Agrega y administra servicios de claves para la encriptación del cliente

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Si configuraste tu servicio de claves de encriptación externo para la encriptación del cliente (CSE) de Google Workspace, debes agregarlo a la Consola del administrador. De esta manera, se conecta Google Workspace al servicio para que pueda encriptar contenido con tus claves de encriptación.

Para obtener más información sobre los servicios de claves externos, consulta Configura tu servicio de claves para la encriptación del cliente.

Si es necesario, puedes agregar varios servicios de claves, por ejemplo, para migrar contenido encriptado de un servicio de claves a otro o asignar diferentes servicios de claves a usuarios específicos.

Nota: Para la CSE de Gmail, puedes usar claves de encriptación de hardware en lugar de un servicio de claves. Requiere tener el complemento de Assured Controls o Assured Controls Plus. Para obtener más información, consulta Solo Gmail: Configura y administra la encriptación con claves de hardware.

Agregar un servicio de claves

Antes de comenzar

Si es la primera vez que agregas un servicio de claves

Aparecerá un mensaje para recordarte que debes asignar un servicio de claves predeterminado para tu unidad organizativa de nivel superior. Puedes hacerlo en cualquier momento para asegurarte de que la encriptación esté disponible para todos los usuarios que necesiten encriptar o desencriptar contenido. Para obtener más información, consulta Asigna el servicio de claves predeterminado para tu organización.

Si agregas un segundo servicio de claves

Deberás convertir el servicio actual en el servicio de copia de seguridad. El servicio de claves secundario encripta el mismo contenido que el segundo servicio de claves y es necesario si deseas migrar contenido encriptado al segundo servicio. Para obtener más información, consulta Acerca del servicio de claves secundario a continuación.

Si ya tienes al menos 2 servicios de claves y agregas otro

Deberás quitar el servicio de copia de seguridad del servicio principal actual y, luego, elegir un servicio de copia de seguridad para el nuevo servicio. También puedes agregar el nuevo servicio sin un servicio de claves secundario. Para obtener más información, consulta Agrega un servicio de claves nuevo cuando otro servicio tenga un servicio de claves secundario a continuación.

Considera usar una convención de nombres para varios servicios de claves

Establece una convención de nombres para que puedas identificar fácilmente los servicios de claves y para qué servicios y usuarios los aplicarás. Por ejemplo, es posible que quieras usar el nombre para indicar la región, la unidad organizativa y el servicio de claves:

  • NORTHAM-R&D-Key-service1
  • EUROPE-HR-Key-service2

Acerca del servicio de claves secundario

Si agregas más de un servicio de claves a la Consola del administrador, uno de ellos debe ser el servicio de claves secundario del otro.

El servicio de claves secundario se usa para migrar contenido

Si deseas migrar contenido encriptado a un servicio de claves nuevo, es decir, volver a encriptar el contenido encriptado por tu servicio actual, debes convertir el servicio de claves actual en el servicio de claves secundario de tu nuevo servicio. Como el servicio de claves secundario encripta el mismo contenido que su servicio principal, garantiza que el contenido siga siendo accesible si hay un problema durante la migración de contenido. Para obtener más información sobre la migración, consulta Migra contenido encriptado a un servicio de claves nuevo.

Importante: Si usas un servicio de claves secundario, solo puedes tener un servicio de claves a la vez.

Excepción para la CSE de Gmail

Si agregas un servicio de claves nuevo y conviertes tu servicio actual en el servicio de claves secundario con la Consola del administrador, solo el servicio de claves secundario encriptará el correo electrónico, no el nuevo servicio de claves. Para cambiar los servicios de claves de Gmail, debes usar la API de Gmail para subir certificados nuevos y los metadatos de las claves privadas que envuelve el nuevo servicio. Para obtener más información sobre cómo cambiar a un servicio de claves diferente para Gmail, consulta Cómo cambiar a otro servicio de claves para la CSE de Gmail.

