Solo Gmail: Configura S/MIME para la encriptación del cliente

Ediciones compatibles con esta función: Frontline Plus, Enterprise Plus, Education Standard y Education Plus. Comparar tu edición

Para usar S/MIME con la encriptación del cliente (CSE) de Google Workspace para Gmail, debes habilitar la API de Gmail y darle acceso a toda tu organización. Luego, para cada usuario, debes usar la API de Gmail para subir un certificado S/MIME (extensiones de correo de Internet de propósito múltiple/seguro) (clave pública) y metadatos de clave privada a Gmail. Si usas un servicio de claves de encriptación, también deberás encriptar (o "unir") los metadatos de la clave privada de los usuarios con tu servicio de claves.

En cualquier momento, puedes cambiar a otro servicio de claves subiendo nuevos certificados S/MIME y metadatos de claves privadas encriptados por tu nuevo servicio.

Requisitos

Para completar los pasos para configurar S/MIME para los usuarios, necesitas lo siguiente:

Privilegios de administrador avanzado para la cuenta de Google de tu organización, que necesitas para proporcionar acceso a todo el dominio a la API de Gmail
Acceso a las herramientas del servicio de claves de encriptación de tu organización o a su personal de asistencia
Experiencia de trabajo con APIs y secuencias de comandos de Python

Acerca de S/MIME

S/MIME es un protocolo estándar de la industria ampliamente aceptado para firmar y encriptar digitalmente mensajes de correo electrónico, lo que garantiza la integridad y la seguridad de los mensajes. La CSE de Gmail se basa en el estándar S/MIME 3.2 del IETF para enviar y recibir datos MIME seguros. S/MIME requiere que los remitentes y los destinatarios de los correos electrónicos tengan certificados X.509 que Gmail considere confiables.

Nota: Como alternativa, puedes usar S/MIME sin la capa adicional de encriptación y privacidad que proporciona la CSE. Usa esta alternativa solo si no necesitas evitar que los servidores de Google desencripten tus datos con la CSE. Para obtener más información, consulta Cómo activar S/MIME alojado para la encriptación de mensajes.

Antes de comenzar

Asegúrate de haber completado los siguientes pasos:

Elige un servicio de claves.
Conéctate a tu proveedor de identidad (IdP).
Configura tu servicio de claves externo o la encriptación de claves de hardware.
Asigna un servicio de claves o una encriptación de claves de hardware a unidades organizativas o grupos.

Si usas varios servicios de claves, asegúrate de que estén asignados a las unidades organizativas o los grupos de configuración adecuados.

Configura la API de Gmail

Nota: Para usar las APIs, se requieren conocimientos de programación.

Paso 1: Habilita la API de Gmail

Crea un nuevo proyecto de GCP: Para obtener más información, consulta Crea y administra proyectos.
Toma nota del ID del proyecto: Lo usarás para otorgar acceso a la API en todo el dominio.
Ve a la Consola de APIs de Google y habilita la API de Gmail para el proyecto nuevo. Para obtener más detalles, consulta Habilita una API en tu proyecto de Google Cloud.

Paso 2: Crea una cuenta de servicio para todo el dominio

En la consola de Google Cloud, ve a la página Cuentas de servicio y crea una cuenta de servicio para todo el dominio. Para obtener más información, consulta Crea y administra cuentas de servicio.
Crea una clave privada de cuenta de servicio y guárdala en un archivo JSON en tu sistema local, como svc_acct_creds.json. Este archivo contiene las credenciales que usarás cuando configures Gmail para los usuarios. Para obtener más información, consulta Crea y administra claves de cuentas de servicio.

Paso 3: Otorga acceso a todo el dominio de la API de Gmail

En este paso, usarás la cuenta de servicio que creaste para otorgar acceso de edición a la API de Gmail a todos tus usuarios.

Sigue las instrucciones para controlar el acceso a la API con la delegación de todo el dominio.
Cuando se te solicite, ingresa lo siguiente:
ID de cliente: Es el ID de cliente de la cuenta de servicio creada en el paso 2 anterior.

Permisos de OAuth: gmail.settings.readonly y cualquiera de los siguientes gmail.settings.basic o gmail.settings.sharing

Activa la CSE de Gmail para los usuarios

Activa la CSE para Gmail en las unidades organizativas o los grupos. Para obtener más información, consulta Cómo activar o desactivar la encriptación del cliente.

