Activa S/MIME alojado para la encriptación de mensajes

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard y Education Plus. Compara tu edición

Puedes configurar Extensiones de Correo de Internet de Propósitos Múltiples/Seguro (S/MIME) alojadas en la Consola del administrador de Google para proteger a las personas de tu organización contra el phishing, los archivos adjuntos dañinos y otras amenazas de correo electrónico. S/MIME mejora la seguridad del correo electrónico encriptando los mensajes y agregándoles una firma digital. Los mensajes se desencriptan con la combinación de una clave pública y una privada. Cuando S/MIME está alojado, la organización que usa S/MIME para la encriptación almacena la clave privada.

De manera opcional, puedes requerir S/MIME para los mensajes salientes o para los mensajes que contengan contenido específico. Obtén más información en Cómo requerir la encriptación S/MIME para los mensajes salientes.

Comparación entre CSE y S/MIME

La encriptación del cliente (CSE) de Google Workspace también permite que los usuarios envíen y reciban mensajes S/MIME encriptados. Sin embargo, con CSE, las claves privadas se administran a través de un servicio de claves externo para aumentar la privacidad y la protección de datos. Obtén más información sobre CSE.

Paso 1: Activa S/MIME alojado en la Consola del administrador de Google

  1. En la Consola del administrador de Google, ve a Menú y luego  Apps y luego Google Workspace y luego Gmail y luego Configuración de usuario.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. A la izquierda, en Organizaciones, selecciona el dominio o la organización que deseas configurar.

    Importante: Para usar los controles avanzados de S/MIME para subir y administrar certificados raíz, debes habilitar S/MIME en la organización de nivel superior, que suele ser tu dominio. Obtén más información sobre S/MIME y los certificados raíz.

  3. Desplázate hasta el parámetro de configuración de S/MIME y marca la casilla Habilitar la encriptación S/MIME para enviar y recibir correos electrónicos.

  4. (Opcional) Para permitir que los usuarios de tu organización suban certificados, marca la casilla Permitir que los usuarios suban sus propios certificados.

  5. (Controles adicionales opcionales) Para subir y administrar certificados raíz, haz lo siguiente:

    1. Junto a Acepta estos certificados raíz adicionales para dominios específicos, haz clic en Agregar.
    2. En la ventana Agregar certificado raíz, haz clic en Subir certificado raíz.
    3. Busca y selecciona el archivo de certificado, y haz clic en Abrir. Aparecerá un mensaje de verificación para el certificado. Este mensaje incluye el nombre del asunto y el vencimiento.
    4. En Nivel de encriptación, selecciona el nivel de encriptación que se usará con este certificado.
    5. En Lista de direcciones, ingresa al menos un dominio que usará el certificado raíz cuando se comunique. Separa los distintos dominios con comas. Los nombres de dominio pueden incluir comodines. Para obtener más información sobre el uso de comodines en los nombres de dominio, consulta RFC 6125.

    6. (Opcional) Para permitir pares de claves de CSE con certificados asociados a una dirección de correo electrónico que no sea la dirección de correo electrónico principal de un usuario, selecciona la opción de falta de coincidencia de certificados (Para estos dominios, permitir certificados con direcciones de correo electrónico que no coincidan con la dirección de correo electrónico actual de los usuarios).

      Por motivos de seguridad, se recomienda usar esta opción solo cuando tu organización lo requiera. Esta función es compatible con CSE. No es compatible con S/MIME alojado. Para obtener más información sobre la falta de coincidencia de certificados, visita Administra certificados confiables para S/MIME.

    7. Haz clic en Listo.

    8. Repite estos pasos para subir más cadenas de certificados.

  6. Si tu dominio u organización debe usar el algoritmo de hash seguro 1 (SHA-1), marca la casilla Permitir SHA-1 de forma global (no recomendado). Para obtener más información sobre el uso de SHA-1, consulta Administra certificados confiables para S/MIME.

  7. Haz clic en Guardar.

Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen ocurrir más rápido. Obtén más información. Los mensajes enviados durante este período no están encriptados.

Paso 2: Pídele a los usuarios que vuelvan a cargar Gmail

Después de habilitar S/MIME alojado en la Consola del administrador de Google, pídele a los usuarios de tu organización que vuelvan a cargar Gmail. Cuando S/MIME alojado está activado, aparece un ícono de candado en la línea de asunto de los mensajes. Si el mensaje está encriptado con S/MIME alojado, el candado es verde.

Paso 3: Agrega certificados S/MIME a Gmail

A continuación, agrega certificados S/MIME a Gmail. Existen 2 formas de agregar certificados:

  • Los administradores agregan certificados con la API de S/MIME de Gmail.
  • Los usuarios agregan certificados en la configuración de su cuenta de Gmail.

Recomendamos que los administradores suban certificados con la API de S/MIME de Gmail.

(Usuarios) Agrega certificados en la configuración de la cuenta de Gmail

Puedes indicar a los usuarios de tu organización que sigan estos pasos para agregar certificados S/MIME a la configuración de Gmail, en la pestaña Cuentas e importación o Cuentas, en la sección Enviar correo electrónico como. Las cuentas de "Enviar correo electrónico como" no heredan los certificados S/MIME de la cuenta de Gmail principal, por lo que debes agregar manualmente un certificado S/MIME a la cuenta de "Enviar correo electrónico como". Para obtener más información sobre las cuentas de "Enviar correo electrónico como", consulta Cómo enviar correos electrónicos desde otro alias o dirección.

