Включите шифрование сообщений с помощью S/MIME.

Поддерживаемые версии для этой функции: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard и Education Plus. Сравните свою версию.

В консоли администратора Google можно настроить S/MIME (Secure/Multipurpose Internet Mail Extensions), чтобы защитить сотрудников вашей организации от фишинга, вредоносных вложений и других угроз электронной почты. S/MIME повышает безопасность электронной почты, шифруя сообщения и добавляя к ним цифровую подпись. Расшифровка сообщений осуществляется с помощью комбинации открытого и закрытого ключей. При использовании S/MIME организация, применяющая его для шифрования, хранит закрытый ключ.

При желании вы можете включить шифрование S/MIME для исходящих сообщений или для сообщений, содержащих определенное содержимое. Подробнее см. в разделе «Требовать шифрования S/MIME для исходящих сообщений» .

CSE по сравнению с S/MIME

В Google Workspace шифрование на стороне клиента (CSE) также позволяет пользователям отправлять и получать зашифрованные сообщения S/MIME. Но при использовании CSE закрытые ключи управляются внешней службой ключей для повышения конфиденциальности и защиты данных. Узнайте больше о CSE .

Шаг 1: Включите поддержку размещенного S/MIME в консоли администратора Google.

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Google Workspace а потом Гмайл а потом Пользовательские настройки .

    Для этого требуются права администратора в настройках Gmail .

  2. В левой части экрана, в разделе «Организации» , выберите домен или организацию, которую хотите настроить.

    Важно: Для использования расширенных элементов управления S/MIME для загрузки и управления корневыми сертификатами необходимо включить S/MIME на уровне организации, как правило, в вашем домене. Подробнее о S/MIME и корневых сертификатах можно узнать здесь .

  3. Перейдите к настройкам S/MIME и установите флажок «Включить шифрование S/MIME для отправки и получения электронных писем» .

  4. (Необязательно) Чтобы разрешить сотрудникам вашей организации загружать сертификаты, установите флажок « Разрешить пользователям загружать собственные сертификаты» .

  5. (Дополнительные необязательные элементы управления) Для загрузки и управления корневыми сертификатами:

    1. Рядом с пунктом «Принять эти дополнительные корневые сертификаты для определенных доменов» нажмите « Добавить ».
    2. В окне «Добавить корневой сертификат» нажмите «Загрузить корневой сертификат» .
    3. Найдите и выберите файл сертификата и нажмите «Открыть» . Появится сообщение с подтверждением сертификата. Это сообщение содержит имя субъекта и срок действия.
    4. В разделе «Уровень шифрования» выберите уровень шифрования, который будет использоваться с этим сертификатом.
    5. В поле «Список адресов» укажите как минимум один домен, который будет использовать корневой сертификат при обмене данными. Разделяйте несколько доменов запятыми. Доменные имена могут содержать подстановочные знаки. Для получения дополнительной информации об использовании подстановочных знаков в доменных именах см. RFC 6125 .

    6. (Необязательно) Чтобы разрешить использование пар ключей CSE с сертификатами, связанными с адресом электронной почты, отличным от основного адреса электронной почты пользователя, выберите параметр несоответствия сертификатов ( Для этих доменов разрешить использование сертификатов с адресами электронной почты, которые не совпадают с текущим адресом электронной почты пользователя ).

      В целях безопасности этот вариант рекомендуется использовать только в том случае, если это необходимо вашей организации. Эта функция поддерживается в CSE. Она не поддерживается в размещенном S/MIME. Чтобы узнать больше о несоответствии сертификатов, посетите раздел «Управление доверенными сертификатами для S/MIME» .

    7. Нажмите «Готово» .

    8. Повторите эти шаги, чтобы загрузить больше цепочек сертификатов.

  6. Если вашему домену или организации необходимо использовать алгоритм безопасного хеширования 1 (SHA-1), установите флажок « Разрешить SHA-1 глобально (не рекомендуется)» . Для получения дополнительной информации об использовании SHA-1 посетите раздел «Управление доверенными сертификатами для S/MIME» .

  7. Нажмите « Сохранить ».

Внесение изменений может занять до 24 часов, но обычно происходит быстрее. Подробнее. Сообщения, отправленные в течение этого времени, не шифруются.

Шаг 2: Попросите пользователей перезагрузить Gmail.

После включения Hosted S/MIME в консоли администратора Google попросите сотрудников вашей организации перезагрузить Gmail. Когда Hosted S/MIME включен, в теме сообщений появляется значок замка. Если сообщение зашифровано с помощью Hosted S/MIME, значок замка будет зелёным.

Шаг 3: Добавьте S/MIME-сертификаты в Gmail.

Далее добавьте S/MIME-сертификаты в Gmail. Есть 2 способа добавить сертификаты:

  • Администраторы добавляют сертификаты с помощью API Gmail S/MIME.
  • Пользователи добавляют сертификаты в настройках своих учетных записей Gmail.

Мы рекомендуем администраторам загружать сертификаты, используя API Gmail S/MIME .

(Пользователи) Добавьте сертификаты в настройках учетной записи Gmail.

Вы можете поручить сотрудникам вашей организации выполнить следующие действия для добавления S/MIME-сертификатов в настройки Gmail на вкладке «Учетные записи и импорт» или «Учетные записи» в разделе « Отправлять почту как» . Учетные записи, использующие функцию «Отправлять почту как», не наследуют S/MIME-сертификаты от основной учетной записи Gmail, поэтому вам необходимо вручную добавить S/MIME-сертификат в учетную запись, использующую эту функцию. Чтобы узнать больше об учетных записях, использующих функцию «Отправлять почту как», посетите раздел «Отправка писем с другого адреса или псевдонима» .

