Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard och Education Plus. Jämför din utgåva
Du kan konfigurera värdbaserade Secure/Multipurpose Internet Mail Extensions (S/MIME) i Googles administratörskonsol för att skydda dina anställda i organisationen från nätfiske, skadliga bilagor och andra e-posthot. S/MIME förbättrar e-postsäkerheten genom att kryptera och lägga till en digital signatur i meddelanden. Meddelanden dekrypteras med hjälp av en kombination av en offentlig nyckel och en privat nyckel. När S/MIME används lagrar organisationen som använder S/MIME för kryptering den privata nyckeln.
Du kan valfritt kräva S/MIME för utgående meddelanden eller för meddelanden som innehåller specifikt innehåll. Läs mer på Kräv S/MIME-kryptering för utgående meddelanden .
CSE jämfört med S/MIME
Klientsideskryptering (CSE) i Google Workspace låter även användare skicka och ta emot krypterade S/MIME-meddelanden. Men med CSE hanteras privata nycklar av en extern nyckeltjänst för ökad integritet och dataskydd. Läs mer om CSE .
Steg 1: Aktivera värdbaserad S/MIME i Googles administratörskonsol
I Googles administratörskonsol, gå till Meny
Appar Google Workspace Gmail Användarinställningar .Till vänster, under Organisationer , väljer du den domän eller organisation du vill konfigurera.
Viktigt: För att använda avancerade S/MIME-kontroller för att ladda upp och hantera rotcertifikat måste du aktivera S/MIME på toppnivåorganisationen, vanligtvis din domän. Läs mer om S/MIME och rotcertifikat .
Bläddra till S/MIME-inställningen och markera rutan Aktivera S/MIME-kryptering för att skicka och ta emot e-postmeddelanden .
(Valfritt) Om du vill låta personer i din organisation ladda upp certifikat markerar du rutan Tillåt användare att ladda upp sina egna certifikat .
(Valfria ytterligare kontroller) För att ladda upp och hantera rotcertifikat:
- Bredvid Acceptera dessa ytterligare rotcertifikat för specifika domäner klickar du på Lägg till .
- I fönstret Lägg till rotcertifikat klickar du på Ladda upp rotcertifikat .
- Bläddra för att välja certifikatfilen och klicka på Öppna . Ett verifieringsmeddelande visas för certifikatet. Meddelandet innehåller ämnesnamn och utgångsdatum.
- Under Krypteringsnivå väljer du den krypteringsnivå som ska användas med det här certifikatet.
- Under Adresslista anger du minst en domän som ska använda rotcertifikatet vid kommunikation. Separera flera domäner med kommatecken. Domännamn kan innehålla jokertecken. För att lära dig mer om att använda jokertecken i domännamn, se RFC 6125 .
(Valfritt) Om du vill tillåta CSE-nyckelpar med certifikat som är kopplade till en annan e-postadress än användarens primära e-postadress väljer du alternativet Certifikatmatchningsfel ( för dessa domäner tillåts certifikat med e-postadresser som inte matchar användarens nuvarande e-postadress ).
Av säkerhetsskäl rekommenderas det här alternativet endast när det krävs av din organisation. Den här funktionen stöds med CSE. Den stöds inte med värdbaserad S/MIME. Om du vill veta mer om certifikatavvikelser kan du besöka Hantera betrodda certifikat för S/MIME .
Klicka på Klar .
Upprepa dessa steg för att ladda upp fler certifikatkedjor.
Om din domän eller organisation måste använda Secure Hash Algorithm 1 (SHA-1) markerar du rutan Tillåt SHA-1 globalt (rekommenderas inte) . Om du vill veta mer om hur du använder SHA-1 kan du besöka Hantera betrodda certifikat för S/MIME .
Klicka på Spara .
Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer Meddelanden som skickas under denna tid krypteras inte.
Steg 2: Be dina användare att ladda om Gmail
När du har aktiverat värdbaserad S/MIME i Googles administratörskonsol ber du personerna i organisationen att ladda om Gmail. När värdbaserad S/MIME är aktiverat visas en låsikon i ämnesraden i meddelandena. Om meddelandet är krypterat med värdbaserad S/MIME är låset grönt.
Steg 3: Lägg till S/MIME-certifikat i Gmail
Lägg sedan till S/MIME-certifikat i Gmail. Det finns två sätt att lägga till certifikat:
- Administratörer lägger till certifikat med Gmail S/MIME API
- Användare lägger till certifikat i sina Gmail-kontoinställningar
(Administratör) Lägg till certifikat med Gmail S/MIME API (rekommenderas)
Vi rekommenderar att administratörer laddar upp certifikat med hjälp av Gmail S/MIME API- inställningarna .
(Användare) Lägg till certifikat i Gmail-kontoinställningar
Du kan instruera personer i din organisation att följa dessa steg för att lägga till S/MIME-certifikat i sina Gmail-inställningar, på fliken Konton och import eller Konton , i avsnittet Skicka e-post som . Konton av typen "Skicka e-post som" ärver inte S/MIME-certifikat från det primära Gmail-kontot, så du måste manuellt lägga till ett S/MIME-certifikat i kontot "Skicka e-post som". Om du vill veta mer om konton av typen "Skicka e-post som" kan du besöka Skicka e-post från en annan adress eller ett annat alias .
