Gestire i certificati attendibili per S/MIME (avanzato)

Versioni supportate per questa funzionalità: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade ed Education PlusConfronta la tua versione

La crittografia S/MIME ospitata e la crittografia lato client sono funzionalità di Google Workspace che consentono agli utenti di inviare e ricevere messaggi email S/MIME.

Google fornisce i requisiti dei certificati e i certificati CA attendibili per la crittografia S/MIME. Se i tuoi certificati non soddisfano questi requisiti, potresti notare che determinati messaggi non sono attendibili. Per risolvere il problema, puoi accettare altri certificati radice provenienti da autorità di certificazione (CA) radice attendibili.

Per accettare un certificato radice aggiuntivo, aggiungilo nella Console di amministrazione Google. Quindi, indica almeno un dominio a cui si applica. Facoltativamente, puoi anche modificare il livello di crittografia e il profilo di convalida del certificato.

Per la procedura dettagliata per attivare S/MIME in Google Workspace, vedi Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi. Per saperne di più sulla crittografia lato client, vedi Informazioni sulla crittografia lato client.

In questa pagina

Linee guida per i certificati radice

I certificati radice devono soddisfare queste linee guida per essere utilizzati con S/MIME in Google Workspace:

  • Il certificato deve essere in formato .pem e contiene un solo certificato radice.
  • La catena di certificati deve includere almeno un certificato intermedio.
  • Ogni catena di certificati deve avere un certificato dell'utente finale. Se non è incluso, Google esegue verifiche limitate.
  • Il certificato dell'utente finale non deve includere la chiave privata.

Importante: la catena deve includere almeno un certificato di una CA intermedia. Questo significa che l'entità radice non deve emettere direttamente il certificato dell'entità finale

Cambiare il dominio per un certificato radice

Non puoi modificare la data di scadenza di un certificato o modificarlo per sostituirlo. Devi eliminare il certificato e caricarne uno nuovo. L'eliminazione di un certificato radice non influirà sui certificati degli utenti finali già caricati.

Per cambiare il dominio per un certificato radice:

  1. Nella Console di amministrazione Google, vai all'impostazione S/MIME nella scheda Impostazioni utente.
  2. Nell'elenco dei certificati radice aggiuntivi, seleziona il certificato da modificare e fai clic su Modifica
  3. Aggiorna il dominio e fai clic su Salva.

Eliminare un certificato radice

Per eliminare un certificato radice:

  1. Nella Console di amministrazione Google, vai all'impostazione S/MIME nella scheda Impostazioni utente.
  2. Nella tabella dei certificati radice aggiuntivi, seleziona il certificato da modificare e fai clic su Elimina

Risolvere i problemi di caricamento dei certificati

Per identificare e risolvere gli errori di caricamento, verifica quanto segue:

  • Il certificato non soddisfa i requisiti minimi per essere considerato attendibile. Verifica che il certificato non sia autofirmato, che non sia stato revocato e che la lunghezza della chiave non sia inferiore a 1024 bit. Quindi, prova a ricaricare.
  • Il certificato contiene una firma non valida. Verifica che il certificato abbia una firma valida, quindi prova a caricarlo di nuovo.
  • Il certificato è scaduto. Verifica che la data del certificato sia compresa nell'intervallo specificato nei campi Non prima (data) e Non dopo (data). Quindi, prova a ricaricare.
  • La catena di certificati caricata contiene almeno un certificato non valido. Verifica che il certificato sia formattato correttamente, quindi prova a caricarlo di nuovo.
  • Il certificato caricato contiene più certificati radice. Verifica che il certificato abbia un solo certificato radice, quindi prova a caricarlo di nuovo.
  • Impossibile analizzare il certificato. Verifica che il certificato sia formattato correttamente, quindi prova a caricarlo di nuovo.
  • Il server non è stato in grado di analizzare il certificato o ha generato una risposta sconosciuta. Verifica che il certificato sia formattato correttamente, quindi prova a caricarlo di nuovo.
  • Impossibile caricare il certificato. Si è verificato un problema durante la comunicazione con il server. Si tratta probabilmente di un problema temporaneo. Attendi alcuni minuti e riprova. Se l'errore di caricamento persiste, assicurati che il certificato sia formattato correttamente.
  • Modifica un certificato radice. Puoi modificare un certificato per cambiare i domini nell'elenco degli indirizzi. Ad esempio, se hai caricato certificati personalizzati e i tuoi messaggi sono ancora considerati "non attendibili", prova a modificare l'elenco dei domini consentiti.

Scambiare messaggi S/MIME tra domini

Per consentire agli utenti di domini diversi di scambiare messaggi S/MIME, potrebbe essere necessario eseguire alcuni passaggi aggiuntivi nella Console di amministrazione Google. Segui i passaggi consigliati qui, in base a come vengono emessi i certificati utente per il dominio.

