Как управлять доверенными сертификатами для S/MIME (расширенная настройка)

Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education PlusСравнение версий

Размещаемые сертификаты S/MIME и шифрование на стороне клиента – это функции Google Workspace, с помощью которых пользователи могут отправлять и получать электронные письма, зашифрованные по стандарту S/MIME.

Google предоставляет требования к сертификатам и доверенные сертификаты ЦС для S/MIME. Если ваши сертификаты не соответствуют этим требованиям, вы можете заметить, что некоторые письма не являются доверенными. Чтобы устранить эту проблему, вы можете принять другие корневые сертификаты от корневых центров сертификации (ЦС), которым доверяете.

Чтобы принять дополнительный корневой сертификат, добавьте его в консоль администратора Google. Затем укажите хотя бы один домен, к которому применяется сертификат. Кроме того, вы можете изменить уровень шифрования и профиль проверки сертификата.

Пошаговые инструкции по включению S/MIME в Google Workspace можно найти в статье Как включить размещаемые сертификаты S/MIME для шифрования писем. Подробнее о шифровании на стороне клиента

Содержание

Правила в отношении корневых сертификатов

Корневые сертификаты должны соответствовать следующим требованиям, чтобы их можно было использовать с S/MIME в Google Workspace:

  • Сертификат должен иметь формат PEM и содержать только один корневой сертификат.
  • В цепочке сертификатов должен быть хотя бы один промежуточный сертификат.
  • В каждой цепочке сертификатов должен быть сертификат конечного пользователя. Если это правило не соблюдено, Google будет проводить минимальную проверку.
  • Сертификат конечного пользователя не должен содержать секретный ключ.

Важно! В цепочке обязательно должен присутствовать хотя бы один сертификат промежуточных ЦС. Недопустимо, чтобы корневой ЦС выдавал сертификаты непосредственно конечным субъектам.

Как изменить домен корневого сертификата

Срок действия сертификата нельзя изменить, а сам сертификат нельзя заменить. Чтобы загрузить новый сертификат, необходимо удалить старый. Это действие не повлияет на уже загруженные сертификаты конечных пользователей.

Чтобы изменить домен корневого сертификата:

  1. В консоли администратора Google перейдите к настройке S/MIME на вкладке Пользовательские настройки.
  2. В таблице дополнительных корневых сертификатов выберите нужный пункт и нажмите Изменить.
  3. Обновите домен, а затем нажмите Сохранить.

Как удалить корневой сертификат

Чтобы удалить корневой сертификат:

  1. В консоли администратора Google перейдите к настройке S/MIME на вкладке Пользовательские настройки.
  2. В таблице дополнительных корневых сертификатов выберите нужный и нажмите Удалить.

Как использовать разные сертификаты для подписи и шифрования

Эта функция доступна только при использовании шифрования на стороне клиента. Она не поддерживается для размещаемых сертификатов S/MIME.

Обычно в организациях используется один сертификат и для подписи, и для шифрования писем. Однако если для этого в вашей организации нужны разные сертификаты, загрузите общедоступный сертификат шифрования и общедоступный сертификат подписи для каждого пользователя с помощью Gmail CSE API.

Подробнее об использовании Gmail CSE API для управления сертификатами пользователей

Как обмениваться зашифрованными по стандарту S/MIME письмами между доменами

Чтобы разрешить пользователям в разных доменах обмениваться зашифрованными по стандарту S/MIME письмами, возможно, вам понадобится выполнить несколько дополнительных действий в консоли администратора Google. Выберите в этом разделе инструкции в зависимости от того, каким образом сертификаты были выданы для домена, и следуйте им.

  • Пользовательские сертификаты обоих доменов выданы доверенным корневым ЦС. Если все пользовательские сертификаты в обоих доменах выданы корневым ЦС, который Google считает доверенным, дополнительные действия не требуются. Gmail всегда доверяет таким сертификатам от корневых ЦС.
  • Пользовательские сертификаты обоих доменов выданы одним недоверенным корневым ЦС. В этом случае недоверенный корневой ЦС выдал пользовательские сертификаты для вашего домена и для домена, с которым вы хотите обмениваться письмами, зашифрованными по стандарту S/MIME.

    Добавьте недоверенный корневой ЦС в консоль администратора Google, следуя инструкциям в разделе Включите размещаемые сертификаты S/MIME. В разделе Добавить корневой сертификат введите другой домен в поле Список адресов.

  • Пользовательские сертификаты одного домена выданы недоверенным корневым ЦС. Пользовательские сертификаты другого домена выданы другим корневым ЦС.

