Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi

Versioni supportate per questa funzionalità: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard ed Education Plus. Confronta la tua versione

Puoi configurare le Estensioni Secure/Multipurpose Internet Mail (S/MIME) ospitate nella Console di amministrazione Google per contribuire a proteggere gli utenti della tua organizzazione da phishing, allegati dannosi e altre minacce via email. S/MIME migliora la sicurezza delle email criptando i messaggi e aggiungendo una firma digitale. I messaggi vengono decriptati utilizzando la combinazione di una chiave pubblica e una chiave privata. Quando S/MIME è in hosting, l'organizzazione che utilizza S/MIME per la crittografia memorizza la chiave privata.

Se vuoi, puoi richiedere S/MIME per i messaggi in uscita o per i messaggi che contengono contenuti specifici. Scopri di più su Richiedere la crittografia S/MIME per i messaggi in uscita.

CSE rispetto a S/MIME

La crittografia lato client di Google Workspace consente inoltre agli utenti di inviare e ricevere messaggi S/MIME criptati. Tuttavia, con la crittografia lato client, le chiavi private vengono gestite da un servizio chiavi esterno per una maggiore privacy e protezione dei dati. Scopri di più sulla crittografia lato client.

Passaggio 1: attiva la crittografia S/MIME ospitata nella Console di amministrazione Google

  1. Nella Console di amministrazione Google, vai a Menu e poi Appe poiGoogle Workspacee poiGmaile poiImpostazioni utente.

    È necessario disporre del privilegio di amministratore Impostazioni di Gmail.

  2. A sinistra, in Organizzazioni, seleziona il dominio o l'organizzazione che vuoi configurare.

    Importante:per utilizzare i controlli avanzati di S/MIME per caricare e gestire i certificati radice, devi attivare S/MIME nell'organizzazione di primo livello, in genere il tuo dominio. Scopri di più su S/MIME e i certificati radice.

  3. Scorri fino all'impostazione S/MIME e seleziona la casella Attiva crittografia S/MIME per l'invio e la ricezione di email.

  4. (Facoltativo) Per consentire agli utenti della tua organizzazione di caricare i certificati, seleziona la casella Consenti agli utenti di caricare i propri certificati.

  5. (Controlli aggiuntivi facoltativi) Per caricare e gestire i certificati radice:

    1. Accanto ad Accetta questi certificati radice aggiuntivi per domini specifici, fai clic su Aggiungi.
    2. Nella finestra Aggiungi certificato radice, fai clic su Carica certificato radice.
    3. Sfoglia per selezionare il file del certificato e fai clic su Apri. Viene visualizzato un messaggio di verifica del certificato. Questo messaggio include il nome del soggetto e la scadenza.
    4. In Livello crittografia,seleziona il livello di crittografia da utilizzare con questo certificato.
    5. In Elenco indirizzi, inserisci almeno un dominio che utilizzerà il certificato radice durante la comunicazione. Separa più domini con virgole. I nomi di dominio possono includere caratteri jolly. Per scoprire di più sull'utilizzo dei caratteri jolly nei nomi di dominio, consulta l'RFC 6125.

    6. (Facoltativo) Per consentire le coppie di chiavi con crittografia lato client con certificati associati a un indirizzo email diverso dall'indirizzo email principale di un utente, seleziona l'opzione di non corrispondenza di certificato (Per questi domini consenti i certificati con indirizzi email che non corrispondono all'indirizzo email corrente degli utenti).

      Per motivi di sicurezza, questa opzione è consigliata solo se richiesta dalla tua organizzazione. Questa funzionalità è supportata con la crittografia lato client. Non è supportata con la crittografia S/MIME ospitata. Per scoprire di più sulla mancata corrispondenza dei certificati, vedi Gestire i certificati attendibili per S/MIME.

