Włączanie hostowanego szyfrowania S/MIME w celu szyfrowania wiadomości

Ta funkcja jest dostępna w tych wersjach: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard i Education Plus. Porównanie wersji

W konsoli administracyjnej Google możesz skonfigurować hostowane szyfrowanie S/MIME, aby chronić użytkowników w organizacji przed phishingiem, szkodliwymi załącznikami i innymi zagrożeniami w poczcie e-mail. S/MIME zwiększa bezpieczeństwo poczty przez szyfrowanie wiadomości i dodawanie do nich podpisu cyfrowego. Wiadomości są odszyfrowywane za pomocą kombinacji klucza publicznego i klucza prywatnego. Gdy standard S/MIME jest hostowany, organizacja korzystająca z niego do szyfrowania przechowuje klucz prywatny.

Opcjonalnie możesz wymagać szyfrowania S/MIME w przypadku wiadomości wychodzących lub wiadomości zawierających określone treści. Więcej informacji znajdziesz w artykule Wymaganie szyfrowania S/MIME dla wiadomości wychodzących.

Porównanie CSE i S/MIME

Szyfrowanie po stronie klienta Google Workspace (CSE) umożliwia też użytkownikom wysyłanie i odbieranie zaszyfrowanych wiadomości S/MIME. W przypadku szyfrowania po stronie klienta kluczami prywatnymi zarządza zewnętrzna usługa kluczy, co zwiększa prywatność i ochronę danych. Więcej informacji o szyfrowaniu po stronie klienta

Krok 1. Włączanie hostowanego szyfrowania S/MIME w konsoli administracyjnej Google

  1. W konsoli administracyjnej Google otwórz Menu a potemAplikacjea potemGoogle Workspacea potemGmaila potemUstawienia użytkownika.

    Wymaga uprawnień administratora Ustawienia Gmaila.

  2. Po lewej stronie w sekcji Organizacje wybierz domenę lub organizację, którą chcesz skonfigurować.

    Ważne: aby używać zaawansowanych ustawień S/MIME do przesyłania certyfikatów głównych i zarządzania nimi, musisz włączyć szyfrowanie S/MIME w organizacji najwyższego poziomu (zwykle w Twojej domenie). Więcej informacji o szyfrowaniu S/MIME i certyfikatach głównych

  3. Przewiń stronę do ustawienia S/MIME i zaznacz pole Włącz szyfrowanie S/MIME dla wysyłanych i odbieranych e-maili.

  4. (Opcjonalnie) Aby zezwolić użytkownikom w organizacji na przesyłanie certyfikatów, zaznacz pole Zezwalaj użytkownikom na przesyłanie własnych certyfikatów.

  5. (Dodatkowe opcje kontroli) Aby przesłać certyfikaty główne i nimi zarządzać:

    1. Obok opcji Zaakceptuj te dodatkowe certyfikaty główne dla określonych domen kliknij Dodaj.
    2. W oknie Dodaj certyfikat główny kliknij Prześlij certyfikat główny.
    3. Wybierz plik certyfikatu i kliknij Otwórz. Pojawi się komunikat weryfikacyjny dotyczący certyfikatu. Zawiera on nazwę podmiotu i datę ważności.
    4. W sekcji Poziom szyfrowania wybierz poziom szyfrowania tego certyfikatu.
    5. W sekcji Lista adresów wpisz co najmniej jedną domenę, która będzie używać certyfikatu głównego podczas komunikacji. Oddziel domeny przecinkami. Nazwy domen mogą zawierać symbole wieloznaczne. Więcej informacji o używaniu symboli wieloznacznych w nazwach domen znajdziesz w dokumencie RFC 6125.

    6. (Opcjonalnie) Aby zezwolić na pary kluczy szyfrowane po stronie klienta z certyfikatami powiązanymi z adresem e-mail innym niż podstawowy adres e-mail użytkownika, wybierz opcję niezgodności certyfikatów (W przypadku tych domen zezwalaj na certyfikaty z adresami e-mail, które nie pasują do obecnych adresów e-mail użytkowników).

      Ze względów bezpieczeństwa zalecamy korzystanie z tej opcji tylko wtedy, gdy jest ona wymagana przez organizację. Ta funkcja jest obsługiwana w przypadku szyfrowania po stronie klienta, ale nie w przypadku hostowanego szyfrowania S/MIME. Więcej informacji o niezgodności certyfikatów znajdziesz w artykule Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME.

