Activa S/MIME alojado para la encriptación de mensajes

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard y Education Plus. Comparar tu edición

Puedes configurar las Extensiones de Correo de Internet de Propósitos Múltiples/Seguro (S/MIME) alojadas en la Consola del administrador de Google para proteger a los miembros de tu organización del phishing, los archivos adjuntos dañinos y otras amenazas por correo electrónico. S/MIME mejora la seguridad del correo electrónico encriptando los mensajes y agregándoles una firma digital. Los mensajes se desencriptan con la combinación de una clave pública y una privada. Cuando S/MIME está alojado, la organización que usa S/MIME para la encriptación almacena la clave privada.

De manera opcional, puedes requerir S/MIME para los mensajes salientes o para los mensajes que contengan contenido específico. Obtén más información en Cómo solicitar la encriptación S/MIME para los mensajes salientes.

Comparación entre la CSE y S/MIME

La encriptación del cliente (CSE) de Google Workspace también permite a los usuarios enviar y recibir mensajes S/MIME encriptados. Sin embargo, con la CSE, las claves privadas se administran a través de un servicio de claves externo para aumentar la privacidad y la protección de datos. Obtén más información sobre la CSE.

Paso 1: Activa S/MIME alojado en la Consola del administrador de Google

1. En la Consola del administrador de Google, ve a Menú  AppsGoogle WorkspaceGmailConfiguración del usuario.

   Ir a la configuración del usuario

   Es necesario tener el privilegio de administrador de configuración de Gmail.

2. A la izquierda, en Organizaciones, selecciona el dominio o la organización que deseas configurar.

   Importante: Para usar los controles avanzados de S/MIME para subir y administrar certificados raíz, debes habilitar S/MIME en la organización de nivel superior, que suele ser tu dominio. Obtén más información sobre S/MIME y los certificados raíz.

3. Desplázate hasta el parámetro de configuración de S/MIME y marca la casilla Habilitar la encriptación S/MIME para enviar y recibir correos electrónicos.

4. (Opcional) Para permitir que las personas de tu organización suban certificados, marca la casilla Permitir que los usuarios suban sus propios certificados.

5. (Controles adicionales opcionales) Para subir y administrar certificados raíz, haz lo siguiente:

   1. Junto a Acepta estos certificados raíz adicionales para determinados dominios, haz clic en Agregar.
   2. En la ventana Agregar un certificado raíz, haz clic en Subir certificado raíz.
   3. Busca el archivo del certificado y haz clic en Abrir. Aparecerá un mensaje de verificación para el certificado. Este mensaje incluye el nombre y la fecha de vencimiento del asunto.
   4. En Nivel de encriptación,selecciona el nivel de encriptación que deseas usar con este certificado.
   5. En Lista de direcciones, ingresa al menos un dominio que usará el certificado raíz cuando se comunique. Separe los distintos dominios con comas. Los nombres de dominio pueden incluir comodines. Para obtener más información sobre el uso de comodines en nombres de dominio, consulta el RFC 6125.

   6. (Opcional) Para permitir pares de claves de CSE con certificados asociados a una dirección de correo electrónico que no sea la dirección de correo electrónico principal de un usuario, selecciona la opción de discordancia de certificado (Para estos dominios, permitir certificados con direcciones de correo electrónico que no coincidan con la dirección de correo electrónico actual de los usuarios).

      Por motivos de seguridad, esta opción solo se recomienda cuando tu organización lo requiera. Esta función es compatible con el CSE. No es compatible con S/MIME alojado. Para obtener más información sobre la falta de coincidencia de certificados, visita Administra certificados de confianza para S/MIME.

   7. Haz clic en Listo.

   8. Repite estos pasos para subir más cadenas de certificados.

6. Si tu organización o dominio deben usar el algoritmo de hash seguro 1 (SHA-1), marca la casilla Permitir SHA-1 globalmente (no recomendado). Para obtener más información sobre el uso de SHA-1, visita Cómo administrar certificados de confianza para S/MIME.

7. Haz clic en Guardar.

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información Los mensajes enviados durante este período no se encriptan.

Paso 2: Pídele a tus usuarios que vuelvan a cargar Gmail

Después de habilitar S/MIME alojado en la Consola del administrador de Google, pídeles a los miembros de tu organización que vuelvan a cargar Gmail. Cuando la función S/SMIME alojada está activada, aparece un ícono de bloqueo en la línea de asunto de los mensajes. Si el mensaje está encriptado con S/MIME alojado, el candado es verde.

Paso 3: Agrega certificados S/MIME a Gmail

A continuación, agrega certificados S/MIME a Gmail. Existen 2 formas de agregar certificados:

• Los administradores agregan certificados con la API de S/MIME de Gmail
• Los usuarios agregan certificados en la configuración de su cuenta de Gmail

(Administrador) Agrega certificados con la API de S/MIME de Gmail (recomendado)

Recomendamos que los administradores suban los certificados con la API de S/MIME de Gmail.

(Usuarios) Agrega certificados en la configuración de la cuenta de Gmail

Puedes indicar a los miembros de tu organización que sigan estos pasos para agregar certificados S/MIME a su configuración de Gmail, en la pestaña Cuentas y importación o Cuentas, en la sección Enviar correo electrónico como. Las cuentas de "Enviar correo electrónico como" no heredan los certificados S/MIME de la cuenta principal de Gmail, por lo que debes agregar manualmente un certificado S/MIME a la cuenta de "Enviar correo electrónico como". Para obtener más información sobre las cuentas de “Enviar correo electrónico como”, consulta Cómo enviar correos electrónicos desde otra dirección o alias.