  • Entrambi i certificati utente del dominio emessi da una CA radice attendibile: quando tutti i certificati utente in entrambi i domini sono emessi da una CA radice attendibile da Google, senza eseguire ulteriori passaggi. Questi certificati CA radice sono sempre considerati attendibili da Gmail.
  • Entrambi i certificati utente del dominio emessi dalla stessa CA radice non attendibile: in questo caso, un'autorità di certificazione radice non attendibile ha emesso i certificati utente per il tuo dominio e per il dominio con cui vuoi scambiare S/MIME.

    Aggiungi la CA radice non attendibile alla Console di amministrazione Google, seguendo i passaggi descritti in Attivare la crittografia S/MIME ospitata. Nella casella Aggiungi certificato radice, inserisci l'altro dominio nel campo Elenco indirizzi.

  • Problemi relativi ai certificati utente di un dominio da parte di una CA radice non attendibile: in questo caso, i certificati utente di un dominio vengono emessi da una CA radice non attendibile. I certificati utente dell'altro dominio vengono emessi da un'altra CA radice.

    Aggiungi la CA radice dell'altro dominio alla Console di amministrazione Google, seguendo i passaggi descritti in Attivare la crittografia S/MIME ospitata. Nella casella Aggiungi certificato radice, inserisci l'altro dominio nel campo Elenco indirizzi

Certificati diversi per la firma e la crittografia

Questa funzionalità è disponibile solo con la crittografia lato client. Non è disponibile con la crittografia S/MIME ospitata.

In genere, le organizzazioni utilizzano un singolo certificato sia per la firma che per la crittografia dei messaggi. Tuttavia, se la tua organizzazione richiede certificati diversi per la firma e la crittografia dei messaggi, puoi utilizzare l'API Client-side encryption di Gmail per caricare il certificato pubblico di crittografia e il certificato pubblico della firma per ogni utente.

Scopri di più sull'utilizzo dell'API Gmail di crittografia lato client per gestire i certificati utente.

Consenti la mancata corrispondenza del certificato (opzione non consigliata)

Questa funzionalità è disponibile solo con la crittografia lato client. Non è disponibile con la crittografia S/MIME ospitata.

Importante : per motivi di sicurezza, ti consigliamo di consentire la mancata corrispondenza dei certificati solo quando questa funzionalità è richiesta dalla tua organizzazione. Quando questa opzione è attiva, gli utenti e gli amministratori non riceveranno un avviso in caso di mancata corrispondenza dei certificati, che potrebbe essere causata da utenti malintenzionati o non autorizzati.

A volte, l'indirizzo email associato al certificato di un utente potrebbe essere diverso dall'indirizzo email principale dell'utente. Ad esempio, il certificato di Brandon Pham utilizza l'indirizzo email b.pham@solarmora.com, mentre Brandon utilizza l'indirizzo brandon.pham@solarmora.com per la maggior parte delle email di lavoro. Questa situazione rappresenta una mancata corrispondenza dei certificati.

Per configurare la crittografia lato client in modo da consentire la mancata corrispondenza dei certificati, seleziona l'opzione di mancata corrispondenza dei certificati quando aggiungi certificati radice nell'impostazione S/MIME ospitata. Leggi la procedura dettagliata per aggiungere certificati radice.

Se è selezionata l'opzione Consenti la mancata corrispondenza del certificato, i destinatari possono decriptare e leggere i messaggi in arrivo con una mancata corrispondenza di certificato. Tuttavia, il certificato non viene salvato automaticamente nei contatti.

I messaggi precedenti (con mancata corrispondenza di certificato ) ricevuti prima dell'attivazione di questa opzione possono essere decriptati e letti. Se l'opzione è attiva, non è più possibile decriptare i messaggi nuovi e precedenti (con una mancata corrispondenza di certificato) che potevano essere decriptati quando l'opzione era selezionata.

Consenti SHA-1 (non consigliato)

Sebbene alcuni client di posta consentano le firme con hash SHA-1, queste firme non sembrano attendibili. Questo perché l'algoritmo SHA-1 è stato ritirato a causa di problemi di sicurezza. 

Quando aggiungi un nuovo certificato radice all'impostazione S/MIME, seleziona l'opzione Consenti SHA-1 globalmente solo se:

  • La tua organizzazione comunica utilizzando la funzione di hash crittografica SHA-1 per la sicurezza dei messaggi S/MIME e
  • Vuoi che queste comunicazioni vengano visualizzate come attendibili.

Se questa opzione è selezionata, Gmail considera attendibili i certificati S/MIME allegati alla posta in entrata con SHA-1.

Argomenti correlati

Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
3512273668243079277
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false