Nur Gmail: Verschlüsselungsschlüssel für die clientseitige Verschlüsselung hochladen

Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Standard und Education Plus.  G Suite-Versionen vergleichen

Wenn Sie die Google Workspace verwenden möchten, müssen Sie die Gmail API aktivieren und ihr Zugriff auf Ihre gesamte Organisation gewähren. Anschließend müssen Sie für jeden Nutzer die Gmail API verwenden, um ein S/MIME-Zertifikat (Secure/Multipurpose Internet Mail Extensions) (öffentlicher Schlüssel) und Metadaten für den privaten Schlüssel in Gmail hochzuladen. Wenn Sie einen Schlüsseldienst für die Verschlüsselung verwenden, müssen Sie auch die Metadaten des privaten Schlüssels der Nutzer mit diesem Schlüsseldienst verschlüsseln (oder „verpacken“).

Sie können jederzeit zu einem anderen Schlüsseldienst wechseln, indem Sie neue S/MIME-Zertifikate und Metadaten des privaten Schlüssels hochladen, die mit dem neuen Dienst verschlüsselt wurden.

S/MIME

S/MIME ist ein für die digitale Signatur und Verschlüsselung von E-Mails weit verbreitetes Protokoll nach Branchenstandard und sorgt für die Integrität und Sicherheit von Nachrichten. Die clientseitige Verschlüsselung in Gmail basiert auf dem S/MIME 3.2-IETF-Standard, um sichere MIME-Daten zu senden und zu empfangen. Für S/MIME müssen die X.509‑Zertifikate der E‑Mail‑Absender und ‑Empfänger von Gmail als vertrauenswürdig eingestuft werden.

Hinweis: Alternativ können Sie S/MIME ohne die zusätzlichen Verschlüsselungs- und Datenschutzoptionen der clientseitigen Verschlüsselung verwenden. Verwenden Sie diese Alternative nur, wenn Sie nicht verhindern müssen, dass die Google-Server Ihre Daten mit der clientseitigen Verschlüsselung entschlüsseln. Weitere Informationen finden Sie im Hilfeartikel Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren.

Hinweise

Gehen Sie so vor:

  1. Wählen Sie einen Schlüsseldienst aus.
  2. Stellen Sie eine Verbindung zu Ihrem Identitätsanbieter (Identity Provider, IdP) her.
  3. Richten Sie Ihren externen Schlüsseldienst oder die Verschlüsselung mit Hardwareschlüsseln ein.
  4. Weisen Sie Organisationseinheiten oder Gruppen einen Schlüsseldienst oder eine Hardwareschlüsselverschlüsselung zu.

    Wenn Sie mehrere Schlüsseldienste verwenden, achten Sie darauf, dass sie den entsprechenden Organisationseinheiten oder Konfigurationsgruppen zugewiesen sind. 

Gmail API einrichten

Hinweis: Für die Verwendung der APIs sind Programmierkenntnisse erforderlich.

Abschnitt öffnen  |  Alle minimieren

Schritt 1: Gmail API aktivieren
  1. Erstellen Sie ein neues GCP-Projekt. Weitere Informationen finden Sie unter Projekte erstellen und verwalten.

    Notieren Sie sich die Projekt-ID: Mit dieser gewähren Sie der API den domainweiten Zugriff.

  2. Aktivieren Sie über die Google API Console im neuen Projekt die Gmail API. Weitere Informationen finden Sie unter API im Google Cloud-Projekt aktivieren.
Schritt 2: Domainweites Dienstkonto erstellen
  1. Rufen Sie in der Google Cloud Console die Seite Dienstkonten auf und erstellen Sie ein domainweites Dienstkonto. Weitere Informationen finden Sie unter Dienstkonten erstellen und verwalten.
  2. Erstellen Sie einen privaten Dienstkontoschlüssel und speichern Sie ihn in einer JSON-Datei in Ihrem lokalen System, z. B. svc_acct_creds.json. Diese Datei enthält die Anmeldedaten, die Sie bei der Einrichtung von Gmail für Nutzer verwenden. Weitere Informationen finden Sie unter Dienstkontoschlüssel erstellen und verwalten.
Schritt 3: Domainzugriff für die Gmail API gewähren

In diesem Schritt verwenden Sie das von Ihnen erstellte Dienstkonto, um allen Nutzern Bearbeitungszugriff auf die Gmail API zu gewähren. 

