Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen

Sie können gehostetes S/MIME (Secure/Multipurpose Internet Mail Extensions) in der Admin-Konsole einrichten, um die Nutzer in Ihrer Organisation vor Phishing, schädlichen Anhängen und anderen E-Mail-Bedrohungen zu schützen. S/MIME verbessert die E-Mail-Sicherheit, indem Nachrichten verschlüsselt und eine digitale Signatur hinzugefügt wird. Nachrichten werden mit einer Kombination aus einem öffentlichen und einem privaten Schlüssel entschlüsselt. Wenn S/MIME gehostet wird, speichert die Organisation, die S/MIME für die Verschlüsselung verwendet, den privaten Schlüssel.

Optional können Sie S/MIME für ausgehende Nachrichten oder für Nachrichten mit bestimmten Inhalten erzwingen. Weitere Informationen finden Sie im Hilfeartikel S/MIME-Verschlüsselung für ausgehende Nachrichten erzwingen.

Vergleich von clientseitiger Verschlüsselung und S/MIME

Mit der clientseitigen Verschlüsselung von Google Workspace können Nutzer auch verschlüsselte S/MIME-Nachrichten senden und empfangen. Mit der clientseitigen Verschlüsselung werden private Schlüssel jedoch von einem externen Schlüsseldienst verwaltet, um den Datenschutz zu verbessern. Weitere Informationen zur clientseitigen Verschlüsselung

Schritt 1: Gehostetes S/MIME in der Admin-Konsole aktivieren

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Apps und dann Google Workspace und dann Gmail und dann Nutzereinstellungen.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Wählen Sie links unter Organisationen die Domain oder Organisation aus, die Sie konfigurieren möchten.

    Wichtig:Wenn Sie Root-Zertifikate mit erweiterten S/MIME-Steuerelementen hochladen und verwalten möchten, müssen Sie S/MIME auf der obersten Organisationsebene aktivieren. Das ist in der Regel Ihre Domain. Weitere Informationen zu S/MIME und Root-Zertifikaten.

  3. Scrollen Sie zu den Einstellungen für S/MIME und klicken Sie auf das Kästchen neben S/MIME-Verschlüsselung für den Versand und Empfang von E-Mails aktivieren.

  4. Optional: Wenn Sie zulassen möchten, dass Nutzer Zertifikate hochladen, klicken Sie auf das Kästchen neben Nutzern erlauben, eigene Zertifikate hochzuladen.

  5. Optionale zusätzliche Steuerelemente: So laden Sie Root-Zertifikate hoch und verwalten sie:

    1. Klicken Sie neben Bitte akzeptieren Sie diese zusätzlichen Root-Zertifikate für bestimmte Domains auf Hinzufügen.
    2. Klicken Sie im Fenster Root-Zertifikat hinzufügen auf Root-Zertifikat hochladen.
    3. Suchen Sie nach der Zertifikatsdatei und klicken Sie auf Öffnen. Eine Bestätigungsmeldung für das Zertifikat wird angezeigt. Diese Nachricht enthält den Betreffnamen und das Ablaufdatum.
    4. Wählen Sie unter Verschlüsselungsstufe die Verschlüsselungsstufe aus,die für dieses Zertifikat gelten soll.
    5. Geben Sie unter Adressliste mindestens eine Domain ein, für die das Root Zertifikat verwendet wird. Mehrere Domains müssen durch Kommas getrennt werden. Platzhalter in Domainnamen sind zulässig. Weitere Informationen zur Verwendung von Platzhaltern in Domainnamen finden Sie unter RFC 6125.

    6. Optional: Wenn Sie CSE-Schlüsselpaare mit Zertifikaten zulassen möchten, die mit einer anderen E-Mail-Adresse als der primären E-Mail-Adresse eines Nutzers verknüpft sind, wählen Sie die Option „Nicht übereinstimmende Zertifikate“ aus (Für diese Domains Zertifikate mit E-Mail-Adressen zulassen, die nicht mit der aktuellen E-Mail-Adresse des Nutzers übereinstimmen).

      Aus Sicherheitsgründen wird diese Option nur empfohlen, wenn sie von Ihrer Organisation benötigt wird. Diese Funktion wird für CSE unterstützt. Sie wird für gehostetes S/MIME nicht unterstützt. Weitere Informationen zu nicht übereinstimmenden Zertifikaten finden Sie unter Vertrauenswürdige Zertifikate für S/MIME verwalten.