    Добавьте корневой ЦС другого домена в консоль администратора Google, следуя инструкциям в разделе Включите размещаемые сертификаты S/MIME. В разделе Добавить корневой сертификат укажите другой домен в поле Список адресов.

Используйте только при необходимости

Используйте параметры сертификатов, описанные в этом разделе, только при необходимости, убедившись, что понимаете возможные последствия. Как разрешить несоответствие сертификатов (не рекомендуется)

В некоторых случаях адрес электронной почты, связанный с сертификатом пользователя, может отличаться от основного адреса пользователя. Например, в сертификате Брэндона Фэма используется адрес электронной почты b.pham@solarmora.com, но Брэндон использует адрес brandon.pham@solarmora.com для большинства рабочих переписок. Это называется несоответствием сертификатов.

Важно! Для обеспечения безопасности Google рекомендует разрешать несоответствие сертификатов только тогда, когда это требует ваша организация. Если этот параметр включен, пользователи и администраторы не будут получать предупреждение о несоответствии сертификатов, которое может возникнуть из-за неавторизованного пользователя или злоумышленника.

Параметр Разрешить несоответствие сертификатов доступен только при использовании шифрования на стороне клиента, но не с размещаемыми сертификатами S/MIME. Чтобы при использовании шифрования на стороне клиента допускалось несоответствие сертификатов, включите соответствующий параметр при добавлении корневых сертификатов в процессе настройки размещаемых сертификатов S/MIME. Ознакомьтесь с подробными инструкциями по добавлению корневых сертификатов.

Если параметр Разрешить несоответствие сертификатов включен, получатели могут расшифровывать и читать входящие письма при несоответствии сертификатов. Предыдущие сообщения с несоответствием сертификатов (полученные до включения параметра) также можно расшифровать и прочитать. Однако адрес электронной почты, связанный с сертификатом пользователя, не будет сохранен в контактах получателя. Чтобы синхронизировать и сохранить адреса электронной почты, используйте Google Cloud Directory Sync.

Параметр Разрешить несоответствие сертификатов подходит только для внутренних контактов и контактов, синхронизированных с помощью GCDS, но не для внешних контактов.

Как разрешить SHA-1 (не рекомендуется)

Хотя некоторые почтовые клиенты поддерживают хеширование подписей с помощью алгоритма SHA-1, эти подписи не считаются доверенными. Это связано с тем, что алгоритм SHA-1 считается устаревшим из-за проблем с безопасностью.

При добавлении нового корневого сертификата в параметр S/MIME устанавливать флажок Разрешить SHA-1 глобально следует, только если:

  • в вашей организации для защиты писем с сертификатом S/MIME используется криптографическая хеш-функция SHA-1;
  • вы хотите, чтобы такие письма считались доверенными.

Если этот параметр включен, Gmail принимает сертификаты S/MIME, которые содержатся во входящих письмах, использующих SHA-1.

Устранение неполадок с загрузкой корневых сертификатов

Если вам не удалось загрузить сертификаты, ознакомьтесь с представленными ниже возможными причинами и попробуйте рекомендованные решения.

Сертификат не соответствует минимальным требованиям надежности

Убедитесь, что сертификат не самозаверен и не отозван, а ключ имеет длину не менее 1024 битов. После этого загрузите сертификат ещё раз.

Измените сертификат, чтобы добавить домены в список адресов. Например, если после загрузки сертификата сообщения все равно не помечаются как доверенные, внесите изменения в список разрешенных доменов.

Неверная подпись сертификата

Проверьте подпись, а затем попробуйте повторно выполнить загрузку.

Срок действия сертификата истек

Убедитесь, что указанная в сертификате дата находится в диапазоне между значениями в полях Не ранее (дата) и Не позднее (дата). После этого загрузите сертификат ещё раз.

Цепочка сертификатов содержит по меньшей мере один недействительный сертификат

Проверьте формат сертификата, а затем попробуйте повторно выполнить загрузку.

Сертификат содержит несколько корневых сертификатов

Если сертификат содержит более одного корневого сертификата, его загрузить нельзя. Устраните проблему, а затем попробуйте повторно выполнить загрузку.

Сертификат недоступен для синтаксического анализа

Проверьте формат сертификата, а затем попробуйте повторно выполнить загрузку.

Сервер вернул неизвестный ответ

Проверьте формат сертификата, а затем попробуйте повторно выполнить загрузку.

Не удалось загрузить сертификат

Возможно, при попытке подключиться к серверу произошла ошибка. Скорее всего, проблема временная. Повторите попытку через несколько минут. Если загрузить сертификат по-прежнему не получается, проверьте его формат.

Статьи по теме

Как включить размещаемые сертификаты S/MIME для шифрования писем

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
17698287831208304941
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false