    7. Kliknij Gotowe.

    8. Powtórz te czynności, aby przesłać więcej łańcuchów certyfikatów.

  6. Jeśli Twoja domena lub organizacja musi używać algorytmu SHA-1 (Secure Hash Algorithm 1), zaznacz pole Zezwalaj na korzystanie ze standardu SHA-1 w całej organizacji (niezalecane). Więcej informacji o używaniu SHA-1 znajdziesz w artykule Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME.

  7. Kliknij Zapisz.

Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji Wiadomości wysyłane w tym czasie nie są szyfrowane.

Krok 2. Poproś użytkowników o ponowne załadowanie Gmaila

Gdy włączysz hostowane szyfrowanie S/MIME w konsoli administracyjnej Google, poproś użytkowników w organizacji o ponowne załadowanie Gmaila. Gdy hostowane szyfrowanie S/MIME jest włączone, w wierszu tematu wiadomości pojawi się ikona blokady. Jeśli wiadomość jest zaszyfrowana przy użyciu hostowanego szyfrowania S/MIME, kłódka jest zielona.

Krok 3. Dodaj certyfikaty S/MIME do Gmaila

Następnie dodaj certyfikaty S/MIME do Gmaila. Certyfikaty możesz dodać na 2 sposoby:

  • Administratorzy dodają certyfikaty przy użyciu interfejsu Gmail S/MIME API
  • Użytkownicy dodają certyfikaty w ustawieniach konta Gmail.

Zalecamy, aby administratorzy przesyłali certyfikaty przy użyciu interfejsu Gmail S/MIME API.

(Użytkownicy) Dodawanie certyfikatów w ustawieniach konta Gmail

Możesz poprosić użytkowników w organizacji, aby wykonali te czynności w celu dodania certyfikatów S/MIME do ustawień Gmaila na karcie Konta i importowanie lub Konta w sekcji Wyślij jako. Konta „Wyślij jako” nie dziedziczą certyfikatów S/MIME z głównego konta Gmail, dlatego musisz ręcznie dodać certyfikat S/MIME do konta „Wyślij jako”. Więcej informacji o kontach „Wyślij jako” znajdziesz w artykule Wysyłanie e-maili z innego adresu lub aliasu.

Ważne:

  • Użytkownicy mogą dodawać certyfikaty S/MIME do kont „Wyślij jako” tylko w Gmailu w przeglądarce. Czynności opisane w tej sekcji nie są obsługiwane w aplikacji Gmail.
  • Użytkownicy mogą wysyłać wiadomości S/MIME z kont „Wyślij jako” tylko w Gmailu w przeglądarce.

Aby dodać certyfikaty S/MIME:

  1. Otwórz Gmail w przeglądarce.
  2. Wybierz Ustawienia a potem Zobacz wszystkie ustawienia.
  3. Kliknij kartę Konta.

  4. Obok opcji Wyślij jako kliknij Edytuj informacje.

    Pojawi się okno Edytowanie ustawień szyfrowania i adresu e-mail. Jeśli nie widzisz tej opcji, skontaktuj się z administratorem.

  5. Kliknij Prześlij certyfikat osobisty.

  6. Wybierz certyfikat i kliknij Otwórz. Pojawi się prośba o wpisanie hasła do certyfikatu.

  7. Wpisz hasło i kliknij Dodaj certyfikat.

  8. Kliknij Zapisz zmiany.

Wymagania dotyczące certyfikatów

Certyfikaty używane w Gmailu muszą spełniać obecne standardy kryptograficzne oraz standardy kryptograficzne kluczy publicznych PKCS #12 (Public-Key Cryptography Standards) do formatowania plików archiwum.

Google utrzymuje listę zaufanych certyfikatów, które obsługują S/MIME w Gmailu.

Krok 4. Proszenie użytkowników o wymienienie się kluczami

Aby rozpocząć wymianę wiadomości w standardzie S/MIME, użytkownicy muszą wymienić się kluczami z adresatami e-maili na jeden z tych sposobów:

  • Można wysłać do adresatów wiadomość podpisaną przy użyciu S/MIME. Wiadomość jest podpisana cyfrowo i zawiera klucz publiczny użytkownika. Odbiorcy mogą używać tego klucza publicznego do szyfrowania wiadomości wysyłanych do użytkownika.
  • Można poprosić adresatów o wysłanie wiadomości do użytkownika. Otrzymane wiadomości będą podpisane przy użyciu S/MIME. Klucze zostaną automatycznie zachowane i staną się dostępne. Od tej chwili wiadomości wysyłane do tych adresatów będą zaszyfrowane przy użyciu S/MIME.

