Schakel gehoste S/MIME in voor berichtversleuteling.

Ondersteunde edities voor deze functie: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard en Education Plus. Vergelijk uw editie

U kunt gehoste Secure/Multipurpose Internet Mail Extensions (S/MIME) instellen in uw Google Admin-console om uw medewerkers te beschermen tegen phishing, schadelijke bijlagen en andere e-mailbedreigingen. S/MIME verbetert de e-mailbeveiliging door berichten te versleutelen en een digitale handtekening toe te voegen. Berichten worden ontsleuteld met behulp van een combinatie van een openbare en een privésleutel. Wanneer S/MIME gehost wordt, bewaart de organisatie die S/MIME gebruikt voor versleuteling de privésleutel.

U kunt optioneel S/MIME-versleuteling vereisen voor uitgaande berichten of voor berichten met specifieke inhoud. Lees meer op S/MIME-versleuteling vereisen voor uitgaande berichten .

CSE vergeleken met S/MIME

Met client-side encryptie (CSE) in Google Workspace kunnen gebruikers ook versleutelde S/MIME-berichten verzenden en ontvangen. Bij CSE worden privésleutels echter beheerd door een externe sleutelservice, wat de privacy en gegevensbescherming verbetert. Lees meer over CSE .

Stap 1: Schakel gehoste S/MIME in in uw Google-beheerconsole.

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Gmail en dan Gebruikersinstellingen .

    Hiervoor is beheerdersrechten voor de Gmail-instellingen vereist.

  2. Aan de linkerkant, onder Organisaties , selecteer je het domein of de organisatie die je wilt configureren.

    Belangrijk: Om geavanceerde S/MIME-instellingen te gebruiken voor het uploaden en beheren van rootcertificaten, moet u S/MIME inschakelen op het hoogste organisatieniveau, meestal uw domein. Lees meer over S/MIME en rootcertificaten .

  3. Scrol naar de S/MIME-instelling en vink het vakje 'S/MIME-versleuteling inschakelen voor het verzenden en ontvangen van e-mails' aan .

  4. (Optioneel) Om mensen in uw organisatie toe te staan ​​certificaten te uploaden, vinkt u het vakje 'Gebruikers toestaan ​​hun eigen certificaten te uploaden' aan .

  5. (Optionele extra bedieningselementen) Om rootcertificaten te uploaden en te beheren:

    1. Klik naast 'Deze extra rootcertificaten voor specifieke domeinen accepteren' op 'Toevoegen' .
    2. Klik in het venster 'Rootcertificaat toevoegen' op 'Rootcertificaat uploaden' .
    3. Blader om het certificaatbestand te selecteren en klik op Openen . Er verschijnt een verificatiebericht voor het certificaat. Dit bericht bevat de onderwerpnaam en de vervaldatum.
    4. Selecteer onder 'Versleutelingsniveau' het versleutelingsniveau dat u met dit certificaat wilt gebruiken.
    5. Voer onder 'Adreslijst' ten minste één domein in dat het rootcertificaat zal gebruiken voor communicatie. Scheid meerdere domeinen met komma's. Domeinnamen kunnen jokertekens bevatten. Raadpleeg RFC 6125 voor meer informatie over het gebruik van jokertekens in domeinnamen.

    6. (Optioneel) Om CSE-sleutelparen toe te staan ​​met certificaten die zijn gekoppeld aan een ander e-mailadres dan het primaire e-mailadres van een gebruiker, selecteert u de optie 'certificaat komt niet overeen' ( Voor deze domeinen zijn certificaten met e-mailadressen die niet overeenkomen met het huidige e-mailadres van de gebruiker toegestaan ).

      Om veiligheidsredenen wordt deze optie alleen aanbevolen als uw organisatie dit vereist. Deze functie wordt ondersteund door CSE. Het wordt niet ondersteund door gehoste S/MIME. Ga naar Vertrouwde certificaten voor S/MIME beheren voor meer informatie over certificaatmismatch.

    7. Klik op Klaar .

    8. Herhaal deze stappen om meer certificaatketens te uploaden.

  6. Als uw domein of organisatie Secure Hash Algorithm 1 (SHA-1) moet gebruiken, vink dan het vakje 'SHA-1 wereldwijd toestaan ​​(niet aanbevolen)' aan. Ga naar 'Vertrouwde certificaten voor S/MIME beheren' voor meer informatie over het gebruik van SHA-1.