  1. Folgen Sie der Anleitung unter Zugriff auf die API mit domainweiter Delegierung verwalten.
  2. Wenn Sie dazu aufgefordert werden, geben Sie Folgendes ein:

    Client-ID des Dienstkontos aus Schritt 2

    OAuth-Zugriffsbereich: gmail.settings.basic

Gmail-CSE für Nutzer aktivieren

Aktivieren Sie die clientseitige Verschlüsselung in Gmail für die Organisationseinheiten oder Gruppen. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung aktivieren oder deaktivieren.

Hinweis: Für Organisationseinheiten können Sie festlegen, dass alle E-Mails (Verfassen, Antworten und Weiterleiten) standardmäßig verschlüsselt werden. Nutzer können die Verschlüsselung bei Bedarf weiterhin deaktivieren. Requires having the Assured Controls add-on. 

CSE-S/MIME-Zertifikate für Nutzer einrichten

Nachdem Sie die Gmail API eingerichtet und die Gmail-CSE für Nutzer in der Admin-Konsole aktiviert haben, können Sie für Ihre Nutzer CSE-S/MIME-Zertifikate und Metadaten für private Schlüssel einrichten. 

Abschnitt öffnen  |  Alle minimieren

Schritt 1: S/MIME-Zertifikate und Metadaten des privaten Schlüssels vorbereiten

Für jeden Nutzer, der die clientseitige Verschlüsselung in Gmail zum Senden oder Empfangen von E-Mails verwendet:

Generieren Sie mithilfe einer Zertifizierungsstelle ein öffentliches/privates S/MIME-Schlüsselpaar mit einer Zertifikatskette. Das untergeordnete S/MIME-Zertifikat muss die primäre Gmail-Adresse des Nutzers als Betreffnamen oder Betreff der SAN-Erweiterung enthalten.

Sie haben folgende Möglichkeiten:

  • Ein Root-Zertifikat einer von Google als vertrauenswürdig eingestuften Zertifizierungsstelle verwenden: Eine Liste mit vertrauenswürdigen CA-Zertifikaten für S/MIME in Gmail finden Sie hier.
  • Eine Zertifizierungsstelle verwenden, die von Google nicht als vertrauenswürdig eingestuft wurde: Wenn Sie beispielsweise eine eigene Zertifizierungsstelle verwenden möchten, können Sie das Root-Zertifikat in der Admin-Konsole hinzufügen. Weitere Informationen finden Sie im Hilfeartikel Vertrauenswürdige Zertifikate für S/MIME verwalten.

    Hinweis: Wenn Sie eine Zertifizierungsstelle verwenden, die von Google nicht als vertrauenswürdig eingestuft wurde, und Nutzer clientseitig verschlüsselte E-Mails außerhalb Ihrer Organisation senden, muss auch der Empfänger dieser Zertifizierungsstelle vertrauen.

Schritt 2: Zertifikate und Metadaten des privaten Schlüssels verpacken

Verwenden Sie Ihren Schlüsseldienst, um die Metadaten der privaten S/MIME-Schlüssel zu verschlüsseln oder zu „verpacken“. Wenden Sie sich dafür an Ihren Schlüsseldienst oder folgen Sie der darin enthaltenen Anleitung.