Nota: En el caso de las unidades organizativas, puedes configurar todos los correos electrónicos (redactar, responder y reenviar) para que se encripten de forma predeterminada. El usuario aún puede desactivar el cifrado si es necesario. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Configura los certificados S/MIME de la CSE para los usuarios

Después de configurar la API de Gmail y activar la CSE de Gmail para los usuarios en la Consola del administrador, puedes configurar los certificados S/MIME de la CSE y los metadatos de la clave privada para tus usuarios.

Paso 1: Prepara los certificados S/MIME y los metadatos de la clave privada

Para cada usuario que usará la CSE de Gmail para enviar o recibir correos electrónicos, haz lo siguiente:

Con una autoridad certificadora (CA), genera un par de claves públicas y privadas de S/MIME con una cadena de certificados. El certificado de hoja de S/MIME debe incluir la dirección principal de Gmail del usuario como nombre del sujeto o como sujeto de la extensión SAN.

Puedes realizar cualquiera de las siguientes acciones:

Usa un certificado raíz de CA en el que confíe Google: Para obtener una lista de los certificados raíz, consulta Certificados de CA en los que confía Gmail para S/MIME.
Usar una CA en la que Google no confía: Por ejemplo, para usar tu propia CA, puedes agregar su certificado raíz en la Consola del administrador. Para obtener más información, consulta Cómo administrar certificados de confianza para S/MIME.
Nota: Si usas una CA en la que Google no confía y los usuarios enviarán correos electrónicos encriptados del cliente fuera de tu organización, el destinatario también debe confiar en la CA.

Paso 2: Envuelve los metadatos de los certificados y la clave privada

Usa tu servicio de encriptación de claves para encriptar o “unir” los metadatos de las claves privadas de S/MIME. Comunícate con tu servicio de llaves para hacerlo o sigue las instrucciones que te proporcionen.

Si usas la encriptación con llave de hardware, asegúrate de omitir este paso y no encapsules los metadatos de la clave privada para los usuarios que usarán la encriptación con llave de hardware. En este caso, no es necesario encapsular los metadatos porque las claves privadas de los usuarios de Gmail residen en sus tarjetas inteligentes. Requiere tener el complemento de Assured Controls o Assured Controls Plus.

Paso 3: Sube los certificados S/MIME de los usuarios y los metadatos de la clave privada a Gmail

Usa la API de Gmail para subir la cadena de certificados S/MIME de clave pública y los metadatos de clave privada de cada usuario a Gmail, y crea una identidad para establecerlos como las claves preferidas de los usuarios.

Nota: Debes usar la API de Gmail para subir certificados, no el cliente de Gmail. Además, ten en cuenta que la capacidad de subir certificados desde el cliente de Gmail se inhabilita cuando activas la CSE para Gmail.

Completa los siguientes pasos para cada usuario con el archivo de claves privadas que descargaste cuando creaste una cuenta de servicio para todo el dominio para la autenticación:

Sube los metadatos de la cadena de certificados y la clave privada con la llamada a la API de Gmail keypairs.create.
Habilita el par de claves para la dirección de correo electrónico principal del usuario con la llamada a la API de Gmail identities.create.
La llamada a identities.create requiere el ID del par de claves que se muestra en el cuerpo de la respuesta de la llamada a keypairs.create.

Nota: Para habilitar el par de claves para la dirección de correo electrónico de un usuario, haz lo siguiente:
- Crea una identidad de CSE autorizada para enviar correos electrónicos desde la cuenta del usuario.
- Configura Gmail para que use los metadatos de la clave privada para firmar el correo electrónico saliente del CSE.
- Publica el certificado en un repositorio compartido en todo el dominio para que otros usuarios de la CSE de tu organización puedan encriptar los mensajes que se envían a este usuario.

Para completar estos pasos, usa una secuencia de comandos que interactúe con la API de Gmail. Puedes realizar cualquiera de las siguientes acciones:

Escribe tu propio guion.
Usa la secuencia de comandos de muestra de Python que proporciona Google. Para obtener instrucciones, consulta Cómo usar la secuencia de comandos de Python de Google para subir los certificados y las claves envueltas de los usuarios a Gmail más adelante en esta página.
Nota: Este código solo se aplica a los usuarios que usarán un servicio de claves para encriptar el contenido de Gmail. Para los usuarios que usarán el cifrado con clave de hardware, deberás crear una secuencia de comandos diferente para subir los metadatos de su clave privada sin envolver.

Después de subir los certificados, pueden tardar hasta 24 horas en estar disponibles en Gmail, aunque suele ser un proceso mucho más rápido.