Важный:

  • Добавить S/MIME-сертификаты в учетные записи, использующие функцию «Отправлять почту от имени», можно только через веб-версию Gmail. Действия, описанные в этом разделе, не поддерживаются в приложении Gmail.
  • Пользователи могут отправлять S/MIME-сообщения со своих учетных записей "Отправить почту от имени" в Gmail только через веб-версию.

Для добавления S/MIME-сертификатов:

  1. Зайдите в Gmail через веб-браузер.
  2. Выберите Настройки а потом Посмотреть все настройки .
  3. Выберите вкладку «Учетные записи» .

  4. Рядом с пунктом «Отправить письмо как» выберите «Изменить информацию» .

    Открывается окно «Редактирование адреса электронной почты и настроек шифрования» . Если у вас нет этой опции, обратитесь к администратору.

  5. Нажмите «Загрузить персональный сертификат» .

  6. Выберите сертификат и нажмите «Открыть» . Вам будет предложено ввести пароль для сертификата.

  7. Введите пароль и нажмите «Добавить сертификат» .

  8. Нажмите «Сохранить изменения» .

Требования к сертификату

Сертификаты, используемые с Gmail, должны соответствовать современным криптографическим стандартам и иметь формат архивного файла Public-Key Cryptography Standards (PKCS) #12 .

Компания Google ведет этот список доверенных сертификатов , поддерживающих Gmail для S/MIME.

Шаг 4: Проинструктируйте пользователей о ключах обмена.

Для начала обмена сообщениями S/MIME вашим пользователям необходимо обменяться ключами с получателями сообщений одним из следующих способов:

  • Отправьте получателям сообщение, подписанное по протоколу S/MIME. Сообщение имеет цифровую подпись и включает открытый ключ пользователя. Получатели могут использовать этот открытый ключ для шифрования сообщений, отправляемых пользователю.
  • Попросите получателей отправить им сообщение. После получения сообщения оно будет подписано с помощью S/MIME. Ключ автоматически сохраняется и становится доступным. В дальнейшем сообщения, отправляемые получателю, будут шифроваться с помощью S/MIME.

Переопределить настройки S/MIME дочерней организации

По умолчанию организационные подразделения наследуют настройки S/MIME от подразделения верхнего уровня. При желании вы можете переопределить унаследованные настройки S/MIME для организационных подразделений. Эта функция полезна для отключения или настройки параметров S/MIME для организационных подразделений.

Чтобы изменить настройки S/MIME:

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Google Workspace а потом Гмайл а потом Пользовательские настройки .

    Для этого требуются права администратора в настройках Gmail .

  2. Слева, в разделе «Организации» , выберите организационное подразделение, которое хотите настроить.

  3. Прокрутите вниз до параметра S/MIME и щелкните, чтобы развернуть его.

    В поле "Настройка S/MIME" будет указано либо "Унаследовано от ( организации или доменного имени )" , либо "Переопределено" .

  4. Нажмите «Переопределить» , чтобы сохранить изменения в подразделении, наследующем настройки S/MIME.

    После сохранения настроек дочерней организации под меткой «Настройки S/MIME» отображается «Переопределено» . В дереве структуры организационных подразделений слева также появляется точка рядом с переопределяющими дочерними организациями.

Совет: Если ваша дочерняя организация переопределила настройки организации более высокого уровня, вы можете использовать кнопку «Наследовать» , чтобы унаследовать настройки от организации более высокого уровня.

Устранение неполадок: Подразделения не наследуют настройки S/MIME.

Проблема: Дочерние организационные подразделения не наследуют настройки S/MIME от корневого организационного подразделения.

Причина: Наиболее распространенная причина этой проблемы заключается в том, что S/MIME был отключен или изменен для всей вашей организации (на корневом уровне) после того, как одно или несколько подразделений организации добавили параметры S/MIME с помощью функции переопределения. Узнайте больше о функции переопределения параметров S/MIME.

Эта проблема также может возникнуть, если параметры S/MIME установлены на уровне дочерней организации с использованием функции переопределения: «Включить S/MIME» , « Разрешить пользователям загружать собственные сертификаты» или «Разрешить SHA-1 глобально ». Это связано с тем, что эти изменения переопределяют настройки сертификатов на корневом уровне.

Решение: Чтобы устранить проблему и применить наследование S/MIME к дочерней организационной единице:

  1. В настройках S/MIME выберите имя дочернего организационного подразделения слева, под заголовком «Настройки S/MIME» .
  2. Нажмите «Наследовать» , чтобы применить корневые настройки S/MIME к дочерней организационной единице.
  3. Повторно примените настройки дочерней организационной единицы:
    1. Оставьте выбранным дочернее организационное подразделение слева, под меткой параметра S/MIME .
    2. Обновите соответствующие настройки S/MIME для дочернего организационного подразделения: включите S/MIME , разрешите пользователям загружать собственные сертификаты или разрешите использование SHA-1 глобально .
    3. Нажмите «Переопределить» . Это сохранит настройки, специфичные для дочернего элемента, и гарантирует, что дочерний элемент унаследует все предыдущие изменения корневых сертификатов или настроек S/MIME корневого уровня.

Повторите эти шаги для каждого затронутого детского организационного подразделения.

Важно: Каждый раз при добавлении или удалении корневого сертификата необходимо повторять эти действия для всех дочерних организационных подразделений, к которым вы хотите применить эти изменения.

Управление доверенными сертификатами для S/MIME (расширенные возможности)