Wenn Sie die Hardwareschlüsselverschlüsselung verwenden: Überspringen Sie diesen Schritt und verpacken Sie keine Metadaten des privaten Schlüssels für Nutzer, die die Hardwareschlüsselverschlüsselung verwenden. In diesem Fall ist das Verpacken der Metadaten nicht erforderlich, da sich die privaten Schlüssel für Gmail auf den Smartcards der Nutzer befinden.   Requires having the Assured Controls add-on.

Schritt 3: S/MIME-Zertifikate und Metadaten des privaten Schlüssels der Nutzer in Gmail hochladen

Verwenden Sie die Gmail API, um die S/MIME-Zertifikatskette des öffentlichen Schlüssels und die Metadaten des privaten Schlüssels für jeden Nutzer in Gmail hochzuladen und sie als bevorzugte Schlüssel für die Nutzer festzulegen. Dazu erstellen Sie eine Identität.

Führen Sie für jeden Nutzer die folgenden Schritte aus. Verwenden Sie dabei die private Schlüsseldatei, die Sie beim Erstellen eines domainweiten Dienstkontos für die Authentifizierung heruntergeladen haben:

  1. Laden Sie die Metadaten der Zertifikatskette und des privaten Schlüssels über den Gmail-API-Aufruf keypairs.create hoch.
  2. Aktivieren Sie das Schlüsselpaar für die primäre E-Mail-Adresse des Nutzers über den Gmail API-Aufruf identities.create.

    Für den Aufruf identities.create ist die Schlüsselpaar-ID erforderlich, die im Antworttext des Aufrufs keypairs.create zurückgegeben wird.

    Hinweis:So aktivieren Sie das Schlüsselpaar für die E-Mail-Adresse eines Nutzers:

    • Erstellt eine CSE-Identität, die berechtigt ist, E-Mails über das Konto des Nutzers zu senden.
    • In Gmail wird die Verwendung der Metadaten des privaten Schlüssels zum Signieren ausgehender clientseitig verschlüsselter E-Mails konfiguriert.
    • Damit wird das Zertifikat in einem gemeinsamen domainweiten Repository veröffentlicht, damit andere CSE-Nutzer in Ihrer Organisation Nachrichten verschlüsseln können, die an diesen Nutzer gesendet werden.

Verwenden Sie für diese Schritte ein Script, das mit der Gmail API interagiert. Sie haben folgende Möglichkeiten:

  • Schreiben Sie Ihr eigenes Script.
  • Verwenden Sie das von Google bereitgestellte Python-Beispielskript. Eine Anleitung dazu finden Sie unten im Abschnitt Python-Script von Google verwenden, um Zertifikate und verpackte Schlüssel von Nutzern in Gmail hochzuladen.

    Hinweis: Dieses Script gilt nur für Nutzer, die einen Schlüsseldienst verwenden, um Gmail-Inhalte zu verschlüsseln. Für alle Nutzer, die die Hardwareschlüsselverschlüsselung verwenden, müssen Sie ein anderes Script erstellen, um die Metadaten des entpackten privaten Schlüssels hochzuladen.

Nachdem Sie die Zertifikate hochgeladen haben, kann es bis zu 24 Stunden dauern, bis sie in Gmail verfügbar sind. In der Regel geht es aber schneller. 

Optional: Python-Beispielskript von Google verwenden, um Zertifikate von Nutzern und verpackte private Schlüssel in Gmail hochzuladen

Um Schritt 3 oben abzuschließen, können Sie das von Google bereitgestellte Python-Script verwenden, anstatt Ihr eigenes Script zu schreiben. 

Script herunterladen

Laden Sie das Python-Skriptpaket (.zip) auf Ihren Computer (Mac, Linux oder Windows) herunter und extrahieren Sie die Dateien in Ihr Arbeitsverzeichnis.

