Activer S/MIME hébergé pour le chiffrement des messages

Éditions compatibles avec cette fonctionnalité : Frontline Plus ; Enterprise Plus ; Education Fundamentals, Education Standard et Education Plus. Comparer votre édition

Vous pouvez configurer S/MIME (Secure/Multipurpose Internet Mail Extensions) hébergé dans la console d'administration Google pour protéger les membres de votre organisation contre l'hameçonnage, les pièces jointes dangereuses et d'autres menaces dans les e-mails. S/MIME renforce la sécurité des e-mails en chiffrant les messages et en y ajoutant une signature numérique. Les messages sont déchiffrés à l'aide d'une clé publique et d'une clé privée. Lorsque S/MIME est hébergé, l'organisation qui utilise S/MIME pour le chiffrement stocke la clé privée.

Vous pouvez éventuellement exiger l'utilisation de S/MIME pour les messages sortants ou pour les messages incluant du contenu spécifique. Pour en savoir plus, consultez Exiger le chiffrement S/MIME pour les messages sortants.

Différences entre le CSE et S/MIME

Le chiffrement côté client (CSE) Google Workspace permet également aux utilisateurs d'envoyer et de recevoir des messages S/MIME chiffrés. Toutefois, avec le CSE, les clés privées sont gérées par un service de clés externe pour renforcer la confidentialité et la protection des données. En savoir plus sur le CSE

Étape 1 : Activez S/MIME hébergé dans la console d'administration Google

  1. Dans la console d'administration Google, accédez à Menu puisApplicationspuisGoogle WorkspacepuisGmailpuisParamètres utilisateur.

    Vous devez disposer du droit d'administrateur associé aux paramètres Gmail.

  2. Dans la section Organisations sur la gauche, sélectionnez le domaine ou l'organisation que vous souhaitez configurer.

    Important : Pour importer et gérer des certificats racines à l'aide des commandes S/MIME avancées, vous devez activer S/MIME au niveau de l'organisation racine, généralement votre domaine. En savoir plus sur S/MIME et les certificats racines

  3. Faites défiler la page jusqu'au paramètre S/MIME et cochez la case Activer le chiffrement S/MIME pour l'envoi et la réception des e-mails.

  4. (Facultatif) Pour autoriser les membres de votre organisation à importer des certificats, cochez l'option Autoriser les utilisateurs à importer leurs propres certificats.

  5. (Commandes supplémentaires facultatives) Pour importer et gérer des certificats racines :

    1. À côté de Acceptez ces autres certificats racine pour des domaines spécifiques, cliquez sur Ajouter.
    2. Dans la fenêtre Ajouter un certificat racine, cliquez sur Importer un certificat racine.
    3. Recherchez et sélectionnez le fichier de certificat, puis cliquez sur Ouvrir. Un message de validation s'affiche pour le certificat. Ce message inclut le nom de l'objet et la date d'expiration.
    4. Sous Niveau de chiffrement,sélectionnez le niveau de chiffrement à utiliser avec ce certificat.
    5. Sous Liste d'adresses, saisissez au moins un domaine qui utilisera le certificat racine lors de la communication. Separate multiple domains with commas. Les noms de domaine peuvent inclure des caractères génériques. Pour en savoir plus sur l'utilisation des caractères génériques dans les noms de domaine, consultez le document RFC 6125.

    6. (Facultatif) Pour autoriser les paires de clés de CSE avec des certificats associés à une adresse e-mail autre que l'adresse e-mail principale d'un utilisateur, sélectionnez l'option de non-concordance des certificats (Pour ces domaines, autorisez les certificats dont l'adresse e-mail ne correspond pas à l'adresse e-mail actuelle de l'utilisateur).

      Pour des raisons de sécurité, cette option n'est recommandée que lorsque votre organisation l'exige. Cette fonctionnalité est compatible avec le CSE. Elle n'est pas compatible avec S/MIME hébergé. Pour en savoir plus sur les incohérences de certificats, consultez Gérer les certificats de confiance pour S/MIME.

