上传。
修改证书以更改地址列表中的网域。举例来说,如果您上传了自定义证书,但邮件仍被视为不受信任,您可以尝试修改证书的许可网域列表。
证书的签名无效
确认证书拥有有效的签名,然后重新尝试上传。
证书过期
确认证书上的日期在不早于(日期)和不晚于(日期)字段中指定的时间范围内。然后,重新尝试上传。
证书链至少有一个无效证书。
确认证书的格式无误,然后重新尝试上传。
证书包含多个根证书
您无法上传包含多个根证书的证书。确认证书只有一个根证书,然后重新尝试上传。
无法解析证书
确认证书的格式无误,然后重新尝试上传。
服务器返回未知响应
确认证书的格式无误,然后重新尝试上传。
无法上传证书
与服务器的连接可能有问题。这通常是暂时性问题。请等待几分钟,然后尝试重新上传。如果持续上传失败,请确认证书的格式无误。