    7. Fai clic su Fine.

    8. Ripeti questi passaggi per caricare altre catene di certificati.

  6. Se il tuo dominio o la tua organizzazione devono utilizzare l'algoritmo SHA-1 (Secure Hash Algorithm 1), seleziona la casella Consenti SHA-1 a livello globale (sconsigliato). Per scoprire di più sull'utilizzo di SHA-1, vedi Gestisci i certificati attendibili per S/MIME.

  7. Fai clic su Salva.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più I messaggi inviati in questo periodo non sono criptati.

Passaggio 2: chiedi agli utenti di ricaricare Gmail

Dopo aver attivato la crittografia S/MIME ospitata nella Console di amministrazione Google, chiedi agli utenti della tua organizzazione di ricaricare Gmail. Quando la crittografia S/MIME ospitata è attiva, viene visualizzata un'icona lucchetto nella riga dell'oggetto dei messaggi. Se il messaggio è criptato con la crittografia S/MIME ospitata, il lucchetto è verde.

Passaggio 3: aggiungi i certificati S/MIME a Gmail

Poi, aggiungi i certificati S/MIME a Gmail. Esistono due modi per aggiungere certificati:

  • Gli amministratori aggiungono i certificati con l'API Gmail S/MIME
  • Gli utenti aggiungono i certificati nelle impostazioni del proprio account Gmail

Consigliamo agli amministratori di caricare i certificati utilizzando l'API Gmail S/MIME.

(Utenti) Aggiungere certificati nelle impostazioni dell'account Gmail

Puoi chiedere agli utenti della tua organizzazione di seguire questi passaggi per aggiungere i certificati S/MIME alle impostazioni di Gmail, nella scheda Account e importazione o Account, nella sezione Invia email come. Gli account "Invia messaggio come" non ereditano i certificati S/MIME dall'account Gmail principale, pertanto devi aggiungere manualmente un certificato S/MIME all'account "Invia messaggio come". Per saperne di più sugli account "Invia messaggio come", visita Inviare email da un indirizzo o alias diverso.

Importante:

  • Gli utenti possono aggiungere certificati S/MIME agli account "Invia email come" solo utilizzando Gmail sul web. I passaggi descritti in questa sezione non sono supportati nell'app Gmail.
  • Gli utenti possono inviare messaggi S/MIME dai propri account "Invia email come" utilizzando solo Gmail sul web.

Per aggiungere certificati S/MIME:

  1. Vai a Gmail sul web.
  2. Scegli Impostazioni e poi Visualizza tutte le impostazioni.
  3. Seleziona la scheda Account.

  4. Accanto a Invia messaggio come, seleziona Modifica informazioni.

    Viene visualizzata la finestra Modifica indirizzo email e impostazioni di crittografia. Se questa opzione non è disponibile, contatta l'amministratore.

  5. Fai clic su Carica un certificato personale.

  6. Seleziona il certificato e fai clic su Apri. Ti verrà chiesto di inserire una password per il certificato.

  7. Inserisci la password e fai clic su Aggiungi certificato.

  8. Fai clic su Salva modifiche.

Requisiti di certificato

I certificati utilizzati con Gmail devono soddisfare gli standard di crittografia correnti e devono essere nel formato file archivio Public-Key Cryptography Standards (PKCS) #12.

Google gestisce questo elenco di certificati attendibili che supportano Gmail per S/MIME.

Passaggio 4: chiedi agli utenti di scambiarsi le chiavi

Per iniziare a scambiare messaggi S/MIME, gli utenti devono scambiare le chiavi con i destinatari dei messaggi in uno dei seguenti modi:

  • Inviare un messaggio firmato con S/MIME ai destinatari. Il messaggio è firmato digitalmente e include la chiave pubblica dell'utente. I destinatari possono utilizzare questa chiave pubblica per criptare i messaggi che inviano all'utente.
  • Chiedere ai destinatari di inviare loro un messaggio. Quando gli utenti riceveranno il messaggio, questo sarà firmato con S/MIME. La chiave verrà memorizzata e resa disponibile automaticamente. In futuro, i messaggi inviati al destinatario verranno criptati con S/MIME.

