Añadir y gestionar servicios de claves para el cifrado por parte del cliente

Ediciones compatibles con esta función: Enterprise Plus y Education Standard y Education Plus. Comparar ediciones

Si has configurado tu servicio de claves externo para utilizar el cifrado del lado del cliente (CLC) de Google Workspace, tendrás que añadirlo a tu consola de administración. De esta forma, Google Workspace se conectará al servicio para que pueda cifrar el contenido con tus claves de cifrado.

Para obtener más información sobre los servicios de claves externos, consulta el artículo Configurar el servicio de claves para el cifrado del lado del cliente.

Si es necesario, puedes añadir varios servicios de claves; por ejemplo, para migrar contenido cifrado de un servicio de claves a otro o para asignar servicios de claves diferentes a usuarios específicos.

Nota: Con el CLC de Gmail, puedes usar claves de cifrado de hardware en lugar de un servicio de claves. Requires having the Assured Controls or Assured Controls Plus add-on. Para obtener más información, consulta el artículo Solo Gmail: configurar y gestionar el cifrado de claves de hardware

Añadir un servicio de claves

Abrir sección  |  Ocultar todo

Antes de empezar

Si vas a añadir tu primer servicio de claves

Aparecerá un mensaje para recordarte que debes asignar un servicio de claves predeterminado a la unidad organizativa de nivel superior. Puedes hacerlo en cualquier momento para asegurarte de que el cifrado esté disponible para todos los usuarios que necesiten cifrar o descifrar contenido. Consulta más información en el artículo Asignar el servicio de claves predeterminado a una organización.

Si añades un segundo servicio de claves

Tendrás que convertir el servicio que tengas en el servicio de repuesto. El servicio de repuesto cifra el mismo contenido que el segundo servicio de claves y es necesario si quieres migrar contenido cifrado al segundo servicio. Para obtener más información, consulta la sección Acerca del servicio de claves de repuesto más abajo.

Si ya tienes al menos dos servicios de claves y vas a añadir otro

Tendrás que quitar el servicio de repuesto del servicio principal actual y, a continuación, elegir un repuesto para el nuevo servicio. También puedes añadir el nuevo servicio sin copia de seguridad. Consulta más información en la sección Añadir un servicio de claves nuevo cuando otro servicio tiene un repuesto, incluida más abajo.

Diseña un estándar para la nomenclatura de los distintos servicios de claves

Define un estándar para la nomenclatura, de forma que puedas identificar fácilmente los servicios de claves, así como los servicios y los usuarios a los que se aplicarán. Por ejemplo, puedes ponerles un nombre que indique la región, la unidad organizativa y el servicio de claves:

  • NORTAM-IDI-Servicio-claves1
  • EUROPA-RH-Servicio-claves2
Acerca del servicio de claves de repuesto
Si añades más de un servicio de claves a la consola de administración, uno de ellos debe ser el repuesto de otro servicio.

El servicio de repuesto se utiliza para migrar contenido

Si quieres migrar contenido cifrado a un nuevo servicio de claves, es decir, volver a cifrar el contenido que se ha cifrado con tu servicio actual, debes hacer que este sea el repuesto de tu nuevo servicio. Como el servicio de claves de repuesto cifra el mismo contenido que el servicio principal, el de repuesto asegura que el contenido siga estando disponible si surge algún problema durante su migración. Para obtener más información sobre la migración, consulta el artículo Migrar contenido cifrado a un nuevo servicio de claves.
Importante: Solo puedes tener un único servicio de claves si usas un servicio de claves de repuesto.

Excepción para el CPC de Gmail

Si añades un servicio de claves nuevo y haces que tu servicio actual pase a ser el de respuesto mediante la consola de administración, solo el servicio de repuesto cifrará los correos, no el nuevo servicio de claves. Si quieres cambiar de servicio de claves para Gmail, tendrás que usar la API de Gmail para subir nuevos certificados y los metadatos de las claves privadas encapsuladas por el nuevo servicio. Para obtener más información sobre cómo cambiar a otro servicio de claves para Gmail, consulta el artículo Cambiar a otro servicio de claves para el CLC de Gmail.
Añadir un servicio de claves externo

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Cifrado con servicio de claves externo, realiza una de las siguientes acciones:
    • Si es el primer servicio de claves que vas a añadir, haz clic en Añadir servicio de claves externo.
    • Si quieres añadir otro servicio de claves, haz clic en Añadir.
  4. Introduce la siguiente información del servicio de claves con el que te hayas registrado (o que hayas creado con la API de CLC):

    Nombre: introduce el nombre que quieras. Este nombre será el que aparezca en algunos mensajes enviados a los usuarios si Google Workspace no puede acceder al servicio de claves externo. Así, sabrán que el problema está en el servicio de cifrado y no en el servicio de Google que usan.