  7. Klik op Opslaan .

Wijzigingen kunnen tot 24 uur duren, maar vinden meestal sneller plaats. Meer informatie. Berichten die gedurende deze tijd worden verzonden, zijn niet versleuteld.

Stap 2: Laat je gebruikers Gmail opnieuw laden.

Nadat je Hosted S/MIME hebt ingeschakeld in je Google Admin-console, vraag je de mensen in je organisatie om Gmail opnieuw te laden. Wanneer Hosted S/MIME is ingeschakeld, verschijnt er een slotpictogram in de onderwerpregel van berichten. Als het bericht is versleuteld met Hosted S/MIME, is het slot groen.

Stap 3: S/MIME-certificaten toevoegen aan Gmail

Voeg vervolgens S/MIME-certificaten toe aan Gmail. Er zijn twee manieren om certificaten toe te voegen:

  • Beheerders kunnen certificaten toevoegen met de Gmail S/MIME API.
  • Gebruikers voegen certificaten toe in de instellingen van hun Gmail-account.

We raden beheerders aan certificaten te uploaden via de Gmail S/MIME API- instellingen .

(Gebruikers) Certificaten toevoegen in de Gmail-accountinstellingen

U kunt mensen in uw organisatie instrueren om de volgende stappen te volgen om S/MIME-certificaten toe te voegen aan hun Gmail-instellingen. Ga hiervoor naar het tabblad ' Accounts en importeren ' of ' Accounts' , in het gedeelte 'E-mail verzenden als '. 'E-mail verzenden als'-accounts erven geen S/MIME-certificaten van het primaire Gmail-account. U moet daarom handmatig een S/MIME-certificaat toevoegen aan het 'E-mail verzenden als'-account. Ga naar ' E-mails verzenden vanaf een ander adres of alias' voor meer informatie over 'E-mail verzenden als'-accounts.

Belangrijk:

  • Gebruikers kunnen S/MIME-certificaten toevoegen aan 'E-mail verzenden als'-accounts via Gmail op het web. De stappen in dit gedeelte worden niet ondersteund in de Gmail-app.
  • Gebruikers kunnen S/MIME-berichten verzenden vanuit hun "Verzenden als"-accounts, maar alleen via Gmail op het web.

Om S/MIME-certificaten toe te voegen:

  1. Ga naar Gmail via de website.
  2. Kies instellingen en dan Bekijk alle instellingen .
  3. Selecteer het tabblad Accounts .

  4. Selecteer naast ' E-mail verzenden als' de optie 'Gegevens bewerken' .

    Het venster 'E-mailadres en versleutelingsinstellingen bewerken' verschijnt. Als u deze optie niet ziet, neem dan contact op met uw beheerder.

  5. Klik op 'Een persoonlijk certificaat uploaden' .

  6. Selecteer het certificaat en klik op Openen . U wordt gevraagd een wachtwoord voor het certificaat in te voeren.

  7. Voer het wachtwoord in en klik op Certificaat toevoegen .

  8. Klik op Wijzigingen opslaan .

Certificaatvereisten

Certificaten die met Gmail worden gebruikt, moeten voldoen aan de huidige cryptografische standaarden en moeten in het archiefbestandsformaat Public-Key Cryptography Standards (PKCS) #12 zijn.

Google beheert deze lijst met vertrouwde certificaten die Gmail ondersteunen voor S/MIME.

Stap 4: Instrueer uw gebruikers om sleutels uit te wisselen.

Om S/MIME-berichten te kunnen uitwisselen, moeten uw gebruikers sleutels uitwisselen met de ontvangers van de berichten op een van de volgende manieren:

  • Verzend een S/MIME-ondertekend bericht naar ontvangers. Het bericht is digitaal ondertekend en bevat de publieke sleutel van de gebruiker. Ontvangers kunnen deze publieke sleutel gebruiken om berichten te versleutelen die ze naar de gebruiker sturen.
  • Vraag de ontvangers om een ​​bericht te sturen. Wanneer ze het bericht ontvangen, wordt het ondertekend met S/MIME. De sleutel wordt automatisch opgeslagen en is beschikbaar. Vanaf dat moment worden alle berichten die naar de ontvanger worden verzonden, versleuteld met S/MIME.

