Gestire i certificati attendibili per S/MIME (avanzato)

Versioni supportate per questa funzionalità: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade ed Education PlusConfronta la tua versione

La crittografia S/MIME ospitata e la crittografia lato client sono funzionalità di Google Workspace che consentono agli utenti di inviare e ricevere messaggi email S/MIME.

Google fornisce i requisiti dei certificati e i certificati CA attendibili per la crittografia S/MIME. Se i tuoi certificati non soddisfano questi requisiti, potresti notare che determinati messaggi non sono attendibili. Per risolvere il problema, puoi accettare altri certificati radice provenienti da autorità di certificazione (CA) radice attendibili.

Per accettare un certificato radice aggiuntivo, aggiungilo nella Console di amministrazione Google. Quindi, indica almeno un dominio a cui si applica. Facoltativamente, puoi anche modificare il livello di crittografia e il profilo di convalida del certificato.

Per la procedura dettagliata per attivare S/MIME in Google Workspace, vedi Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi. Per saperne di più sulla crittografia lato client, consulta Informazioni sulla crittografia lato client.

In questa pagina

Linee guida per i certificati radice

Per poter essere utilizzati con S/MIME in Google Workspace, i certificati radice devono soddisfare queste linee guida:

  • Il certificato deve essere in formato .pem e contiene un solo certificato radice.
  • La catena di certificati deve includere almeno un certificato intermedio.
  • Ogni catena di certificati deve avere un certificato per l'utente finale. Se non è incluso, Google esegue verifiche limitate.
  • Il certificato dell'utente finale non deve includere la chiave privata.

Importante: la catena deve includere almeno un certificato di una CA intermedia. Questo significa che l'entità radice non deve emettere direttamente il certificato dell'entità finale

Cambiare il dominio per un certificato radice

Non puoi modificare la data di scadenza di un certificato o modificarlo per sostituirlo. Devi eliminare il certificato e caricarne uno nuovo. L'eliminazione di un certificato radice non influirà sui certificati degli utenti finali già caricati.

Per cambiare il dominio per un certificato radice:

  1. Nella Console di amministrazione Google, vai all'impostazione S/MIME nella scheda Impostazioni utente.
  2. Nell'elenco dei certificati radice aggiuntivi, seleziona il certificato da modificare e fai clic su Modifica
  3. Aggiorna il dominio e fai clic su Salva.

Eliminare un certificato radice

Per eliminare un certificato radice:

  1. Nella Console di amministrazione Google, vai all'impostazione S/MIME nella scheda Impostazioni utente.
  2. Nella tabella dei certificati radice aggiuntivi, seleziona il certificato da modificare e fai clic su Elimina

Utilizzare certificati diversi per la firma e la crittografia

Questa funzionalità è disponibile solo con CSE. Non è supportata con la crittografia S/MIME ospitata.

In genere, le organizzazioni utilizzano un singolo certificato sia per la firma che per la crittografia dei messaggi. Tuttavia, se la tua organizzazione richiede certificati diversi per la firma e la crittografia dei messaggi, puoi utilizzare l'API Client-side encryption di Gmail per caricare il certificato pubblico di crittografia e il certificato pubblico della firma per ogni utente.

Scopri di più sull'utilizzo dell'API Gmail di crittografia lato client per gestire i certificati utente.

Scambiare messaggi S/MIME tra domini

Per consentire agli utenti di domini diversi di scambiare messaggi S/MIME, potrebbe essere necessario eseguire alcuni passaggi aggiuntivi nella Console di amministrazione Google. Segui i passaggi consigliati qui, in base a come vengono emessi i certificati utente per il dominio.

  • Entrambi i certificati utente del dominio emessi da una CA radice attendibile: quando tutti i certificati utente in entrambi i domini sono emessi da una CA radice attendibile da Google, senza eseguire ulteriori passaggi. Questi certificati CA radice sono sempre considerati attendibili da Gmail.
  • Entrambi i certificati utente del dominio emessi dalla stessa CA radice non attendibile: in questo caso, un'autorità di certificazione radice non attendibile ha emesso i certificati utente per il tuo dominio e per il dominio con cui vuoi scambiare S/MIME.

    Aggiungi la CA radice non attendibile alla Console di amministrazione Google, seguendo i passaggi descritti in Attivare la crittografia S/MIME ospitata. Nella casella Aggiungi certificato radice, inserisci l'altro dominio nel campo Elenco indirizzi.

  • Problemi relativi ai certificati utente di un dominio da parte di una CA radice non attendibile: in questo caso, i certificati utente di un dominio vengono emessi da una CA radice non attendibile. I certificati utente dell'altro dominio vengono emessi da un'altra CA radice.