    7. Klicken Sie auf Fertig.

    8. Wiederholen Sie diese Schritte, um weitere Zertifikatketten hochzuladen.

  6. Wenn in Ihrer Domain oder Organisation der Hashalgorithmus SHA-1 verwendet werden muss, klicken Sie auf das Kästchen neben SHA-1 global zulassen (nicht empfohlen). Weitere Informationen zur Verwendung von SHA-1 finden Sie im Hilfeartikel Vertrauenswürdige Zertifikate für S/MIME verwalten.

  7. Klicken Sie auf Speichern.

Es kann bis zu 24 Stunden dauern, ehe Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen Nachrichten, die in diesem Zeitraum gesendet werden, sind nicht verschlüsselt.

Schritt 2: Nutzer auffordern, Gmail neu zu laden

Nachdem Sie das gehostete S/MIME in Ihrer Admin-Konsole aktiviert haben, bitten Sie die Nutzer in Ihrer Organisation, Gmail neu zu laden. Wenn gehostetes S/MIME aktiviert ist, wird in der Betreffzeile von Nachrichten ein Schlosssymbol angezeigt. Wenn die Nachricht mit gehostetem S/MIME verschlüsselt wird, ist das Schlosssymbol grün.

Schritt 3: S/MIME-Zertifikate zu Gmail hinzufügen

Fügen Sie als Nächstes S/MIME-Zertifikate zu Gmail hinzu. Es gibt zwei Möglichkeiten, Zertifikate hinzuzufügen:

  • Administratoren fügen Zertifikate mit der Gmail S/MIME API hinzu.
  • Nutzer fügen Zertifikate in den Gmail-Kontoeinstellungen hinzu.

Wir empfehlen Administratoren, Zertifikate mit den Gmail S/MIME API Einstellungen hochzuladen.

(Nutzer) Zertifikate in den Gmail-Kontoeinstellungen hinzufügen

Sie können die Nutzer in Ihrer Organisation bitten, die folgenden Schritte auszuführen, um S/MIME-Zertifikate in den Gmail-Einstellungen auf dem Tab Konten und Import oder Konten im Bereich Senden als hinzuzufügen. Für „Senden als“-Konten werden keine S/MIME-Zertifikate vom primären Gmail-Konto übernommen. Sie müssen daher manuell ein S/MIME-Zertifikat zum „Senden als“-Konto hinzufügen. Weitere Informationen zu „Senden als“-Konten finden Sie im Hilfeartikel E-Mails über eine andere Adresse oder einen Alias senden.

Wichtig :

  • Nutzer können S/MIME-Zertifikate nur in der Webversion von Gmail zu „Senden als“-Konten hinzufügen. Die Schritte in diesem Abschnitt werden in der Gmail App nicht unterstützt.
  • Nutzer können S/MIME-Nachrichten nur in der Webversion von Gmail über ihre „Senden als“-Konten senden.

So fügen Sie S/MIME-Zertifikate hinzu:

  1. Rufen Sie Gmail im Web auf.
  2. Wählen Sie Einstellungen und dann Alle Einstellungen aufrufen aus.
  3. Wählen Sie den Tab Konten aus.

  4. Wählen Sie neben Senden als die Option Informationen bearbeiten aus.

    Das Fenster E-Mail-Adresse und Verschlüsselungseinstellungen bearbeiten wird angezeigt. Wenn diese Option nicht verfügbar ist, wenden Sie sich an Ihren Administrator.

  5. Klicken Sie auf Persönliches Zertifikat hochladen.

  6. Wählen Sie das Zertifikat aus und klicken Sie auf Öffnen. Geben Sie bei Aufforderung ein Passwort für das Zertifikat ein.

  7. Klicken Sie auf Zertifikat hinzufügen.

  8. Klicken Sie auf Änderungen speichern.

Zertifikatsanforderungen

Zertifikate, die mit Gmail verwendet werden, müssen den aktuellen kryptografischen Standards entsprechen und das Archivdateiformat PKCS #12 (Public-Key Cryptography Standards) verwenden.

Google verwaltet diese Liste vertrauenswürdiger Zertifikate, die Gmail für S/MIME unterstützen.

Schritt 4: Nutzer auffordern, Schlüssel auszutauschen

Um den Austausch von S/MIME-Nachrichten zu ermöglichen, müssen Ihre Nutzer Schlüssel mit Nachrichtenempfängern auf eine der folgenden Arten austauschen:

  • Per Versand einer über S/MIME signierten Nachricht an den Empfänger: Die Nachricht ist digital signiert und enthält den öffentlichen Schlüssel des Nutzers. Empfänger können diesen öffentlichen Schlüssel verwenden, um Nachrichten zu verschlüsseln, die sie an den Nutzer senden.
  • Per Erhalt einer über S/MIME signierten Nachricht vom Empfänger: Wenn sie die Nachricht erhalten, ist sie mit S/MIME signiert. Der Schlüssel wird automatisch gespeichert und ist verfügbar. In Zukunft werden Nachrichten, die an den Empfänger gesendet werden, mit S/MIME verschlüsselt.