Eseguire l'override delle impostazioni S/MIME di un'organizzazione secondaria

Per impostazione predefinita, le unità organizzative ereditano le impostazioni S/MIME dall'unità organizzativa di primo livello. Se necessario, puoi sostituire le impostazioni S/MIME ereditate per le unità organizzative. Questa funzionalità è utile per disattivare o personalizzare le impostazioni S/MIME per le unità organizzative.

Per eseguire l'override delle impostazioni S/MIME:

  1. Nella Console di amministrazione Google, vai a Menu e poi Appe poiGoogle Workspacee poiGmaile poiImpostazioni utente.

    È necessario disporre del privilegio di amministratore Impostazioni di Gmail.

  2. A sinistra, in Organizzazioni, seleziona l'unità organizzativa che vuoi configurare.

  3. Scorri fino all'impostazione S/MIME e fai clic per espanderla.

    L'etichetta sotto l'etichetta dell'impostazione S/MIME sarà riportta la dicitura Ereditata da (nome dell'organizzazione o del dominio) o Ignorato.

  4. Fai clic su Sostituisci per salvare le modifiche all'organizzazione secondaria che eredita le impostazioni S/MIME.

    Una volta salvate le impostazioni dell'organizzazione secondaria, sotto l'etichetta delle impostazioni S/MIME verrà visualizzata la dicitura Ignorato. Nell'albero della struttura dell'unità organizzativa, sulla sinistra, viene visualizzato un punto accanto alle organizzazioni che sostituiscono le impostazioni.

Suggerimento:se l'organizzazione secondaria ha eseguito l'override delle impostazioni di un'organizzazione di livello superiore, puoi utilizzare il pulsante Eredita per ereditare le impostazioni dell'organizzazione di livello superiore.

Risolvi il problema: le organizzazioni secondarie non ereditano le impostazioni S/MIME

Problema:le unità organizzative secondarie non ereditano le impostazioni S/MIME dall'unità organizzativa principale.

Causa:la causa più comune di questo problema è che S/MIME è stato disattivato o modificato per l'intera organizzazione (a livello di radice) dopo che una o più unità organizzative hanno aggiunto impostazioni S/MIME utilizzando la funzionalità di override. Scopri di più sulla funzionalità di override delle impostazioni S/MIME.

Questo problema può verificarsi anche quando queste opzioni S/MIME sono impostate a livello di organizzazione secondaria con la funzionalità di override: Attiva S/MIME. Consenti agli utenti di caricare i propri certificati o Consenti SHA-1 globalmente. Questo perché queste modifiche sostituiscono le impostazioni del certificato per il livello principale.

Soluzione:per risolvere il problema e applicare l'eredità S/MIME a un'unità organizzativa secondaria:

  1. Nelle impostazioni S/MIME, seleziona il nome dell'unità organizzativa secondaria a sinistra, sotto l'etichetta dell'impostazione S/MIME.
  2. Fai clic su Eredita per applicare le impostazioni S/MIME principali all'unità organizzativa secondaria.
  3. Applica di nuovo le impostazioni dell'unità organizzativa secondaria:
    1. Mantieni selezionata l'unità organizzativa secondaria a sinistra, sotto l'etichetta dell'impostazione S/MIME.
    2. Aggiorna le impostazioni S/MIME pertinenti per l'unità organizzativa secondaria: Attiva S/MIME. Consenti agli utenti di caricare i propri certificati o Consenti SHA-1 globalmente.
    3. Fai clic su Ignora. In questo modo vengono salvate le impostazioni specifiche secondarie e al contempo viene garantito che l'unità secondaria erediti eventuali modifiche passate ai certificati radice o alle impostazioni S/MIME a livello principale.

Ripeti questi passaggi per ogni unità organizzativa secondaria interessata.

Importante:ogni volta che aggiungi o rimuovi un certificato radice, devi ripetere questi passaggi per tutte le unità organizzative secondarie a cui vuoi applicare le modifiche.

Gestire i certificati attendibili per S/MIME (avanzato)