Vertrauenswürdige Zertifikate für S/MIME verwalten (erweitert)

Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education PlusG Suite-Versionen vergleichen

Gehostete S/MIME-Verschlüsselung und clientseitige Verschlüsselung (Client-side Encryption, CSE) sind Google Workspace-Funktionen, mit denen Ihre Nutzer S/MIME-E-Mails senden und empfangen können.

Google stellt Zertifikatsanforderungen und vertrauenswürdige CA-Zertifikate für S/MIME bereit. Wenn Ihre Zertifikate diese Anforderungen nicht erfüllen, stellen Sie möglicherweise fest, dass bestimmte Nachrichten nicht vertrauenswürdig sind. Um dieses Problem zu beheben, können Sie andere Root-Zertifikate von vertrauenswürdigen Root-Zertifizierungsstellen akzeptieren.

Wenn Sie ein zusätzliches Root-Zertifikat akzeptieren möchten, fügen Sie es in der Google Admin-Konsole hinzu. Geben Sie dann mindestens eine Domain an, für die das Zertifikat gilt. Optional können Sie auch die Verschlüsselungsstufe und das Validierungsprofil des Zertifikats anpassen.

Eine detaillierte Anleitung zum Aktivieren von S/MIME in Google Workspace finden Sie im Hilfeartikel Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren. Weitere Informationen finden Sie im Hilfeartikel Clientseitige Verschlüsselung.

Auf dieser Seite

Richtlinien für Root-Zertifikate

Root-Zertifikate müssen die folgenden Richtlinien erfüllen, damit sie mit S/MIME in Google Workspace verwendet werden können:

  • Das Zertifikat muss im PEM-Format vorliegen und darf nur ein Root-Zertifikat enthalten.
  • Die Zertifikatkette muss mindestens ein Zwischenzertifikat enthalten.
  • Jede Zertifikatskette sollte ein Endnutzerzertifikat haben. Andernfalls führt Google eine minimale Überprüfung durch.
  • Das Endnutzerzertifikat sollte nicht den privaten Schlüssel enthalten.

Wichtig: In der Kette muss mindestens ein CA-Zwischenzertifikat vorhanden sein. Die Zertifikate der Endentität dürfen also nicht direkt von der Stamm-CA ausgegeben werden.

Domain für ein Root-Zertifikat ändern

Sie können das Ablaufdatum eines Zertifikats nicht bearbeiten oder ein Zertifikat durch Bearbeiten ersetzen. Sie müssen das Zertifikat löschen und ein neues hochladen. Wenn Sie Root-Zertifikate löschen, hat das keine Auswirkung auf Endnutzerzertifikate, die bereits hochgeladen wurden.

So ändern Sie die Domain für ein Root-Zertifikat:

  1. Gehen Sie in der Admin-Konsole auf dem Tab Nutzereinstellungen zur Einstellung S/MIME.
  2. Wählen Sie in der Tabelle der zusätzlichen Root-Zertifikate das Zertifikat aus, das Sie ändern möchten. Klicken Sie dann auf Bearbeiten
  3. Aktualisieren Sie die Domain und klicken Sie dann auf Speichern.

Root-Zertifikate löschen

So löschen Sie ein Root-Zertifikat:

  1. Gehen Sie in der Admin-Konsole auf dem Tab Nutzereinstellungen zur Einstellung S/MIME.
  2. Wählen Sie in der Tabelle der zusätzlichen Root-Zertifikate das zu entfernende Zertifikat aus und klicken Sie auf Löschen

Verschiedene Zertifikate zum Signieren und Verschlüsseln verwenden

Diese Funktion ist nur für CSE verfügbar. Sie wird für gehostetes S/MIME nicht unterstützt.

Normalerweise verwenden Organisationen ein einzelnes Zertifikat zum Signieren und Verschlüsseln von Nachrichten. Wenn Ihre Organisation jedoch unterschiedliche Zertifikate zum Signieren und Verschlüsseln von Nachrichten benötigt, laden Sie mit der Gmail CSE API das öffentliche Verschlüsselungszertifikat und das öffentliche Signaturzertifikat für jeden Nutzer hoch.