    URL: tu servicio de claves te proporciona esta URL. Antes de introducir la URL, comprueba que se puede acceder a ella desde Internet.

  5. Si has añadido un segundo servicio de claves, haz clic en Seleccionar clave de repuesto y selecciona un servicio de claves de repuesto disponible. De este modo, puedes migrar contenido cifrado al nuevo servicio de claves.

    Para obtener más información sobre cómo migrar contenido a un nuevo servicio de claves, consulta el artículo Asignar servicios de claves para el cifrado del lado del cliente.

  6. Si ya tienes al menos dos servicios de claves y has añadido otro, elige si quieres añadir el nuevo servicio de claves sin repuesto. Para obtener más información sobre las opciones disponibles, consulta la sección Añadir un servicio de claves nuevo cuando otro servicio tiene un repuesto, incluida más abajo.

    Si quieres cerrar el cuadro de diálogo Añadir servicio de claves externo sin elegir una opción, haz clic en Cancelar.

  7. Para asegurarte de que Google Workspace puede comunicarse con el servicio de claves externo, haz clic en Probar conexión.
  8. Si la conexión se establece correctamente, en la esquina inferior derecha de la página, haz clic en Añadir o Añadir servicio.

Si es el primer servicio de claves que has añadido:

Añadir un servicio de claves nuevo cuando otro servicio tiene un repuesto

Si ya has añadido al menos dos servicios de claves a la consola de administración, uno de ellos es el repuesto del otro. Si añades otro servicio de claves, no podrás elegir un servicio de repuesto para él, ya que un servicio de claves solo puede tener un repuesto al mismo tiempo. Por tanto, a la hora de añadir el nuevo servicio de claves, deberás elegir una opción, según cómo quieras usarlo.

Para pasar de utilizar un servicio de claves a otro nuevo 

Cuando añadas un nuevo servicio de claves, selecciona la opción Eliminar el repuesto de servicio de claves y, a continuación, haz clic en Eliminar repuesto.

Ahora puedes añadir el nuevo servicio de claves y elegir otro de repuesto. Después, podrás migrar el contenido cifrado al nuevo servicio de claves. Consulta más información en el artículo Migrar contenido cifrado a un nuevo servicio de claves.

Recomendación: Elige esta opción solo si el servicio de claves actual no tiene problemas con el cifrado del contenido. Además, si el servicio de claves de repuesto se utiliza para migrar contenido a tu servicio principal actual, asegúrate de que se ha completado la migración. Cuando quites el repuesto, la migración se detendrá de inmediato. Consulta más información en el artículo Migrar contenido cifrado a un nuevo servicio de claves.

Para usar el nuevo servicio de claves sin migrar datos cifrados 

Cuando añadas un servicio de claves nuevo, selecciona la opción Añadir servicio de claves sin repuesto y, a continuación, haz clic en Añadir servicio.

Recomendación: Elige esta opción solo si quieres utilizar este servicio de claves en una unidad organizativa o en un grupo que aún no tenga contenido cifrado por otro servicio de claves. Si el contenido ya está cifrado, deberás conservar el servicio de claves actual para asegurarte de que se pueda acceder al contenido cifrado.

Editar un servicio de claves

Abrir sección  |  Ocultar todo

Cambiar el nombre de un servicio de claves

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Servicio de claves externo, haz clic en el nombre del servicio de claves que quieras editar.
  4. Cambia el nombre del servicio de claves.
  5. Haz clic en Continuar.
Cambiar la URL de un servicio de claves

Para hacer esta tarea, tienes que haber iniciado sesión como superadministrador.

Si tus usuarios tienen problemas para acceder a contenido cifrado con un servicio de claves, solicita una nueva URL de cifrado al servicio de claves. A continuación, sustituye la URL anterior por la nueva en la consola de administración para que los usuarios puedan recuperar su contenido.