    7. Cliquez sur OK.

    8. Répétez ces étapes pour importer d'autres chaînes de certificats.

  6. Si votre domaine ou organisation doit utiliser l'algorithme SHA-1 (Secure Hash Algorithm 1), cochez la case Autoriser la signature SHA-1 à l'échelle globale (non recommandé). Pour en savoir plus sur l'utilisation de SHA-1, consultez Gérer les certificats de confiance pour S/MIME.

  7. Cliquez sur Enregistrer.

L'application des modifications peut prendre jusqu'à 24 heures, mais cela va généralement plus vite. En savoir plus : les messages envoyés au cours de cette période ne sont pas chiffrés.

Étape 2 : Demandez à vos utilisateurs d'actualiser Gmail

Après avoir activé S/MIME hébergé dans la console d'administration Google, demandez aux membres de votre organisation d'actualiser Gmail. Lorsque S/MIME hébergé est activé, une icône en forme de cadenas apparaît dans l'objet des messages. Si le message est chiffré avec S/MIME hébergé, le cadenas est vert.

Étape 3 : Ajoutez des certificats S/MIME à Gmail

Ajoutez ensuite des certificats S/MIME à Gmail. Vous pouvez ajouter des certificats de deux manières :

  • Les administrateurs ajoutent des certificats avec l'API S/MIME de Gmail.
  • Les utilisateurs ajoutent des certificats dans les paramètres de leur compte Gmail.

Nous recommandons aux administrateurs d'importer les certificats à l'aide de l'API S/MIME de Gmail.

(Utilisateurs) Ajouter des certificats dans les paramètres du compte Gmail

Vous pouvez demander aux membres de votre organisation de suivre cette procédure pour ajouter des certificats S/MIME à leurs paramètres Gmail, dans l'onglet Comptes et importation ou Comptes, dans la section Envoyer avec. Les comptes "Envoyer avec" n'héritent pas des certificats S/MIME du compte Gmail principal. Vous devez donc ajouter manuellement un certificat S/MIME au compte "Envoyer avec". Pour en savoir plus sur les comptes "Envoyer avec", consultez Envoyer des e-mails avec une adresse ou un alias différents.

Important :

  • Les utilisateurs ne peuvent ajouter des certificats S/MIME aux comptes "Envoyer avec" que dans Gmail sur le Web. Les étapes de cette section ne sont pas compatibles avec l'application Gmail.
  • Les utilisateurs ne peuvent envoyer des messages S/MIME à partir de leurs comptes "Envoyer avec" que dans Gmail sur le Web.

Pour ajouter des certificats S/MIME :

  1. Accédez à Gmail sur le Web.
  2. Sélectionnez Paramètres puis Voir tous les paramètres.
  3. Sélectionnez l'onglet Comptes.

  4. À côté de Envoyer des e-mails en tant que, sélectionnez Modifier les informations.

    La fenêtre Modifier l'adresse e-mail et les paramètres de chiffrement s'affiche. Si vous ne voyez pas cette option, contactez votre administrateur.

  5. Cliquez sur Importer un certificat personnel.

  6. Sélectionnez le certificat, puis cliquez sur Ouvrir. Vous serez invité à saisir un mot de passe pour le certificat.

  7. Saisissez le mot de passe et cliquez sur Ajouter le certificat.

  8. Cliquez sur Enregistrer les modifications.

Exigences relatives aux certificats

Les certificats utilisés avec Gmail doivent respecter les normes de chiffrement actuelles et être au format de fichier d'archive PKCS#12 (Public-Key Cryptography Standards).

Google gère cette liste de certificats de confiance compatibles avec Gmail pour S/MIME.

Étape 4 : Demandez à vos utilisateurs d'échanger leurs clés

Pour commencer à échanger des messages S/MIME, vos utilisateurs doivent échanger des clés avec les destinataires de messages de l'une des manières suivantes :

  • Envoyer aux destinataires un message signé selon la norme S/MIME. Le message est signé numériquement et inclut la clé publique de l'utilisateur. Cette clé publique permet aux destinataires de chiffrer les messages qu'ils envoient à l'utilisateur.
  • Demander aux destinataires de vous envoyer un message. Lorsque l'utilisateur le reçoit, il est signé selon la norme S/MIME. La clé est automatiquement stockée et disponible. Les messages envoyés au destinataire seront alors chiffrés avec S/MIME.