Weitere Informationen zur Verwendung der Gmail CSE API zum Verwalten von Nutzerzertifikaten

S/MIME-Nachrichten zwischen Domains austauschen

Damit Nutzer in verschiedenen Domains S/MIME-Nachrichten austauschen können, müssen Sie möglicherweise einige zusätzliche Schritte in der Admin-Konsole ausführen. Folgen Sie den hier empfohlenen Schritten, je nachdem, wie die Nutzerzertifikate für die Domain ausgestellt wurden.

  • Nutzerzertifikate beider Domains, die von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden: Wenn alle Nutzerzertifikate in beiden Domains von einer von Google vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden, müssen Sie keine zusätzliche Schritte ausführen. Diese Root-CA-Zertifikate gelten in Gmail immer als vertrauenswürdig.
  • Nutzerzertifikate beider Domains wurden von derselben, nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt: In diesem Fall hat eine nicht vertrauenswürdige Stammzertifizierungsstelle die Nutzerzertifikate für Ihre Domain und die Domain ausgestellt, mit der Sie S/MIME-Nachrichten austauschen möchten.

    Fügen Sie der Admin-Konsole die nicht vertrauenswürdige Stammzertifizierungsstelle hinzu. Folgen Sie dazu der Anleitung im Hilfeartikel Gehostetes S/MIME aktivieren. Geben Sie im Feld Root-Zertifikat hinzufügen die andere Domain in das Feld Adressenliste ein.

  • Probleme mit Nutzerzertifikaten einer Domain durch eine nicht vertrauenswürdige Stammzertifizierungsstelle: In diesem Fall wurden die Nutzerzertifikate einer Domain von einer nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt. Die Nutzerzertifikate der anderen Domain wurden von einer anderen Stammzertifizierungsstelle ausgestellt.

    Fügen Sie der Admin-Konsole die Stammzertifizierungsstelle der anderen Domain hinzu. Folgen Sie dazu der Anleitung im Hilfeartikel Gehostetes S/MIME aktivieren. Geben Sie im Feld Root-Zertifikat hinzufügen die andere Domain in das Feld Adressenliste ein. 

Nur bei Bedarf verwenden

Verwenden Sie die Zertifikatsoptionen in diesem Abschnitt nur bei Bedarf und machen Sie sich mit den möglichen Auswirkungen vertraut. Zertifikatabweichungen zulassen (nicht empfohlen)

Manchmal kann sich die mit dem Zertifikat eines Nutzers verknüpfte E-Mail-Adresse von der primären E-Mail-Adresse des Nutzers unterscheiden. Brandon Phams Zertifikat verwendet beispielsweise die E-Mail-Adresse b.pham@solarmora.com, aber Brandon verwendet für die meisten geschäftlichen E-Mails die Adresse brandon.pham@solarmora.com. Dies wird als Zertifikatabweichung bezeichnet.

Wichtig: Aus Sicherheitsgründen empfiehlt Google, dass nicht übereinstimmende Zertifikate nur dann zugelassen werden, wenn Ihre Organisation diese Funktion benötigt. Wenn diese Option aktiviert ist, erhalten Nutzer und Administratoren bei einer Zertifikatabweichung, die möglicherweise durch nicht autorisierte oder böswillige Nutzer verursacht wurde, keine Warnung.

Die Option Nicht übereinstimmende Zertifikate zulassen ist nur für die clientseitige Verschlüsselung verfügbar und nicht für gehostetes S/MIME. Um die clientseitige Verschlüsselung so einzurichten, dass Zertifikatabweichungen zugelassen werden, wählen Sie die entsprechende Option aus, wenn Sie in der Einstellung für gehostete S/MIME Root-Zertifikate hinzufügen. Hier finden Sie eine detaillierte Anleitung zum Hinzufügen von Root-Zertifikaten.

