Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren

Unterstützte Versionen für diese Funktion: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard und Education Plus. Versionen vergleichen

Sie können gehostetes S/MIME (Secure/Multipurpose Internet Mail Extensions) in der Admin-Konsole einrichten, um die Nutzer in Ihrer Organisation vor Phishing, schädlichen Anhängen und anderen E‑Mail-Bedrohungen zu schützen. S/MIME verbessert die E-Mail-Sicherheit, indem Nachrichten verschlüsselt und eine digitale Signatur hinzugefügt wird. Nachrichten werden mit einer Kombination aus einem öffentlichen und einem privaten Schlüssel entschlüsselt. Wenn S/MIME gehostet wird, speichert die Organisation, die S/MIME für die Verschlüsselung verwendet, den privaten Schlüssel.

Sie können S/MIME optional für ausgehende Nachrichten oder für Nachrichten mit bestimmten Inhalten erzwingen. Weitere Informationen

Clientseitige Verschlüsselung im Vergleich zu S/MIME

Mit der clientseitigen Verschlüsselung von Google Workspace können Nutzer auch verschlüsselte S/MIME-Nachrichten senden und empfangen. Mit der clientseitigen Verschlüsselung werden private Schlüssel jedoch von einem externen Schlüsseldienst verwaltet, um den Datenschutz zu verbessern. Weitere Informationen zur clientseitigen Verschlüsselung

Schritt 1: Gehostetes S/MIME in der Admin-Konsole aktivieren

  1. Gehen Sie in der Google Admin-Konsole zu „Menü“ und dannAppsund dannGoogle Workspaceund dannGmailund dannNutzereinstellungen.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Wählen Sie links unter Organisationen die Domain oder Organisation aus, die Sie konfigurieren möchten.

    Wichtig:Wenn Sie Root-Zertifikate mit erweiterten S/MIME-Steuerelementen hochladen und verwalten möchten, müssen Sie S/MIME auf der obersten Organisationsebene aktivieren. Das ist in der Regel Ihre Domain. Weitere Informationen zu S/MIME und Stammzertifikaten

  3. Scrollen Sie zu den Einstellungen für S/MIME und klicken Sie auf das Kästchen neben S/MIME-Verschlüsselung für den Versand und Empfang von E-Mails aktivieren.

  4. Optional: Wenn Sie Nutzern in Ihrer Organisation erlauben möchten, Zertifikate hochzuladen, klicken Sie auf das Kästchen neben Nutzern erlauben, eigene Zertifikate hochzuladen.

  5. Optionale zusätzliche Steuerelemente: So laden Sie Root-Zertifikate hoch und verwalten sie:

    1. Klicken Sie neben Bitte akzeptieren Sie diese zusätzlichen Root-Zertifikate für bestimmte Domains auf Hinzufügen.
    2. Klicken Sie im Fenster Root-Zertifikat hinzufügen auf Root-Zertifikat hochladen.
    3. Suchen Sie nach der Zertifikatsdatei und klicken Sie auf Öffnen. Für das Zertifikat wird eine Bestätigungsmeldung angezeigt. Diese Nachricht enthält den Betreffnamen und das Ablaufdatum.
    4. Wählen Sie unter Verschlüsselungsstufe die Verschlüsselungsstufe aus,die für dieses Zertifikat gelten soll.
    5. Geben Sie unter Adressliste mindestens eine Domain ein, für die das Root-Zertifikat verwendet wird. Mehrere Domains sind durch Kommas voneinander zu trennen. Domainnamen können Platzhalter enthalten. Weitere Informationen zur Verwendung von Platzhaltern in Domainnamen finden Sie unter RFC 6125.

    6. Optional: Wenn Sie CSE-Schlüsselpaare mit Zertifikaten zulassen möchten, die mit einer anderen E-Mail-Adresse als der primären E-Mail-Adresse eines Nutzers verknüpft sind, wählen Sie die Option „Nicht übereinstimmende Zertifikate“ aus. (Für diese Domains Zertifikate mit E-Mail-Adressen zulassen, die nicht mit der aktuellen E-Mail-Adresse des Nutzers übereinstimmen).

      Aus Sicherheitsgründen wird diese Option nur empfohlen, wenn sie von Ihrer Organisation benötigt wird. Diese Funktion wird für CSE unterstützt. Sie wird für gehostetes S/MIME nicht unterstützt. Weitere Informationen zu nicht übereinstimmenden Zertifikaten finden Sie unter Vertrauenswürdige Zertifikate für S/MIME verwalten.