Agregar un servicio de claves externo

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Encriptación con servicio de claves externo, realiza una de las siguientes acciones:
    • Si es el primer servicio de claves que agregas, haz clic en Agregar servicio de claves externo.
    • Si agregas un servicio de claves adicional, haz clic en Agregar.
  3. Ingresa la siguiente información del servicio de claves al que te registraste (o que compilaste con la API de CSE):

    Nombre: Ingresa el nombre que quieras. Este nombre aparece en algunos mensajes para los usuarios si Google Workspace no puede acceder a tu servicio de claves externo, de modo que sabrán que el problema es con el servicio de encriptación y no con el servicio de Google que están usando.

    URL: Tu servicio de claves te proporciona esta URL. Antes de ingresar esta URL, verifica que se pueda acceder a ella desde Internet.

  4. Si agregaste un segundo servicio de claves, haz clic en Seleccionar servicio de claves secundario y selecciona un servicio de claves secundario disponible. Esto te permite migrar contenido encriptado al nuevo servicio de claves.

    Para obtener más información sobre cómo migrar contenido a un servicio de claves nuevo, consulta Asigna servicios de claves para la encriptación del cliente.

  5. Si ya tienes al menos 2 servicios de claves y agregaste otro, elige si deseas agregar el nuevo servicio de claves sin un servicio de claves secundario. Para obtener más información sobre tus opciones, consulta Agrega un servicio de claves nuevo cuando otro servicio tenga un servicio de claves secundario a continuación.

    Si deseas cerrar el cuadro de diálogo Agregar servicio de claves externo sin elegir una opción, haz clic en Cancelar.

  6. Para asegurarte de que Google Workspace pueda comunicarse con el servicio de claves externo, haz clic en Probar conexión.
  7. Si la conexión se realiza correctamente, en la esquina inferior derecha de la página, haz clic en Agregar o Agregar servicio.

Si es el primer servicio de claves que agregas:

Agrega un servicio de claves nuevo cuando otro servicio tenga un servicio de claves secundario

Si ya agregaste al menos 2 servicios de claves a la Consola del administrador, un servicio es el servicio de claves secundario del otro. Si agregas otro servicio de claves, no puedes elegir un servicio de claves secundario para él, ya que solo un servicio de claves a la vez puede tener un servicio de claves secundario. Por lo tanto, cuando agregues el nuevo servicio de claves, deberás elegir una opción, según cómo quieras usar el servicio de claves.

Para dejar de usar un servicio de claves existente y usar el nuevo

Cuando agregues un servicio de claves nuevo, elige la opción Quitar servicio de claves secundario de servicio de claves y, luego, haz clic en Quitar servicio de claves secundario.

Ahora puedes agregar el nuevo servicio de claves y elegir un servicio de claves secundario. Después de eso, puedes migrar contenido encriptado al nuevo servicio de claves. Para obtener más información, consulta Migra contenido encriptado a un servicio de claves nuevo.

Recomendación: Elige esta opción solo si el servicio de claves actual no tiene problemas para encriptar contenido. Además, si se usa el servicio de claves secundario para migrar contenido a tu servicio principal actual, asegúrate de que la migración esté completa. Una vez que quites el servicio de claves secundario, la migración se detendrá de inmediato. Para obtener más información, consulta Migra contenido encriptado a un servicio de claves nuevo.

Para usar el nuevo servicio de claves sin migrar datos encriptados

Cuando agregues un servicio de claves nuevo, elige la opción Agregar servicio de claves sin servicio de claves secundario y, luego, haz clic en Agregar servicio.

Recomendación: Elige esta opción solo si deseas usar este servicio de claves para una unidad organizativa o un grupo que aún no tenga contenido encriptado por otro servicio de claves. Si el contenido ya está encriptado, deberás conservar el servicio de claves existente para asegurarte de que se pueda acceder al contenido encriptado.

Editar un servicio de claves

Cambiar el nombre de un servicio de claves

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Servicio de claves externo, haz clic en el nombre del servicio de claves que deseas cambiar.
  3. Edita el nombre del servicio de claves.
  4. Haz clic en Continuar.

Cambiar la URL de un servicio de claves

Debes acceder como administrador avanzado para realizar esta tarea.

Si los usuarios tienen problemas para acceder al contenido encriptado por un servicio de claves, pídele al servicio de claves una URL de encriptación nueva. Luego, reemplaza la URL anterior por la nueva en la Consola del administrador para permitir que los usuarios recuperen su contenido.