(Opcional) Usa la secuencia de comandos de muestra de Python de Google para subir los certificados y las claves privadas encapsuladas de los usuarios a Gmail

Para completar el paso 3 anterior, puedes usar la secuencia de comandos de Python que proporciona Google en lugar de escribir tu propia secuencia de comandos.

Nota: Este script solicita los 3 permisos que puedes usar para otorgar acceso a toda la organización a la API de Gmail (mencionados anteriormente en esta página): gmail.settings.readonly, gmail.settings.basic y gmail.settings.sharing. Para usar la secuencia de comandos, puedes habilitar los tres permisos o quitar del script el permiso que no uses.

Descarga la secuencia de comandos

Descarga el paquete de secuencias de comandos de Python (.zip) en tu computadora (Mac, Linux o Windows) y extrae los archivos en tu directorio de trabajo.

Crea un entorno virtual y, luego, instala módulos

Desde una línea de comandos de tu directorio de trabajo, ingresa los siguientes comandos:

python3 -m venv cli_env

      source cli_env/bin/activate

      pip install -r requirements.txt

Invoca la secuencia de comandos

python cse_cmd.py -h

Cómo subir los certificados y las claves del usuario

Paso 1: Crea un directorio para almacenar todas las claves privadas encapsuladas

Por ejemplo, podrías crear el directorio $root/wrapped_keys.
El nombre de archivo de cada clave privada empaquetada debe ser la dirección de correo electrónico completa del usuario con la extensión .wrap. Por ejemplo: $root/wrapped_keys/user1@example.com.wrap.
Asegúrate de que el archivo de clave privada encapsulada tenga un objeto JSON con dos campos obligatorios:

{

      'kacls_url': 'url of the key service configured in the Admin console',

      'wrapped_private_key': 'wrapped private key bytes'

      }

Paso 2: Crea un directorio para almacenar todos los certificados

Los certificados deben estar en formato PEM P7, por lo que puedes crear el directorio $root/p7pem_certs.
Asegúrate de que el archivo de certificado contenga la cadena completa hasta la autoridad certificadora (CA) raíz.
El nombre de archivo de cada certificado debe ser la dirección de correo electrónico completa del usuario con la extensión .p7pem. Por ejemplo: $root/p7pem_certs/user1@example.com.p7pem.

Si tienes un archivo P7B, puedes usar el siguiente comentario de openssl para convertirlo al formato PEM de P7:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

Paso 3: Sube las identidades y los pares de claves de los usuarios

Para este paso, necesitarás el archivo JSON que contiene las credenciales de la cuenta de servicio, que guardaste en tu computadora en el paso 2: Crea una cuenta de servicio anterior.

La forma más sencilla de subir las identidades y los pares de claves de los usuarios es ejecutar el comando insert. Ten en cuenta que cada comando debe tener un argumento, por ejemplo:

python cse_cmd.py insert

      --creds $root/svc_acct_creds.json

      --inkeydir $root/wrapped_keys

      --incertdir $root/p7pem_certs

Como alternativa, puedes hacer lo siguiente para cada usuario:

Ejecuta insert_keypair y anota el ID del par de claves.
Ejecuta insert_identity con ese ID de par de claves.

También puedes obtener el ID del par de claves ejecutando el comando list_keypair.

Paso 4: Verifica que los usuarios tengan identidades y pares de claves de CSE

Ejecuta los siguientes comandos para cada usuario y asegúrate de que tengan identidades y pares de claves válidos en Gmail:

list_keypair

list_identity

Cómo cambiar a otro servicio de claves para la CSE de Gmail

Si quieres cambiar a otro servicio de claves para la CSE de Gmail, repite los pasos 2 y 3 de la sección Configura certificados S/MIME de la CSE para los usuarios que se encuentra más arriba y usa tu nuevo servicio de claves para encapsular las claves privadas.

Nota: Subir certificados nuevos para los usuarios no migra el contenido al nuevo servicio de claves. Sin embargo, los usuarios pueden seguir accediendo a los correos electrónicos encriptados con los certificados anteriores y los metadatos de la clave privada unidos por el servicio de claves anterior.

Migra mensajes a Gmail como correos electrónicos con encriptación del cliente

Ahora que CSE en Gmail está configurado, puedes importar mensajes de forma opcional. Para obtener más información, consulta Cómo migrar mensajes a Gmail como correos electrónicos con encriptación del cliente.