    7. Klicken Sie auf Fertig.

    8. Wiederholen Sie diese Schritte, um weitere Zertifikatketten hochzuladen.

  6. Wenn in Ihrer Domain oder Organisation der Hashalgorithmus SHA-1 verwendet werden muss, klicken Sie auf das Kästchen neben SHA-1 global zulassen (nicht empfohlen). Weitere Informationen zur Verwendung von SHA-1 finden Sie unter Vertrauenswürdige Zertifikate für S/MIME verwalten.

  7. Klicken Sie auf Speichern.

Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen Nachrichten, die in diesem Zeitraum gesendet werden, sind nicht verschlüsselt.

Schritt 2: Nutzer auffordern, Gmail neu zu laden

Nachdem Sie das gehostete S/MIME in Ihrer Admin-Konsole aktiviert haben, bitten Sie die Nutzer in Ihrer Organisation, Gmail neu zu laden. Wenn gehostetes S/MIME aktiviert ist, wird in der Betreffzeile von Nachrichten ein Schloss-Symbol angezeigt. Wenn die Nachricht mit gehostetem S/MIME verschlüsselt wird, ist es grün.

Schritt 3: S/MIME-Zertifikate in Gmail hinzufügen

Fügen Sie als Nächstes S/MIME-Zertifikate in Gmail hinzu. Es gibt zwei Möglichkeiten, Zertifikate hinzuzufügen:

  • Administratoren fügen Zertifikate mit der Gmail S/MIME API hinzu
  • Nutzer fügen Zertifikate in ihren Gmail-Kontoeinstellungen hinzu

Wir empfehlen Administratoren, Zertifikate mit der Gmail S/MIME API hochzuladen.

(Nutzer) Zertifikate in den Gmail-Kontoeinstellungen hinzufügen

Sie können Nutzer in Ihrer Organisation anweisen, diese Schritte auszuführen, um S/MIME-Zertifikate in ihren Gmail-Einstellungen auf dem Tab Konten und Import oder Konten im Bereich Senden als hinzuzufügen. „Senden als“-Konten übernehmen keine S/MIME-Zertifikate vom primären Gmail-Konto. Sie müssen einem „Senden als“-Konto also manuell ein S/MIME-Zertifikat hinzufügen. Weitere Informationen zu „Senden als“-Konten finden Sie im Hilfeartikel E-Mails über eine andere Adresse oder einen Alias senden.

Wichtig:

  • Nutzer können S/MIME-Zertifikate nur über die Webversion von Gmail zu „Senden als“-Konten hinzufügen. Die Schritte in diesem Abschnitt werden in der Gmail App nicht unterstützt.
  • Nutzer können S/MIME-Nachrichten nur über die Webversion von Gmail über ihre Konten vom Typ „Senden als“ senden.

So fügen Sie S/MIME-Zertifikate hinzu:

  1. Rufen Sie Gmail im Web auf.
  2. Wählen Sie die Einstellungen und dann Alle Einstellungen aufrufen aus.
  3. Wählen Sie den Tab Konten aus.

  4. Wählen Sie neben Senden als die Option Adresse bearbeiten aus.

    Das Fenster E-Mail-Adresse und Verschlüsselungseinstellungen bearbeiten wird angezeigt. Wenn Sie diese Option nicht haben, wenden Sie sich an Ihren Administrator.

  5. Klicken Sie auf Persönliches Zertifikat hochladen.

  6. Wählen Sie das Zertifikat aus und klicken Sie auf Öffnen. Sie werden aufgefordert, ein Passwort für das Zertifikat einzugeben.

  7. Geben Sie das Passwort ein und klicken Sie auf Zertifikat hinzufügen.

  8. Klicken Sie auf Änderungen speichern.

Zertifikatsanforderungen

Zertifikate, die mit Gmail verwendet werden, müssen den aktuellen kryptografischen Standards entsprechen und das Archivdateiformat PKCS #12 (Public-Key Cryptography Standards) verwenden.

Google verwaltet diese Liste vertrauenswürdiger Zertifikate, die S/MIME in Gmail unterstützen.

Schritt 4: Nutzer auffordern, Schlüssel auszutauschen

Um den Austausch von S/MIME-Nachrichten zu ermöglichen, müssen Ihre Nutzer Schlüssel mit Nachrichtenempfängern auf eine der folgenden Arten austauschen:

  • Per Versand einer über S/MIME signierten Nachricht an den Empfänger: Die Nachricht ist digital signiert und enthält den öffentlichen Schlüssel des Nutzers. Empfänger können diesen öffentlichen Schlüssel verwenden, um Nachrichten zu verschlüsseln, die sie an den Nutzer senden.
  • Per Erhalt einer über S/MIME signierten Nachricht vom Empfänger: Wenn sie die Nachricht erhalten, ist sie mit S/MIME signiert. Der Schlüssel wird automatisch gespeichert und ist verfügbar. In Zukunft werden Nachrichten, die an den Empfänger gesendet werden, mit S/MIME verschlüsselt.