Importante:

• Los usuarios solo pueden agregar certificados S/MIME a las cuentas de "Enviar correo electrónico como" con Gmail en la Web. Los pasos de esta sección no son compatibles con la app de Gmail.
• Los usuarios solo pueden enviar mensajes S/MIME desde sus cuentas de "Enviar correo electrónico como" con Gmail en la Web.

Para agregar certificados S/MIME, sigue estos pasos:

1. Ve a Gmail en la Web.
2. Elige Configuración Ver toda la configuración.
3. Selecciona la pestaña Cuentas.

4. Junto a Enviar correo electrónico como, selecciona Editar información.

   Aparecerá la ventana Modificar una dirección de correo electrónico y la configuración de encriptación. Si no ves esta opción, comunícate con tu administrador.

5. Haz clic en Subir un certificado personal.

6. Selecciona el certificado y haz clic en Abrir. Se te pedirá que ingreses una contraseña para el certificado.

7. Ingresa la contraseña y haz clic en Agregar certificado.

8. Haz clic en Guardar cambios.

Requisitos del certificado

Los certificados que se usan con Gmail deben cumplir con los estándares criptográficos actuales y deben estar en el formato de archivo Estándares de criptografía de clave pública (PKCS) #12.

Google mantiene esta lista de certificados confiables que admiten Gmail para S/MIME.

Paso 4: Indica a los usuarios que intercambien claves

Para comenzar a intercambiar mensajes de S/MIME, tus usuarios deben intercambiar claves con los destinatarios de los mensajes de una de las siguientes maneras:

• Enviar un mensaje firmado con S/MIME a los destinatarios El mensaje está firmado digitalmente y contiene la clave pública del usuario. Los destinatarios pueden usar esta clave pública para encriptar los mensajes que envían al usuario.
• Pídeles a los destinatarios que te envíen un mensaje. Cuando reciben el mensaje, este está firmado con S/MIME. La clave se almacena y está disponible automáticamente. A partir de ahora, los mensajes que se envíen al destinatario se encriptarán con S/MIME.

Anula la configuración de S/MIME de la suborganización

De forma predeterminada, las unidades organizativas heredan la configuración de S/MIME de la unidad organizativa de nivel superior. De manera opcional, puedes anular la configuración de S/MIME heredada para las unidades organizativas. Esta función es útil para inhabilitar o personalizar la configuración de S/MIME para unidades organizativas.

Para anular la configuración de S/MIME, sigue estos pasos:

1. En la Consola del administrador de Google, ve a Menú  AppsGoogle WorkspaceGmailConfiguración del usuario.

   Ir a la configuración del usuario

   Es necesario tener el privilegio de administrador de configuración de Gmail.

2. A la izquierda, en Organizaciones, selecciona la unidad organizativa que deseas configurar.

3. Desplázate hasta el parámetro de configuración de S/MIME y haz clic para expandirlo.

   La etiqueta debajo de la etiqueta de configuración de S/MIME indicará Heredado de (nombre de la organización o del dominio) o Anulado.

4. Haz clic en Anular para guardar los cambios en la suborganización que hereda la configuración de S/MIME.

   Después de guardar la configuración de la suborganización, se mostrará Anulado debajo de la etiqueta de configuración de S/MIME. También aparece un punto junto a las suborganizaciones con anulación activada en el árbol de estructura de la unidad organizativa a la izquierda.

Nota: Si tu suborganización anuló la configuración de una organización de nivel superior, puedes usar el botón Heredar para heredar la configuración de la organización de nivel superior.

Solución de problemas: Las suborganizaciones no heredan la configuración de S/MIME

Problema: Las unidades organizativas secundarias no heredan la configuración de S/MIME de la unidad organizativa raíz.

Causa: La causa más común de este problema es que S/MIME se desactivó o modificó para toda tu organización (a nivel raíz) después de que una o más unidades organizativas agregaron la configuración de S/MIME con la función de anulación. Obtén más información sobre la función de anulación de la configuración de S/MIME

Este problema también puede ocurrir cuando estas opciones de S/MIME se configuran a nivel de la organización secundaria con la función de anulación: Habilitar S/MIME.. Permitir que los usuarios suban sus propios certificados o Permitir SHA-1 a nivel global Esto se debe a que estos cambios anulan la configuración del certificado a nivel raíz.

Solución: Para solucionar el problema y aplicar la herencia de S/MIME a una unidad organizativa secundaria, haz lo siguiente:

1. En la configuración de S/MIME, selecciona el nombre de la unidad organizativa secundaria a la izquierda, debajo de la etiqueta de configuración de S/MIME.
2. Haz clic en Heredar para aplicar la configuración de S/MIME raíz a la unidad organizativa secundaria.
3. Vuelve a aplicar la configuración de la unidad organizativa secundaria:
   1. Mantén seleccionada la unidad organizativa secundaria a la izquierda, debajo de la etiqueta de configuración S/MIME.
   2. Actualiza la configuración de S/MIME pertinente para la unidad organizativa secundaria: Habilita S/MIME… Permitir que los usuarios suban sus propios certificados o Permitir SHA-1 a nivel global
   3. Haz clic en Anular. Esto guarda la configuración específica para el hijo o la hija y, al mismo tiempo, garantiza que herede cualquier cambio anterior en los certificados raíz o la configuración de S/MIME a nivel raíz.

Repite estos pasos para cada unidad organizativa secundaria afectada.

Importante: Cada vez que agregues o quites un certificado raíz, debes repetir estos pasos para todas las unidades organizativas secundarias en las que quieras que se apliquen esos cambios.

Temas relacionados

Cómo administrar certificados de confianza para S/MIME (avanzado)