Virtuelle Umgebung erstellen und Module installieren

Geben Sie über eine Befehlszeile aus Ihrem Arbeitsverzeichnis die folgenden Befehle ein:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Script aufrufen

python cse_cmd.py -h

Zertifikate und Schlüssel des Nutzers hochladen

Schritt 1: Verzeichnis zum Speichern aller verpackten privaten Schlüssel erstellen

  • Beispiel: Sie erstellen das Verzeichnis $root/wrapped_keys.
  • Der Dateiname für jeden verpackten privaten Schlüssel muss die vollständige E-Mail-Adresse des Nutzers mit der Erweiterung .wrap sein. Beispiel: $root/wrapped_keys/user1@example.com.wrap
  • Achten Sie darauf, dass die verpackte private Schlüsseldatei ein JSON-Objekt mit zwei Pflichtfeldern enthält:
{
'kacls_url': 'URL des in der Admin-Konsole konfigurierten Schlüsseldienstes',
'wrap_private_key': 'Byte des verpackten privaten Schlüssels'
}

  Schritt 2: Verzeichnis zum Speichern aller Zertifikate erstellen

  • Zertifikate müssen im P7-PE-Format vorliegen. Erstellen Sie also das Verzeichnis $root/p7pem_certs.
  • Die Zertifikatdatei muss die vollständige Kette zur Stammzertifizierungsstelle enthalten. 
  • Der Dateiname jedes Zertifikats muss die vollständige E-Mail-Adresse des Nutzers mit der Erweiterung .p7pem sein. Beispiel: $root/p7pem_certs/user1@example.com.p7pem

Wenn Sie eine P7B-Datei haben, können Sie sie mit dem folgenden openssl-Kommentar in das P7-PEM-Format konvertieren:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

Schritt 3: Schlüsselpaare und Identitäten der Nutzer hochladen

Für diesen Schritt benötigen Sie die JSON-Datei mit den Anmeldedaten für das Dienstkonto, das Sie oben in Schritt 2: Dienstkonto erstellen auf Ihrem Computer gespeichert haben. 

Am einfachsten lassen sich die Schlüsselpaare und Identitäten der Nutzer mit dem Befehl insert hochladen. Beachten Sie, dass jeder Befehl ein Argument haben muss. Beispiel:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

Alternativ können Sie für jeden Nutzer Folgendes tun:

  1. Führen Sie insert_keypair aus und notieren Sie sich die Schlüsselpaar-ID.
  2. Führen Sie insert_identity mit dieser Schlüsselpaar-ID aus.

Sie können die Schlüsselpaar-ID auch mit dem Befehl list_keypair abrufen.

Schritt 4: Prüfen, ob Nutzer CSE-Schlüsselpaare und Identitäten haben

Prüfen Sie, ob Nutzer in Gmail gültige Schlüsselpaare und Identitäten haben. Führen Sie dazu für jeden Nutzer die folgenden Befehle aus:

list_keypair

list_identity

Zu einem anderen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail wechseln

Wenn Sie zu einem anderen Schlüsseldienst für die clientseitige Verschlüsselung in Gmail wechseln möchten, wiederholen Sie die Schritte 2 und 3 unter Gmail-CSE für Nutzer einrichten. Verwenden Sie dabei den neuen Schlüsseldienst zum Verpacken der privaten Schlüssel.

Hinweis: Durch den Upload neuer Zertifikate für Nutzer werden die Inhalte nicht zum neuen Schlüsseldienst migriert. Nutzer können jedoch weiterhin auf E-Mails zugreifen, die mit den vorherigen Zertifikaten verschlüsselt und deren Metadaten der privaten Schlüssel mit dem alten Schlüsseldienst verpackt wurden.

Nachrichten als clientseitig verschlüsselte E-Mails zu Gmail migrieren

Nachdem die clientseitige Verschlüsselung in Gmail eingerichtet ist, können Sie optional Nachrichten importieren. Weitere Informationen finden Sie im Hilfeartikel Nachrichten als clientseitig verschlüsselte E-Mails zu Gmail migrieren.

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
11934500426787061728
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false