Si los usuarios no pueden cifrar nuevo contenido con un servicio de claves, puedes probar a asignar otro servicio a las organizaciones o los grupos que tengan problemas.

Si sustituyes una URL por otra de un servicio de claves diferente: no se podrán descifrar los archivos que ya estén cifrados con el servicio de claves anterior y los usuarios no podrán acceder a su contenido. 

Para cambiar la URL de un servicio de claves, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Servicio de claves externo, haz clic en el nombre del servicio cuya URL quieres cambiar.
  4. Haz clic en ¿Tienes problemas?y luegoAñadir una nueva URL.
  5. Para asegurarte de que Google Workspace puede comunicarse con el servicio de claves externo, haz clic en Probar conexión.
  6. Si la conexión se establece correctamente, en la esquina inferior derecha de la página, haz clic en Continuar.
Quitar el repuesto de un servicio de claves

Te recomendamos que quites el servicio de claves de repuesto de otro servicio de claves en los siguientes casos:

  • Ya no lo necesitas para migrar el contenido. 
  • Quieres añadir otro servicio de claves y tienes que elegir un servicio de repuesto para poder migrar el contenido cifrado al servicio nuevo.

Para obtener más información sobre la migración, consulta el artículo Migrar contenido cifrado a un nuevo servicio de claves.

Para quitar el servicio de claves de repuesto, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Servicio de claves externo, haz clic en el nombre del servicio de claves cuyo repuesto quieras eliminar.
  4. Haz clic en Eliminar repuesto.
  5. Marca las casillas situadas bajo la opción Para eliminar un repuesto, confirma que eres consciente de lo siguiente.
  6. Haz clic en Eliminar repuesto.
Inhabilitar un servicio de claves que tiene repuesto

Puedes inhabilitar un servicio de claves si tiene asignado un servicio de claves de repuesto. Por ejemplo, puedes inhabilitar un servicio de claves y utilizar su repuesto si los usuarios tienen problemas para acceder al contenido cifrado o para cifrar contenido nuevo. Como el servicio de claves que quieres inhabilitar tiene un repuesto, se podrá seguir accediendo al contenido cifrado por parte del cliente.

Para inhabilitar un servicio de claves y usar su repuesto en su lugar, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Inicia sesión con una cuenta que tenga privilegios de superadministrador (y que no termine en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Seguridady luegoAcceso y control de datosy luegoCifrado por parte del cliente.
  3. En Servicio de claves externo, haz clic en el nombre del servicio de claves cuyo repuesto quieras eliminar.
  4. Haz clic en Inhabilitar y usar repuesto.
  5. Marca las casillas situadas bajo la opción Al inhabilitarlo, entiendo lo siguiente.
  6. Haz clic en Inhabilitar y usar repuesto.

Si tienes problemas con un servicio de claves

Abrir sección  |  Ocultar todo

Los usuarios no pueden acceder al contenido cifrado
Es posible que haya un problema con la clave que se utiliza para descifrar contenido. Ponte en contacto con el servicio de claves para solicitar una URL nueva. Para obtener más información sobre cómo cambiar la URL de un servicio de claves, consulta la sección Cambiar la URL de un servicio de claves, incluida más arriba.
Si el servicio de claves tiene un servicio de repuesto, prueba a usar el repuesto en su lugar. Para obtener más información, consulta la sección Inhabilitar un servicio de claves que tiene repuesto, incluida más arriba.
Los usuarios no pueden cifrar contenido nuevo

Es posible que haya un problema con la clave que se utiliza para cifrar contenido. Ponte en contacto con el servicio de claves para solicitar una URL nueva. Para obtener más información sobre cómo cambiar la URL de un servicio de claves, consulta la sección Cambiar la URL de un servicio de claves, incluida más arriba.

También puedes probar lo siguiente:

Después de migrar a un nuevo servicio de claves, los usuarios no pueden acceder al contenido cifrado ni cifrar contenido nuevo

Prueba a usar el servicio de claves de repuesto. Consulta más información en la sección Inhabilitar un servicio de claves que tiene repuesto, incluida más arriba.

Si los usuarios siguen sin poder acceder al contenido cifrado ni cifrar contenido nuevo, hay un problema con la clave de repuesto. Ponte en contacto con tu servicio de claves para obtener ayuda.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal