Как управлять доверенными сертификатами для S/MIME (расширенная настройка)

Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education PlusСравнение версий

Размещаемые сертификаты S/MIME и шифрование на стороне клиента – это функции Google Workspace, с помощью которых пользователи могут отправлять и получать электронные письма, зашифрованные по стандарту S/MIME.

Google предоставляет требования к сертификатам и доверенные сертификаты ЦС для S/MIME. Если ваши сертификаты не соответствуют этим требованиям, вы можете заметить, что некоторые письма не являются доверенными. Чтобы устранить эту проблему, вы можете принять другие корневые сертификаты от корневых центров сертификации (ЦС), которым доверяете.

Чтобы принять дополнительный корневой сертификат, добавьте его в консоль администратора Google. Затем укажите хотя бы один домен, к которому применяется сертификат. Кроме того, вы можете изменить уровень шифрования и профиль проверки сертификата.

Пошаговые инструкции по включению S/MIME в Google Workspace можно найти в статье Как включить размещаемые сертификаты S/MIME для шифрования писем. Подробнее о шифровании на стороне клиента

Содержание

Правила в отношении корневых сертификатов

Корневые сертификаты должны соответствовать следующим требованиям, чтобы их можно было использовать с S/MIME в Google Workspace:

  • Сертификат должен иметь формат PEM и содержать только один корневой сертификат.
  • В цепочке сертификатов должен быть хотя бы один промежуточный сертификат.
  • В каждой цепочке сертификатов должен быть сертификат конечного пользователя. Если это правило не соблюдено, Google будет проводить минимальную проверку.
  • Сертификат конечного пользователя не должен содержать секретный ключ.

Важно! В цепочке обязательно должен присутствовать хотя бы один сертификат промежуточных ЦС. Недопустимо, чтобы корневой ЦС выдавал сертификаты непосредственно конечным субъектам.

Как изменить домен корневого сертификата

Срок действия сертификата нельзя изменить, а сам сертификат нельзя заменить. Чтобы загрузить новый сертификат, необходимо удалить старый. Это действие не повлияет на уже загруженные сертификаты конечных пользователей.

Чтобы изменить домен корневого сертификата:

  1. В консоли администратора Google перейдите к настройке S/MIME на вкладке Пользовательские настройки.
  2. В таблице дополнительных корневых сертификатов выберите нужный пункт и нажмите Изменить.
  3. Обновите домен, а затем нажмите Сохранить.

Как удалить корневой сертификат

Чтобы удалить корневой сертификат:

  1. В консоли администратора Google перейдите к настройке S/MIME на вкладке Пользовательские настройки.
  2. В таблице дополнительных корневых сертификатов выберите нужный и нажмите Удалить.

Устранение неполадок с загрузкой корневых сертификатов

Ниже приведены советы, которые помогут определить и устранить проблемы с загрузкой сертификатов.

  • Сертификат не соответствует минимальным требованиям надежности. Убедитесь, что сертификат не самозаверен и не отозван, а ключ имеет длину не менее 1024 битов. Затем попробуйте повторно выполнить загрузку.
  • Подпись сертификата недействительна. Проверьте подпись, а затем попробуйте повторно выполнить загрузку.
  • Срок действия сертификата истек. Убедитесь, что указанная в сертификате дата лежит в диапазоне между значениями в полях "Не ранее (дата)" и "Не позднее (дата)". Затем попробуйте повторно выполнить загрузку.
  • Загруженная цепочка сертификатов содержит по меньшей мере один недействительный сертификат. Проверьте формат сертификата и попробуйте повторно выполнить загрузку.
  • Загруженный сертификат содержит несколько корневых сертификатов. Устраните проблему, а затем попробуйте повторно выполнить загрузку.
  • Сертификат недоступен для синтаксического анализа. Проверьте формат сертификата, а затем попробуйте повторно выполнить загрузку.
  • Серверу не удалось проанализировать сертификат, или от сервера получен неизвестный ответ. Проверьте формат сертификата, а затем попробуйте повторно выполнить загрузку.
  • Не удалось загрузить сертификат. Если произошла ошибка связи с сервером, то, скорее всего, это временная проблема. Подождите несколько минут и повторите попытку. Если загрузить сертификат по-прежнему не получается, проверьте его формат.
  • Внесите изменения в корневой сертификат. Вы можете изменить его, чтобы добавить домены в список адресов. Например, если после загрузки сертификата сообщения все равно не помечаются как доверенные, внесите изменения в список разрешенных доменов.

Как обмениваться зашифрованными по стандарту S/MIME письмами между доменами

Чтобы разрешить пользователям в разных доменах обмениваться зашифрованными по стандарту S/MIME письмами, возможно, вам понадобится выполнить несколько дополнительных действий в консоли администратора Google. Выберите в этом разделе инструкции в зависимости от того, каким образом сертификаты были выданы для домена, и следуйте им.

  • Пользовательские сертификаты обоих доменов выданы доверенным корневым ЦС. Если все пользовательские сертификаты в обоих доменах выданы корневым ЦС, который Google считает доверенным, дополнительные действия не требуются. Gmail всегда доверяет таким сертификатам от корневых ЦС.
  • Пользовательские сертификаты обоих доменов выданы одним недоверенным корневым ЦС. В этом случае недоверенный корневой ЦС выдал пользовательские сертификаты для вашего домена и для домена, с которым вы хотите обмениваться письмами, зашифрованными по стандарту S/MIME.

    Добавьте недоверенный корневой ЦС в консоль администратора Google, следуя инструкциям в разделе Включите размещаемые сертификаты S/MIME. В разделе Добавить корневой сертификат введите другой домен в поле Список адресов.

  • Пользовательские сертификаты одного домена выданы недоверенным корневым ЦС. Пользовательские сертификаты другого домена выданы другим корневым ЦС.

    Добавьте корневой ЦС другого домена в консоль администратора Google, следуя инструкциям в разделе Включите размещаемые сертификаты S/MIME. В разделе Добавить корневой сертификат введите другой домен в поле Список адресов.

Разные сертификаты для подписи и шифрования

Эта функция доступна только при использовании шифрования на стороне клиента. Она не поддерживается для размещаемых сертификатов S/MIME.

Обычно в организациях используется один сертификат и для подписи, и для шифрования писем. Однако если для этого в вашей организации нужны разные сертификаты, загрузите общедоступный сертификат шифрования и общедоступный сертификат подписи для каждого пользователя с помощью Gmail CSE API.

Подробнее об использовании Gmail CSE API для управления сертификатами пользователей

Как разрешить несоответствие сертификатов (не рекомендуется)

Эта функция доступна только при использовании шифрования на стороне клиента. Она не поддерживается для размещаемых сертификатов S/MIME.

Важно! В целях безопасности мы рекомендуем разрешать несоответствие сертификатов только тогда, когда этого требует ваша организация. Если этот параметр включен, пользователи и администраторы не будут получать предупреждение о несоответствии сертификатов, которое может возникнуть из-за неавторизованного пользователя или злоумышленника.

В некоторых случаях адрес электронной почты, связанный с сертификатом пользователя, может отличаться от основного адреса пользователя. Например, в сертификате Брэндона Фэма используется адрес электронной почты b.pham@solarmora.com, но Брэндон использует адрес brandon.pham@solarmora.com для большинства рабочих переписок. Это называется несоответствием сертификатов.

Чтобы при использовании шифрования на стороне клиента допускалось несоответствие сертификатов, включите соответствующий параметр при добавлении корневых сертификатов в процессе настройки размещаемых сертификатов S/MIME. Ознакомьтесь с подробными инструкциями по добавлению корневых сертификатов.

Если параметр Разрешить несоответствие сертификатов включен, получатели могут расшифровывать и читать входящие письма при несоответствии сертификатов. Однако сертификат не сохраняется автоматически в их контактах.

Письма с несоответствием сертификатов, полученные до включения этого параметра, также можно расшифровать и прочитать. Если включить параметр, а затем отключить его, полученные ранее и новые письма с несоответствием сертификатов больше нельзя будет расшифровать.

Как разрешить SHA-1 (не рекомендуется)

Хотя некоторые почтовые клиенты поддерживают хеширование подписей с помощью алгоритма SHA-1, эти подписи не считаются доверенными. Это связано с тем, что алгоритм SHA-1 считается устаревшим из-за проблем с безопасностью.

При добавлении нового корневого сертификата в параметр S/MIME устанавливать флажок Разрешить SHA-1 глобально следует, только если:

  • в вашей организации для защиты писем с сертификатом S/MIME используется криптографическая функция хеширования SHA-1;
  • вы хотите, чтобы такие письма считались доверенными.

Если этот параметр включен, Gmail принимает сертификаты S/MIME, которые содержатся во входящих письмах, использующих SHA-1.

Статьи по теме

Как включить размещаемые сертификаты S/MIME для шифрования писем

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
16148877679075652219
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false