S/MIME-Einstellungen der Unterorganisation überschreiben

Organisationseinheiten übernehmen standardmäßig die S/MIME-Einstellungen von der obersten Organisationseinheit. Sie können die übernommenen S/MIME-Einstellungen für Organisationseinheiten optional überschreiben. Diese Funktion ist nützlich, wenn Sie S/MIME-Einstellungen für Organisationseinheiten deaktivieren oder anpassen möchten.

So überschreiben Sie S/MIME-Einstellungen:

  1. Gehen Sie in der Google Admin-Konsole zu „Menü“ und dannAppsund dannGoogle Workspaceund dannGmailund dannNutzereinstellungen.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Wählen Sie links unter Organisationen die Organisationseinheit aus, die Sie konfigurieren möchten.

  3. Scrollen Sie zur S/MIME-Einstellung und klicken Sie darauf, um sie zu maximieren.

    Das Label unter dem Label der S/MIME-Einstellung gibt entweder Übernommen von (Name der Organisation oder Domain) oder Überschrieben an.

  4. Klicken Sie auf Überschreiben, um die Änderungen an der Unterorganisation zu speichern, für die die S/MIME-Einstellungen nun gelten sollen.

    Nachdem die Einstellungen der Unterorganisation gespeichert wurden, wird unter dem Label der S/MIME-Einstellungen Überschrieben angezeigt. Im Strukturbaum der Organisationseinheit auf der linken Seite sehen Sie außerdem einen Punkt neben den Unterorganisationen, die Einstellungen überschreiben.

Tipp:Wenn Ihre Unterorganisation die Einstellungen einer übergeordneten Organisation überschrieben hat, können Sie über die Schaltfläche Übernehmen diese Einstellungen übernehmen.

Problembehebung: Untergeordnete Organisationen übernehmen keine S/MIME-Einstellungen

Problem:Untergeordnete Organisationseinheiten übernehmen die S/MIME-Einstellungen nicht von der übergeordneten Organisationseinheit.

Ursache:Die häufigste Ursache für dieses Problem ist, dass S/MIME für Ihre gesamte Organisation (auf Stammebene) deaktiviert oder geändert wurde, nachdem eine oder mehrere Organisationseinheiten S/MIME-Einstellungen mithilfe der Überschreibungsfunktion hinzugefügt haben. Weitere Informationen zum Überschreiben von S/MIME-Einstellungen

Dieses Problem kann auch auftreten, wenn diese S/MIME-Optionen mit der Überschreibungsfunktion auf Ebene der untergeordneten Organisationsebene festgelegt sind: S/MIME aktivieren. Nutzern erlauben, eigene Zertifikate hochzuladen oder SHA-1 global zulassen. Das liegt daran, dass diese Änderungen die Zertifikateinstellungen für die Stammebene überschreiben.

Lösung:So beheben Sie das Problem und wenden die S/MIME-Übernahme auf eine untergeordnete Organisationseinheit an:

  1. Wählen Sie in den S/MIME-Einstellungen links unter dem Label für die S/MIME-Einstellung den Namen der untergeordneten Organisationseinheit aus.
  2. Klicken Sie auf Übernehmen, um die S/MIME-Einstellungen der übergeordneten Organisationseinheit auf die untergeordnete Organisationseinheit anzuwenden.
  3. Einstellungen der untergeordneten Organisationseinheit neu anwenden:
    1. Lassen Sie die untergeordnete Organisationseinheit links unter dem Einstellungslabel S/MIME ausgewählt.
    2. Aktualisieren Sie die relevanten S/MIME-Einstellungen für die untergeordnete Organisationseinheit: S/MIME aktivieren. Nutzern erlauben, eigene Zertifikate hochzuladen oder SHA-1 global zulassen.
    3. Klicken Sie auf Überschreiben. Dadurch werden die kinderspezifischen Einstellungen gespeichert und gleichzeitig wird dafür gesorgt, dass das Kind alle bisherigen Änderungen an Stammzertifikaten oder S/MIME-Einstellungen auf Stammebene übernimmt.

Wiederholen Sie diese Schritte für jede betroffene untergeordnete Organisationseinheit.

Wichtig:Jedes Mal, wenn Sie ein Stammzertifikat hinzufügen oder entfernen, müssen Sie diese Schritte für alle untergeordneten Organisationseinheiten wiederholen, auf die diese Änderungen angewendet werden sollen.

Vertrauenswürdige Zertifikate für S/MIME verwalten (erweitert)