Remplacer les paramètres S/MIME de la sous-organisation

Par défaut, les unités organisationnelles héritent des paramètres S/MIME de l'unité organisationnelle racine. Vous pouvez éventuellement remplacer les paramètres S/MIME hérités pour les unités organisationnelles. Cette fonctionnalité est utile pour désactiver ou personnaliser les paramètres S/MIME des unités organisationnelles.

Pour remplacer les paramètres S/MIME :

  1. Dans la console d'administration Google, accédez à Menu puisApplicationspuisGoogle WorkspacepuisGmailpuisParamètres utilisateur.

    Vous devez disposer du droit d'administrateur associé aux paramètres Gmail.

  2. Sur la gauche, sous Organisations, sélectionnez l'unité organisationnelle que vous souhaitez configurer.

  3. Faites défiler la page jusqu'au paramètre S/MIME, puis cliquez pour le développer.

    Le libellé sous le libellé du paramètre S/MIME indique soit Hérité de (organisation ou nom de domaine), soit Remplacé.

  4. Cliquez sur Remplacer pour enregistrer les modifications apportées à la sous-organisation héritant des paramètres S/MIME.

    Une fois les paramètres de la sous-organisation enregistrés, Remplacé s'affiche sous le libellé des paramètres S/MIME. Un point s'affiche également à côté des sous-organisations principales, dans l'arborescence de l'unité organisationnelle sur la gauche.

Conseil : Si votre sous-organisation a remplacé les paramètres d'une organisation de niveau supérieur, vous pouvez hériter des paramètres de l'organisation de niveau supérieur en cliquant sur le bouton Hériter.

Résoudre le problème : les sous-organisations n'héritent pas des paramètres S/MIME

Problème : les unités organisationnelles enfants n'héritent pas des paramètres S/MIME de l'unité organisationnelle racine.

Cause : le plus souvent, ce problème est dû au fait que S/MIME a été désactivé ou modifié pour l'ensemble de votre organisation (au niveau racine) après qu'une ou plusieurs unités organisationnelles ont ajouté des paramètres S/MIME à l'aide de la fonctionnalité de forçage. En savoir plus sur la fonctionnalité de forçage des paramètres S/MIME

Ce problème peut également se produire lorsque ces options S/MIME sont définies au niveau de l'unité organisationnelle enfant avec la fonctionnalité de forçage Activer S/MIME, Autoriser les utilisateurs à importer leurs propres certificats ou Autoriser la signature SHA-1 à l'échelle globale.  En effet, ces modifications remplacent les paramètres de certificat au niveau racine.

Solution : Pour résoudre le problème et appliquer l'héritage S/MIME à une unité organisationnelle enfant :

  1. Dans les paramètres S/MIME, sélectionnez le nom de l'unité organisationnelle enfant sur la gauche, sous le libellé du paramètre S/MIME.
  2. Cliquez sur Hériter pour appliquer les paramètres S/MIME racines à l'unité organisationnelle enfant.
  3. Appliquez à nouveau les paramètres de l'unité organisationnelle enfant :
    1. Laissez l'unité organisationnelle enfant sélectionnée sur la gauche, sous le libellé du paramètre S/MIME.
    2. Mettez à jour les paramètres S/MIME pertinents pour l'unité organisationnelle enfant : Activer S/MIME, Autoriser les utilisateurs à importer leurs propres certificats ou Autoriser la signature SHA-1 à l'échelle globale.
    3. Cliquez sur Remplacer. Cela permet d'enregistrer les paramètres spécifiques à l'enfant, tout en veillant à ce qu'il hérite des modifications apportées précédemment aux certificats racines ou aux paramètres S/MIME au niveau racine.

Répétez cette procédure pour chaque unité organisationnelle enfant concernée.

Important : Chaque fois que vous ajoutez ou supprimez un certificat racine, vous devez répéter ces étapes pour toutes les unités organisationnelles enfants auxquelles vous souhaitez appliquer ces modifications.

Gérer les certificats de confiance pour S/MIME (avancé)