Importante:

  • Los usuarios solo pueden agregar certificados S/MIME a las cuentas de "Enviar correo electrónico como" con Gmail en la Web. Los pasos de esta sección no son compatibles con la app de Gmail.
  • Los usuarios solo pueden enviar mensajes S/MIME desde sus cuentas de "Enviar correo electrónico como" con Gmail en la Web.

Para agregar certificados S/MIME, haz lo siguiente:

  1. Ve a Gmail en la Web.
  2. Selecciona Configuración y luego Ver toda la configuración.
  3. Selecciona la pestaña Cuentas.

  4. Junto a Enviar correo electrónico como, selecciona Editar información.

    Aparecerá la ventana Modificar una dirección de correo electrónico y la configuración de encriptación. Si no tienes esta opción, comunícate con tu administrador.

  5. Haz clic en Subir un certificado personal.

  6. Selecciona el certificado y haz clic en Abrir. Se te solicitará que ingreses una contraseña para el certificado.

  7. Ingresa la contraseña y haz clic en Agregar el certificado.

  8. Haz clic en Guardar cambios.

Requisitos de los certificados

Los certificados que se usan con Gmail deben cumplir con los estándares criptográficos actuales y estar en el formato de archivo [Estándares de criptografía de clave pública (PKCS)

12](https://datatracker.ietf.org/doc/rfc7292/).

Google mantiene esta lista de certificados confiables que admiten Gmail para S/MIME.

Paso 4: Indica a los usuarios que intercambien claves

Para comenzar a intercambiar mensajes S/MIME, los usuarios deben intercambiar claves con los destinatarios de los mensajes de una de las siguientes maneras:

  • Enviar un mensaje firmado con S/MIME a los destinatarios. El mensaje está firmado digitalmente e incluye la clave pública del usuario. Los destinatarios pueden usar esta clave pública para encriptar los mensajes que le envían al usuario.
  • Pedir a los destinatarios que les envíen un mensaje. Cuando lo reciban, estará firmado con S/MIME. La clave se almacena automáticamente y está disponible. En el futuro, los mensajes que se envíen al destinatario se encriptarán con S/MIME.

Anula la configuración de S/MIME de la suborganización

De forma predeterminada, las unidades organizativas heredan la configuración de S/MIME de la unidad organizativa de nivel superior. De manera opcional, puedes anular la configuración de S/MIME heredada para las unidades organizativas. Esta función es útil para inhabilitar o personalizar la configuración de S/MIME para las unidades organizativas.

Para anular la configuración de S/MIME, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego  Apps y luego Google Workspace y luego Gmail y luego Configuración de usuario.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. A la izquierda, en Organizaciones, selecciona la unidad organizativa que deseas configurar.

  3. Desplázate hasta el parámetro de configuración de S/MIME y haz clic para expandirlo.

    La etiqueta debajo de la etiqueta de configuración de S/MIME indicará Heredado de (nombre de la organización o del dominio) o Anulado.

  4. Haz clic en Anular para guardar los cambios en la suborganización que hereda la configuración de S/MIME.

    Después de guardar la configuración de la suborganización, se mostrará Anulado debajo de la etiqueta de configuración de S/MIME. También aparecerá un punto junto a las suborganizaciones con anulación activada en el árbol de estructura de la unidad organizativa de la izquierda.

Nota: Si tu suborganización anuló la configuración de una organización de nivel superior, puedes usar el botón Heredar para heredar la configuración de la organización de nivel superior.

Solución de problemas: Las suborganizaciones no heredan la configuración de S/MIME

Problema: Las unidades organizativas secundarias no heredan la configuración de S/MIME de la unidad organizativa raíz.

Causa: La causa más común de este problema es que S/MIME se desactivó o modificó para toda tu organización (a nivel raíz) después de que una o más unidades organizativas agregaran la configuración de S/MIME con la función de anulación. Obtén más información sobre la función de anulación de la configuración de S/MIME.

Este problema también puede ocurrir cuando estas opciones de S/MIME se establecen a nivel de la unidad organizativa secundaria con la función de anulación: Habilitar S/MIME., Permitir que los usuarios suban sus propios certificados o Permitir SHA-1 de forma global. Esto se debe a que estos cambios anulan la configuración de certificados para el nivel raíz.

Solución: Para solucionar el problema y aplicar la herencia de S/MIME a una unidad organizativa secundaria, haz lo siguiente:

  1. En la configuración de S/MIME, selecciona el nombre de la unidad organizativa secundaria a la izquierda, debajo de la etiqueta de configuración de S/MIME.
  2. Haz clic en Heredar para aplicar la configuración de S/MIME raíz a la unidad organizativa secundaria.
  3. Vuelve a aplicar la configuración de la unidad organizativa secundaria:
    1. Mantén seleccionada la unidad organizativa secundaria a la izquierda, debajo de la etiqueta de configuración de S/MIME.
    2. Actualiza la configuración de S/MIME pertinente para la unidad organizativa secundaria: Habilitar S/MIME.., Permitir que los usuarios suban sus propios certificados, o Permitir SHA-1 de forma global.
    3. Haz clic en Anular. De esta manera, se guarda la configuración específica de la unidad organizativa secundaria y, al mismo tiempo, se garantiza que herede los cambios anteriores en los certificados raíz o la configuración de S/MIME de nivel raíz.

Repite estos pasos para cada unidad organizativa secundaria afectada.

Importante: Cada vez que agregues o quites un certificado raíz, debes repetir estos pasos para todas las unidades organizativas secundarias en las que deseas que se apliquen esos cambios.

Administra certificados confiables para S/MIME (avanzado)