Wenn die Option Zertifikatabweichungen zulassen ausgewählt ist, können Empfänger eingehende Nachrichten mit Zertifikatabweichungen entschlüsseln und lesen. Frühere Nachrichten mit einem nicht übereinstimmenden Zertifikat, die empfangen wurden, bevor die Einstellung aktiviert wurde, können ebenfalls entschlüsselt und gelesen werden. Die mit dem Zertifikat des Nutzers verknüpfte E-Mail-Adresse wird jedoch nicht in den Kontakten des Empfängers gespeichert. Verwenden Sie Google Cloud Directory Sync, um E-Mail-Adressen zu synchronisieren und zu speichern.

Die Option Zertifikatabweichungen zulassen funktioniert nur für interne Kontakte oder Kontakte, die mit GCDS synchronisiert werden. Sie funktioniert nicht für externe Kontakte.

SHA-1 zulassen (nicht empfohlen)

Obwohl einige E-Mail-Clients SHA-1-Hash-Signaturen zulassen, werden diese Signaturen als nicht vertrauenswürdig angezeigt. Grund dafür ist, dass SHA-1 aufgrund von Sicherheitsproblemen nicht mehr unterstützt wird. 

Wenn Sie der Einstellung S/MIME ein neues Root-Zertifikat hinzufügen, wählen Sie die Option SHA-1 global zulassen nur aus, wenn:

  • Ihre Organisation kommuniziert mithilfe der kryptografischen SHA-1-Hash-Funktion für die S/MIME-Nachrichtensicherheit und
  • Sie möchten, dass diese Mitteilungen als vertrauenswürdig angezeigt werden.

Wenn diese Option ausgewählt ist, betrachtet Gmail S/MIME-Zertifikate für eingehende E-Mails mit SHA-1 als vertrauenswürdig.

Probleme beim Hochladen von Zertifikaten beheben

Wenn Sie Probleme beim Hochladen von Zertifikaten haben, beachten Sie diese möglichen Ursachen und probieren Sie die empfohlenen Lösungen aus:

Das Zertifikat erfüllt nicht die Mindestanforderungen für Vertrauenswürdigkeit

Das Zertifikat darf weder selbst signiert noch widerrufen worden sein und die Schlüssellänge darf nicht weniger als 1.024 Bit betragen. Versuchen Sie es dann noch einmal mit dem Upload.

Bearbeiten Sie das Zertifikat, um die Domains in der Adressenliste zu ändern. Wenn Sie beispielsweise benutzerdefinierte Zertifikate hochgeladen haben und Nachrichten immer noch als nicht vertrauenswürdig eingestuft werden, versuchen Sie, die Liste der zulässigen Domains im Zertifikat zu bearbeiten.

Die Signatur des Zertifikats ist ungültig 

Verwenden Sie ein Zertifikat mit einer gültigen Signatur und versuchen Sie es noch einmal mit dem Upload.

Abgelaufenes Zertifikat

Verwenden Sie ein Zertifikat mit einem korrekten Datum innerhalb des Zeitraums, der in den Feldern Nicht vor (Datum) und Nicht nach (Datum) angegeben ist. Versuchen Sie es dann noch einmal mit dem Upload.

Die Zertifikatskette hat mindestens ein ungültiges Zertifikat.

Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.

Zertifikat enthält mehrere Root-Zertifikate

Sie können kein Zertifikat hochladen, das mehr als ein Root-Zertifikat enthält. Verwenden Sie ein Zertifikat, das nur ein Root-Zertifikat hat, und versuchen Sie es noch einmal.

Das Zertifikat konnte nicht geparst werden

Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.

Der Server gibt eine unbekannte Antwort zurück.

Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.

Das Zertifikat kann nicht hochgeladen werden

Möglicherweise gab es ein Problem beim Herstellen einer Verbindung zum Server. Dies ist in der Regel ein vorübergehendes Problem. Bitte warten Sie ein paar Minuten und versuchen Sie das Hochladen dann noch einmal. Wenn der Upload weiterhin fehlschlägt, überprüfen Sie, ob das Zertifikat richtig formatiert ist.

Weitere Informationen

Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
3642527184210142031
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false