    Aggiungi la CA radice dell'altro dominio alla Console di amministrazione Google, seguendo i passaggi descritti in Attivare la crittografia S/MIME ospitata. Nella casella Aggiungi certificato radice, inserisci l'altro dominio nel campo Elenco indirizzi

Utilizzare solo quando necessario

Utilizza le opzioni del certificato in questa sezione solo quando necessario e assicurati di comprendere i possibili impatti quando le utilizzi. Consentire mancata corrispondenza del certificato (non consigliato)

A volte, l'indirizzo email associato al certificato di un utente potrebbe essere diverso dall'indirizzo email principale dell'utente. Ad esempio, nel certificato di Brandon Pham viene utilizzato l'indirizzo email b.pham@solarmora.com, mentre Brandon utilizza l'indirizzo brandon.pham@solarmora.com per la maggior parte delle email di lavoro. Questa situazione rappresenta una mancata corrispondenza dei certificati.

Importante: per motivi di sicurezza, Google consiglia di consentire la mancata corrispondenza dei certificati solo quando questa funzionalità è richiesta dalla tua organizzazione. Quando questa opzione è attiva, gli utenti e gli amministratori non riceveranno un avviso in caso di mancata corrispondenza del certificato, che potrebbe essere causata da un utente non autorizzato o dannoso.

L'opzione Consentire la mancata corrispondenza del certificato è disponibile solo con la crittografia lato client e non con la crittografia S/MIME ospitata. Per configurare la crittografia lato client in modo da consentire la mancata corrispondenza dei certificati, seleziona l'opzione di mancata corrispondenza dei certificati quando aggiungi certificati radice nell'impostazione S/MIME ospitata. Consulta i passaggi dettagliati per aggiungere certificati radice.

Se è selezionata l'opzione Consenti la mancata corrispondenza del certificato, i destinatari possono decriptare e leggere i messaggi in arrivo con una mancata corrispondenza di certificato. Anche i messaggi precedenti con una mancata corrispondenza del certificato (ricevuti prima dell'attivazione dell'impostazione) possono essere decrittografati e letti. Tuttavia, l'indirizzo email associato al certificato dell'utente non viene salvato nei contatti del destinatario. Per sincronizzare e salvare gli indirizzi email, utilizza Google Cloud Directory Sync.

L'opzione Consentire la mancata corrispondenza del certificato funziona solo per i contatti interni o i contatti sincronizzati con GCDS. Non funziona per i contatti esterni.

Consentire SHA-1 (non consigliato)

Sebbene alcuni client di posta consentano le firme con hash SHA-1, queste firme sembrano non attendibili. Questo perché l'algoritmo SHA-1 è stato ritirato a causa di problemi di sicurezza. 

Quando aggiungi un nuovo certificato radice all'impostazione S/MIME, seleziona l'opzione Consenti SHA-1 globalmente solo se:

  • La tua organizzazione comunica utilizzando la funzione di hash crittografica SHA-1 per la sicurezza dei messaggi S/MIME e
  • Vuoi che queste comunicazioni vengano visualizzate come attendibili.

Quando questa opzione è selezionata, Gmail considera attendibili i certificati S/MIME allegati alla posta in entrata con SHA-1.

Risolvere i problemi di caricamento dei certificati

Se hai problemi a caricare i certificati, esamina queste possibili cause e prova le soluzioni consigliate:

Il certificato non soddisfa i requisiti minimi per essere considerato attendibile.

Verifica che il certificato non sia autofirmato, che non sia stato revocato e che la lunghezza della chiave sia pari o superiore a 1024 bit. Quindi, prova a ricaricare.

Modifica il certificato per cambiare i domini nell'elenco di indirizzi. Ad esempio, se hai caricato certificati personalizzati e i messaggi vengono ancora considerati non attendibili, prova a modificare l'elenco dei domini consentiti del certificato.

La firma del certificato non è valida 

Verifica che il certificato abbia una firma valida, quindi prova a caricarlo di nuovo.

Certificato scaduto

Verifica che la data del certificato sia compresa nell'intervallo specificato nei campi Non prima (data) e Non dopo (data). Quindi, prova a ricaricare.

La catena di certificati contiene almeno un certificato non valido.

Verifica che il certificato sia formattato correttamente, quindi prova a caricarlo di nuovo.

Il certificato contiene più certificati radice

Non puoi caricare un certificato che contiene più di un certificato radice. Verifica che il certificato abbia un solo certificato radice, quindi prova a caricarlo di nuovo.

Impossibile analizzare il certificato

Verifica che il certificato sia formattato correttamente, quindi prova a caricarlo di nuovo.

Il server restituisce una risposta sconosciuta

Verifica che il certificato sia formattato correttamente, quindi prova a caricarlo di nuovo.

Impossibile caricare il certificato

Potrebbe essersi verificato un problema durante la connessione al server. In genere si tratta di un problema temporaneo. Attendi qualche minuto prima di provare a caricare nuovamente. Se il caricamento continua a fallire, verifica che il certificato sia formattato correttamente.

Argomenti correlati

Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
17350789404333622304
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false