Ativar o S/MIME hospedado para criptografia de mensagens

Edições compatíveis com este recurso: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard e Education Plus. Comparar sua edição

Você pode configurar o S/MIME (Secure/Multipurpose Internet Mail Extensions) hospedado no Google Admin Console para proteger as pessoas da sua organização contra phishing, anexos nocivos e outras ameaças de e-mail. O S/MIME melhora a segurança do e-mail criptografando e adicionando uma assinatura digital às mensagens. As mensagens são descriptografadas usando a combinação de uma chave pública e uma chave privada. Quando o S/MIME é hospedado, a organização que usa o S/MIME para criptografia armazena a chave privada.

Você pode exigir o S/MIME para mensagens enviadas ou com conteúdo específico. Saiba mais em Exigir criptografia S/MIME para mensagens enviadas.

Comparação entre CSE e S/MIME

Com a criptografia do lado do cliente (CSE) do Google Workspace, os usuários também podem enviar e receber mensagens S/MIME criptografadas. Mas com a CSE, as chaves privadas são gerenciadas por um serviço de chaves externo para aumentar a privacidade e a proteção dos dados. Saiba mais sobre a CSE.

Etapa 1: ativar o S/MIME hospedado no Google Admin Console

  1. No Admin Console do Google, acesse Menu e depois Appse depoisGoogle Workspacee depoisGmaile depoisConfigurações do usuário.

    Exige o privilégio de administrador "Configurações do Gmail".

  2. À esquerda, em Organizações, selecione o domínio ou a organização que você quer configurar.

    Importante:para usar controles avançados do S/MIME para fazer upload e gerenciar certificados raiz, ative o S/MIME na organização de nível superior, geralmente seu domínio. Saiba mais sobre o S/MIME e certificados raiz.

  3. Role até a configuração do S/MIME e marque a caixa Ativar a criptografia S/MIME para enviar e receber e-mails.

  4. (Opcional) Para permitir que as pessoas na sua organização façam o upload de certificados, marque a caixa Permitir que os usuários façam upload dos próprios certificados.

  5. (Controles adicionais opcionais) Para fazer o upload e gerenciar certificados raiz:

    1. Ao lado de Aceite estes certificados raiz adicionais para domínios específicos, clique em Adicionar.
    2. Na janela Adicionar certificado raiz, clique em Fazer upload de certificado raiz.
    3. Procure e selecione o arquivo do certificado e clique em Abrir. Uma mensagem de verificação é exibida para o certificado. Essa mensagem inclui o nome do assunto e a validade.
    4. Em Nível de criptografia,selecione o nível de criptografia que será usado com o certificado.
    5. Em Lista de endereços, digite pelo menos um domínio que usará o certificado raiz para se comunicar. Separe os domínios com vírgulas. Os nomes de domínio podem incluir caracteres curinga. Para saber mais sobre o uso de caracteres curinga em nomes de domínio, consulte a RFC 6125.

    6. (Opcional) Para permitir pares de chaves da CSE com certificados associados a um endereço de e-mail que não seja o principal do usuário, selecione a opção "Incompatibilidade de certificado" (Nos domínios, permitir certificados com endereços de e-mail não correspondentes corresponde ao endereço de e-mail atual dos usuários).

      Por motivos de segurança, essa opção só é recomendada quando exigida pela organização. Esse recurso é compatível com a CSE. Ela não é compatível com o S/MIME hospedado. Saiba mais sobre a incompatibilidade de certificados em Gerenciar certificados confiáveis para S/MIME.

    7. Clique em Concluído.

    8. Repita essas etapas para fazer upload de mais cadeias de certificados.

  6. Se o domínio ou a organização precisar usar o algoritmo de hash seguro 1 (SHA-1), marque a caixa Permitir SHA-1 globalmente (não recomendado). Para saber mais sobre o uso do SHA-1, acesse Gerenciar certificados confiáveis para S/MIME.

  7. Clique em Salvar.

As mudanças podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais As mensagens enviadas nesse período não são criptografadas.

Etapa 2: pedir que os usuários atualizem a página do Gmail

Depois de ativar o S/MIME hospedado no Google Admin Console, peça às pessoas na sua organização para recarregar o Gmail. Quando o S/MIME hospedado estiver ativado, um ícone de bloqueio vai aparecer na linha de assunto das mensagens. Se a mensagem estiver criptografada com o S/MIME hospedado, o cadeado será verde.

Etapa 3: adicionar certificados S/MIME ao Gmail

Em seguida, adicione certificados S/MIME ao Gmail. Há duas maneiras de adicionar certificados:

  • Os administradores adicionam certificados com a API Gmail S/MIME
  • Os usuários adicionam certificados nas configurações da conta do Gmail

Recomendamos que os administradores façam upload de certificados usando a API Gmail S/MIME.

(Usuários) Adicionar certificados nas configurações da conta do Gmail

Você pode instruir as pessoas na sua organização a seguir estas etapas para adicionar certificados S/MIME às configurações do Gmail, na guia Contas e importação ou Contas, na seção Enviar e-mail como. As contas de "Enviar e-mail como" não herdam certificados S/MIME da conta principal do Gmail. Por isso, é necessário adicionar manualmente um certificado S/MIME à conta de "Enviar e-mail como". Para saber mais sobre contas "Enviar e-mail como", acesse Enviar e-mails de um endereço ou alias diferente.