Suborganisatie S/MIME-instellingen overschrijven

Standaard nemen organisatie-eenheden de S/MIME-instellingen over van de organisatie-eenheid op het hoogste niveau. U kunt de overgenomen S/MIME-instellingen voor organisatie-eenheden optioneel overschrijven. Deze functie is handig om S/MIME-instellingen voor organisatie-eenheden uit te schakelen of aan te passen.

Om de S/MIME-instellingen te overschrijven:

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Gmail en dan Gebruikersinstellingen .

    Hiervoor is beheerdersrechten voor de Gmail-instellingen vereist.

  2. Aan de linkerkant, onder Organisaties , selecteer je de organisatie-eenheid die je wilt configureren.

  3. Scrol naar de S/MIME-instelling en klik om deze uit te vouwen.

    Het label onder het label S/MIME-instellingen geeft aan of het is overgenomen van ( organisatie- of domeinnaam ) of overschreven .

  4. Klik op Overschrijven om de wijzigingen op te slaan voor de suborganisatie die de S/MIME-instellingen overneemt.

    Nadat de instellingen van de suborganisatie zijn opgeslagen, wordt 'Overridden' weergegeven onder het label 'S/MIME-instellingen'. Er verschijnt ook een stip naast de overschrijvende suborganisaties in de structuurboom van de organisatie-eenheid aan de linkerkant.

Tip: Als uw suborganisatie de instellingen van een organisatie op een hoger niveau heeft overschreven, kunt u de knop 'Overnemen' gebruiken om de instellingen van de organisatie op het hogere niveau over te nemen.

Probleemoplossing: Suborganisaties nemen S/MIME-instellingen niet over.

Probleem: Onderliggende organisatie-eenheden erven de S/MIME-instellingen niet van de hoofdorganisatie-eenheid.

Oorzaak: De meest voorkomende oorzaak van dit probleem is dat S/MIME is uitgeschakeld of gewijzigd voor uw gehele organisatie (op het hoogste niveau) nadat een of meer organisatieonderdelen S/MIME-instellingen hebben toegevoegd met behulp van de overschrijvingsfunctie. Lees meer

Dit probleem kan zich ook voordoen wanneer deze S/MIME-opties op het niveau van de onderliggende organisatie zijn ingesteld met de overschrijvingsfunctie: S/MIME inschakelen , Gebruikers toestaan ​​hun eigen certificaten te uploaden of SHA-1 globaal toestaan . Dit komt doordat deze wijzigingen de certificaatinstellingen voor het hoofdniveau overschrijven.

Oplossing: Om het probleem op te lossen en S/MIME-overerving toe te passen op een onderliggende organisatie-eenheid:

  1. Selecteer in de S/MIME- instellingen de naam van de onderliggende organisatie-eenheid aan de linkerkant, onder het label S/MIME -instellingen.
  2. Klik op Overnemen om de S/MIME-instellingen van het hoofdsysteem toe te passen op de onderliggende organisatie-eenheid.
  3. De instellingen van de onderliggende organisatie-eenheid opnieuw toepassen:
    1. Zorg ervoor dat de onderliggende organisatie-eenheid aan de linkerkant, onder het label S/MIME -instellingen, geselecteerd blijft.
    2. Werk de relevante S/MIME-instellingen voor de onderliggende organisatie-eenheid bij: S/MIME inschakelen , Gebruikers toestaan ​​hun eigen certificaten te uploaden of SHA-1 globaal toestaan .
    3. Klik op Overschrijven . Hiermee worden de kindspecifieke instellingen opgeslagen en wordt er tevens voor gezorgd dat het kind alle eerdere wijzigingen in rootcertificaten of S/MIME-instellingen op rootniveau overneemt.

Herhaal deze stappen voor elke betrokken onderliggende organisatie-eenheid.

Belangrijk: Telkens wanneer u een rootcertificaat toevoegt of verwijdert, moet u deze stappen herhalen voor alle onderliggende organisatie-eenheden waarop u deze wijzigingen wilt toepassen.

Vertrouwde certificaten voor S/MIME beheren (geavanceerd)