Si los usuarios no pueden encriptar contenido nuevo con un servicio de claves, puedes intentar asignar un servicio de claves diferente a las organizaciones o los grupos que tienen problemas.

Para cambiar la URL de un servicio de claves, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Servicio de claves externo, haz clic en el nombre del servicio de claves para el que deseas cambiar la URL.
  3. Haz clic en ¿Tienes problemas? y luego Agregar una URL nueva.
  4. Para asegurarte de que Google Workspace pueda comunicarse con el servicio de claves externo, haz clic en Probar conexión.
  5. Si la conexión se realiza correctamente, en la esquina inferior derecha de la página, haz clic en Continuar.

Quitar el servicio de claves secundario de un servicio de claves

Es posible que desees quitar el servicio de claves secundario de otro servicio de claves en los siguientes casos:

  • Ya no lo necesitas para migrar contenido.
  • Quieres agregar otro servicio de claves y necesitas elegir un servicio de claves secundario para poder migrar contenido encriptado al nuevo servicio.

Para obtener más información sobre la migración de contenido, consulta Migra contenido encriptado a un servicio de claves nuevo.

Para quitar el servicio de claves secundario, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Servicio de claves externo, haz clic en el nombre del servicio de claves para el que deseas quitar el servicio de claves secundario.
  3. Haz clic en Quitar servicio de claves secundario.
  4. Marca las casillas en Para quitar el servicio de claves secundario, confirma que comprendes lo siguiente.
  5. Haz clic en Quitar servicio de claves secundario.

Inhabilita un servicio de claves que tenga un servicio de claves secundario

Puedes inhabilitar un servicio de claves si tiene asignado un servicio de claves secundario. Por ejemplo, es posible que desees inhabilitar un servicio de claves y usar su servicio de claves secundario si los usuarios tienen problemas para acceder al contenido encriptado o para encriptar contenido nuevo. Como el servicio de claves que deseas inhabilitar tiene un servicio de claves secundario, el contenido encriptado del cliente seguirá siendo accesible.

Para inhabilitar un servicio de claves y usar su servicio de claves secundario, haz lo siguiente:

  1. En la Consola del administrador de Google, ve a Menú y luego Datos y luego Cumplimiento y luego Encriptación del cliente.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. En Servicio de claves externo, haz clic en el nombre del servicio de claves para el que deseas quitar el servicio de claves secundario.
  3. Haz clic en Inhabilitar y usar el servicio de claves secundario.
  4. Marca las casillas en Si inhabilito esta opción, comprendo lo siguiente.
  5. Haz clic en Inhabilitar y usar el servicio de claves secundario.

Si tienes problemas con un servicio de claves

Los usuarios no pueden acceder al contenido encriptado

Es posible que haya un problema con la clave que se usa para desencriptar el contenido. Comunícate con tu servicio de claves para solicitar una URL nueva. Para obtener más información sobre cómo cambiar la URL de un servicio de claves, consulta Cambiar la URL de un servicio de claves más arriba.

O bien, si el servicio de claves tiene un servicio de claves secundario, intenta usarlo. Para obtener más información, consulta Inhabilita un servicio de claves que tenga un servicio de claves secundario más arriba.

Los usuarios no pueden encriptar contenido nuevo

Es posible que haya un problema con la clave que se usa para encriptar el contenido. Comunícate con tu servicio de claves actual para solicitar una URL nueva. Para obtener más información sobre cómo cambiar la URL de un servicio de claves, consulta Cambiar la URL de un servicio de claves más arriba.

Como alternativa, puedes probar lo siguiente:

Después de la migración al nuevo servicio de claves, los usuarios no pueden acceder al contenido encriptado ni encriptar contenido nuevo

Intenta usar el servicio de claves secundario. Para obtener más información, consulta Inhabilita un servicio de claves que tenga un servicio de claves secundario más arriba.

Si los usuarios aún no pueden acceder al contenido encriptado ni encriptar contenido nuevo, hay un problema con la clave secundaria. Comunícate con tu servicio de claves para obtener ayuda.