Viktig:
- Användare kan bara lägga till S/MIME-certifikat till "Skicka e-post som"-konton med Gmail på webben. Stegen i det här avsnittet stöds inte i Gmail-appen.
- Användare kan skicka S/MIME-meddelanden från sina "Skicka e-post som"-konton med hjälp av Gmail endast på webben.
Så här lägger du till S/MIME-certifikat:
- Gå till Gmail på webben.
- Välj Inställningar
Se alla inställningar . - Välj fliken Konton .
Bredvid Skicka e-post som väljer du Redigera information .
Fönstret Redigera e-postadress och krypteringsinställningar visas. Om du inte har det här alternativet kontaktar du administratören.
Klicka på Ladda upp ett personligt certifikat .
Markera certifikatet och klicka på Öppna . Du kommer att bli ombedd att ange ett lösenord för certifikatet.
Ange lösenordet och klicka på Lägg till certifikat .
Klicka på Spara ändringar .
Certifikatkrav
Certifikat som används med Gmail måste uppfylla aktuella kryptografiska standarder och måste vara i arkivfilformatet Public-Key Cryptography Standards (PKCS) #12 .
Google har den här listan över betrodda certifikat som stöder Gmail för S/MIME.
Steg 4: Instruera dina användare att byta nycklar
För att börja utbyta S/MIME-meddelanden måste dina användare utbyta nycklar med meddelandemottagare på ett av följande sätt:
- Skicka ett S/MIME-signerat meddelande till mottagarna. Meddelandet är digitalt signerat och innehåller användarens offentliga nyckel. Mottagare kan använda denna offentliga nyckel för att kryptera meddelanden de skickar till användaren.
- Be mottagarna att skicka ett meddelande till dem. När de tar emot meddelandet signeras det med S/MIME. Nyckeln lagras automatiskt och är tillgänglig. Från och med nu krypteras meddelanden som skickas till mottagaren med S/MIME.
Åsidosätt S/MIME-inställningar för underorganisation
Som standard ärver organisationsenheter S/MIME-inställningar från organisationsenheten på översta nivån. Du kan valfritt åsidosätta de ärvda S/MIME-inställningarna för organisationsenheter. Den här funktionen är användbar för att inaktivera eller anpassa S/MIME-inställningar för organisationsenheter.
Så här åsidosätter du S/MIME-inställningar:
I Googles administratörskonsol, gå till Meny
Appar Google Workspace Gmail Användarinställningar .- Till vänster, under Organisationer , väljer du den organisationsenhet du vill konfigurera.
Bläddra till S/MIME-inställningen och klicka för att expandera den.
Etiketten under S/MIME-inställningsetiketten anger antingen Ärvd från ( organisations- eller domännamn ) eller Åsidosatt .
Klicka på Åsidosätt för att spara ändringarna i den underorganisation som ärver S/MIME-inställningar.
När underorganisationens inställningar har sparats visas Åsidosatt under etiketten S/MIME-inställningar. En punkt visas också bredvid de åsidosättande underorganisationerna i organisationsenhetens strukturträd till vänster.
Tips: Om din underorganisation har åsidosatt inställningarna för en organisation på högre nivå kan du använda knappen Ärv för att ärva inställningar från organisationen på högre nivå.
Felsökning: Underorganisationer ärver inte S/MIME-inställningar
Problem: Underordnade organisationsenheter ärver inte S/MIME-inställningar från rotorganisationsenheten.
Orsak: Den vanligaste orsaken till det här problemet är att S/MIME har stängts av eller ändrats för hela organisationen (på rotnivå) efter att en eller flera organisationsenheter har lagt till S/MIME-inställningar med hjälp av åsidosättningsfunktionen. Läs mer
Det här problemet kan också uppstå när dessa S/MIME-alternativ är inställda på underordnad organisationsnivå med åsidosättningsfunktionen: Aktivera S/MIME , Tillåt användare att ladda upp sina egna certifikat eller Tillåt SHA-1 globalt . Detta beror på att dessa ändringar åsidosätter certifikatinställningarna för rotnivån.
Lösning: Så här åtgärdar du problemet och tillämpar S/MIME-arv på en underordnad organisationsenhet:
- I S/MIME- inställningarna väljer du namnet på den underordnade organisationsenheten till vänster, under etiketten S/MIME -inställning.
- Klicka på Ärv för att tillämpa rotinställningarna för S/MIME på den underordnade organisationsenheten.
- Tillämpa inställningarna för den underordnade organisationsenheten igen:
- Låt den underordnade organisationsenheten vara markerad till vänster, under inställningsetiketten S/MIME .
- Uppdatera relevanta S/MIME-inställningar för den underordnade organisationsenheten: Aktivera S/MIME.. , Tillåt användare att ladda upp sina egna certifikat eller Tillåt SHA-1 globalt .
- Klicka på Åsidosätt . Detta sparar de underordnade inställningarna samtidigt som det säkerställer att underordnade ärver eventuella tidigare ändringar av rotcertifikat eller S/MIME-inställningar på rotnivå.
Upprepa dessa steg för varje berörd underordnad organisationsenhet.
Viktigt: Varje gång du lägger till eller tar bort ett rotcertifikat måste du upprepa dessa steg för alla underordnade organisationsenheter där du vill att ändringarna ska gälla.