S/MIME-Einstellungen der Unterorganisation überschreiben

Organisationseinheiten übernehmen standardmäßig die S/MIME-Einstellungen von der obersten Organisationseinheit. Sie können die übernommenen S/MIME-Einstellungen für Organisationseinheiten optional überschreiben. Diese Funktion ist nützlich, wenn Sie S/MIME-Einstellungen für Organisationseinheiten deaktivieren oder anpassen möchten.

So überschreiben Sie S/MIME-Einstellungen:

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Apps und dann Google Workspace und dann Gmail und dann Nutzereinstellungen.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Wählen Sie links unter Organisationen die Organisationseinheit aus, die Sie konfigurieren möchten.

  3. Scrollen Sie zur S/MIME-Einstellung und klicken Sie darauf, um sie zu maximieren.

    Das Label unter der S/MIME-Einstellung gibt entweder Übernommen von (Organisation oder Domainname) oder Überschrieben an.

  4. Klicken Sie auf Überschreiben , um die Änderungen an der Unterorganisation zu speichern, für die die S/MIME-Einstellungen nun gelten sollen.

    Nachdem die Einstellungen der Unterorganisation gespeichert wurden, wird unter dem Label der S/MIME-Einstellungen Überschrieben angezeigt. Im Strukturbaum der Organisationseinheit auf der linken Seite sehen Sie außerdem einen Punkt neben den Unterorganisationen, die Einstellungen überschreiben.

Tipp:Wenn Ihre Unterorganisation die Einstellungen einer übergeordneten Organisation überschrieben hat, können Sie über die Schaltfläche Übernehmen diese Einstellungen übernehmen.

Fehlerbehebung: Unterorganisationen übernehmen keine S/MIME-Einstellungen

Problem:Untergeordnete Organisationseinheiten übernehmen die S/MIME-Einstellungen nicht von der Stammorganisationseinheit.

Ursache:Die häufigste Ursache für dieses Problem ist, dass S/MIME für Ihre gesamte Organisation (auf Stammebene) deaktiviert oder geändert wurde, nachdem eine oder mehrere Organisationseinheiten S/MIME-Einstellungen mithilfe der Überschreibungsfunktion hinzugefügt haben. Weitere Informationen

Dieses Problem kann auch auftreten, wenn diese S/MIME-Optionen mit der Überschreibungsfunktion auf Ebene der untergeordneten Organisationsebene festgelegt sind: S/MIME aktivieren , Nutzern erlauben, eigene Zertifikate hochzuladen, oder SHA-1 global zulassen. Das liegt daran, dass diese Änderungen die Zertifikateinstellungen für die Stammebene überschreiben.

Lösung:So beheben Sie das Problem und wenden die S/MIME-Übernahme auf eine untergeordnete Organisationseinheit an:

  1. Wählen Sie in den S/MIME -Einstellungen links unter dem Label der S/MIME -Einstellung den Namen der untergeordneten Organisationseinheit aus.
  2. Klicken Sie auf Übernehmen , um die S/MIME-Einstellungen der Stammebene auf die untergeordnete Organisationseinheit anzuwenden.
  3. Wenden Sie die Einstellungen der untergeordneten Organisationseinheit noch einmal an:
    1. Lassen Sie die untergeordnete Organisationseinheit links unter dem Label der S/MIME -Einstellung ausgewählt.
    2. Aktualisieren Sie die relevanten S/MIME-Einstellungen für die untergeordnete Organisationseinheit: S/MIME aktivieren, Nutzern erlauben, eigene Zertifikate hochzuladen, oder SHA-1 global zulassen.
    3. Klicken Sie auf Überschreiben. Dadurch werden die spezifischen Einstellungen der untergeordneten Organisationseinheit gespeichert und gleichzeitig sichergestellt, dass alle bisherigen Änderungen an Root-Zertifikaten oder S/MIME-Einstellungen auf Stammebene übernommen werden.

Wiederholen Sie diese Schritte für jede betroffene untergeordnete Organisationseinheit.

Wichtig:Jedes Mal, wenn Sie ein Root-Zertifikat hinzufügen oder entfernen, müssen Sie diese Schritte für alle untergeordneten Organisationseinheiten wiederholen, auf die diese Änderungen angewendet werden sollen.

Vertrauenswürdige Zertifikate für S/MIME verwalten (erweitert)