Zastępowanie ustawień S/MIME w organizacji podrzędnej

Domyślnie jednostki organizacyjne dziedziczą ustawienia S/MIME z jednostki organizacyjnej najwyższego poziomu. Opcjonalnie możesz zastąpić odziedziczone ustawienia S/MIME w jednostkach organizacyjnych. Ta funkcja jest przydatna, jeśli chcesz wyłączyć lub dostosować ustawienia S/MIME w jednostkach organizacyjnych.

Aby zastąpić ustawienia S/MIME:

  1. W konsoli administracyjnej Google otwórz Menu a potemAplikacjea potemGoogle Workspacea potemGmaila potemUstawienia użytkownika.

    Wymaga uprawnień administratora Ustawienia Gmaila.

  2. Po lewej stronie w sekcji Organizacje wybierz jednostkę organizacyjną, którą chcesz skonfigurować.

  3. Przewiń stronę do ustawienia S/MIME i kliknij je, aby rozwinąć.

    Etykieta pod etykietą ustawienia S/MIME będzie wskazywać: Dziedziczone (nazwa organizacji lub domeny) albo Zastąpione.

  4. Kliknij Zastąp, aby zapisać zmiany w organizacji podrzędnej dziedziczącej ustawienia S/MIME.

    Po zapisaniu ustawień w organizacji podrzędnej pod etykietą ustawień S/MIME pojawi się komunikat Zastąpione. Oprócz tego na drzewie struktury jednostek organizacyjnych po lewej stronie obok organizacji podrzędnych, w których zastąpiono ustawienia, wyświetla się kropka.

Wskazówka: jeśli w organizacji podrzędnej zastąpiono ustawienia z organizacji wyższego poziomu, możesz użyć przycisku Odziedzicz, aby ustawienia były dziedziczone z organizacji wyższego poziomu.

Rozwiązywanie problemów: organizacje podrzędne nie dziedziczą ustawień S/MIME

Problem: podrzędne jednostki organizacyjne nie dziedziczą ustawień S/MIME z jednostki organizacyjnej najwyższego poziomu.

Przyczyna: najczęstszą przyczyną tego problemu jest wyłączenie lub zmodyfikowanie szyfrowania S/MIME w całej organizacji (na poziomie głównym) po dodaniu przez co najmniej jedną jednostkę organizacyjną ustawień S/MIME za pomocą funkcji zastąpienia. Więcej informacji o funkcji zastępowania ustawień S/MIME

Ten problem może też wystąpić, gdy te opcje S/MIME są ustawione na poziomie organizacji podrzędnej za pomocą funkcji zastąpienia: Włącz S/MIME, Zezwalaj użytkownikom na przesyłanie własnych certyfikatów lub Zezwalaj na SHA-1 globalnie. Dzieje się tak, ponieważ te zmiany zastępują ustawienia certyfikatu na poziomie głównym.

Rozwiązanie: aby rozwiązać problem i zastosować dziedziczenie S/MIME w podrzędnej jednostce organizacyjnej:

  1. W ustawieniach S/MIME po lewej stronie pod etykietą ustawienia S/MIME wybierz nazwę podrzędnej jednostki organizacyjnej.
  2. Kliknij Odziedzicz, aby zastosować ustawienia głównej jednostki organizacyjnej S/MIME do podrzędnej jednostki organizacyjnej.
  3. Ponownie zastosuj ustawienia podrzędnej jednostki organizacyjnej:
    1. Po lewej stronie pod etykietą ustawienia S/MIME pozostaw wybraną podrzędną jednostkę organizacyjną.
    2. Zaktualizuj odpowiednie ustawienia S/MIME w podrzędnej jednostce organizacyjnej: Włącz S/MIME, Zezwalaj użytkownikom na przesyłanie własnych certyfikatów lub Zezwalaj na SHA-1 globalnie.
    3. Kliknij Zastąp. Dzięki temu zapisywane są ustawienia specyficzne dla konta podrzędnego, a także zapewnione jest dziedziczenie przez to konto wszelkich zmian w certyfikatach głównych lub ustawieniach S/MIME na poziomie głównego.

Powtórz te czynności w przypadku każdej podrzędnej jednostki organizacyjnej, której dotyczy problem.

Ważne: za każdym razem, gdy dodajesz lub usuwasz certyfikat główny, musisz powtórzyć te czynności we wszystkich podrzędnych jednostkach organizacyjnych, w których chcesz zastosować te zmiany.

Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME (zaawansowane)