Importante:

  • Os usuários podem adicionar certificados S/MIME a contas "Enviar e-mail como" usando apenas o Gmail na Web. As etapas desta seção não são compatíveis com o app Gmail.
  • Os usuários podem enviar mensagens S/MIME das contas "Enviar e-mail como" usando apenas o Gmail na Web.

Para adicionar certificados S/MIME:

  1. Acesse o Gmail na Web.
  2. Escolha Configurações e depois Ver todas as configurações.
  3. Selecione a guia Contas.

  4. Ao lado de Enviar e-mail como, selecione Editar informações.

    A janela Editar endereço de e-mail e configurações de criptografia é exibida. Se essa opção não estiver disponível, entre em contato com o administrador.

  5. Clique em Fazer upload de um certificado pessoal.

  6. Selecione o certificado e clique em Abrir. Você precisará fornecer uma senha para o certificado.

  7. Digite a senha e clique em Adicionar certificado.

  8. Clique em Salvar alterações.

Requisitos de certificado

Os certificados usados com o Gmail precisam atender aos padrões criptográficos atuais e estar no formato de arquivo Padrões de criptografia de chave pública (PKCS) #12.

O Google mantém essa lista de certificados confiáveis que oferecem suporte ao Gmail para S/MIME.

Etapa 4: instruir os usuários a trocarem as chaves

Para começar a troca de mensagens S/MIME, os usuários precisam trocar as chaves com os destinatários de uma destas formas:

  • Enviar uma mensagem assinada pelo S/MIME para os destinatários. A mensagem é assinada digitalmente e inclui a chave pública do usuário. Os destinatários podem usar essa chave pública para criptografar as mensagens enviadas para o usuário.
  • Pedir para os destinatários enviarem uma mensagem. Quando eles receberem a mensagem, ela estará assinada pelo S/MIME. A chave é armazenada e disponibilizada automaticamente. A partir de agora, as mensagens enviadas para o destinatário serão criptografadas com S/MIME.

Modificar as configurações do S/MIME da suborganização

Por padrão, as unidades organizacionais herdam as configurações do S/MIME da unidade de nível superior. É possível modificar as configurações herdadas do S/MIME para unidades organizacionais. Esse recurso é útil para desativar ou personalizar as configurações do S/MIME para unidades organizacionais.

Para modificar as configurações do S/MIME:

  1. No Admin Console do Google, acesse Menu e depois Appse depoisGoogle Workspacee depoisGmaile depoisConfigurações do usuário.

    Exige o privilégio de administrador "Configurações do Gmail".

  2. À esquerda, em Organizações, selecione a unidade organizacional que você quer configurar.

  3. Role até a configuração do S/MIME e clique para expandi-la.

    O marcador abaixo do marcador "S/MIME" indica Herdado da (nome da organização ou do domínio) ou Modificado.

  4. Clique em Substituir para salvar as mudanças nas configurações herdadas do S/MIME da suborganização.

    Depois que as configurações da suborganização forem salvas, o status Substituído vai aparecer no marcador das configurações do S/MIME. Um ponto também aparece ao lado das suborganizações que modificam o organograma da unidade organizacional à esquerda.

Dica:se sua suborganização tiver substituído as configurações de uma organização de nível superior, use o botão Herdar para herdar as configurações da organização de nível superior.

Solução do problema: as suborganizações não herdam as configurações do S/MIME

Problema:as unidades organizacionais filhas não herdam as configurações do S/MIME da unidade organizacional raiz.

Causa:a causa mais comum desse problema é que o S/MIME foi desativado ou modificado para toda a organização (no nível raiz) depois que uma ou mais unidades organizacionais adicionaram configurações de S/MIME usando o recurso de substituição. Saiba mais sobre o recurso de substituição de configurações do S/MIME

Esse problema também pode acontecer quando essas opções do S/MIME são definidas no nível da organização filha com o recurso de substituição: Ativar S/MIME. Permita que os usuários façam upload dos próprios certificados ou Permitir SHA-1 globalmente. Isso ocorre porque essas mudanças substituem as configurações do certificado para o nível raiz.

Solução:para corrigir o problema e aplicar a herança do S/MIME a uma unidade organizacional filha, faça o seguinte:

  1. Nas configurações de S/MIME, selecione o nome da unidade organizacional filha à esquerda, em S/MIME.
  2. Clique em Herdar para aplicar as configurações do S/MIME raiz à unidade organizacional filha.
  3. Reaplique as configurações da unidade organizacional filha:
    1. Mantenha a unidade organizacional filha selecionada à esquerda, sob o rótulo de configuração S/MIME.
    2. Atualize as configurações relevantes do S/MIME para a unidade organizacional filha: Ativar o S/MIME. Permita que os usuários façam upload dos próprios certificados ou Permitir SHA-1 globalmente.
    3. Clique em Substituir. Isso salva as configurações específicas da criança e garante que ela herde todas as mudanças anteriores nos certificados raiz ou nas configurações do S/MIME de nível raiz.

Repita essas etapas para cada unidade organizacional filha afetada.

Importante:sempre que você adicionar ou remover um certificado raiz, repita essas etapas para todas as unidades organizacionais filhas em que você quer aplicar essas mudanças.

Gerenciar certificados confiáveis para S/MIME (avançado)