Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

Vertrauenswürdige Zertifikate für S/MIME verwalten (erweitert)

Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education PlusG Suite-Versionen vergleichen

Gehostete S/MIME-Verschlüsselung und clientseitige Verschlüsselung (Client-side Encryption, CSE) sind Google Workspace-Funktionen, mit denen Ihre Nutzer S/MIME-E-Mails senden und empfangen können.

Google stellt Zertifikatsanforderungen und vertrauenswürdige CA-Zertifikate für S/MIME bereit. Wenn Ihre Zertifikate diese Anforderungen nicht erfüllen, stellen Sie möglicherweise fest, dass bestimmte Nachrichten nicht vertrauenswürdig sind. Um dieses Problem zu beheben, können Sie andere Root-Zertifikate von vertrauenswürdigen Root-Zertifizierungsstellen akzeptieren.

Wenn Sie ein zusätzliches Root-Zertifikat akzeptieren möchten, fügen Sie es in der Google Admin-Konsole hinzu. Geben Sie dann mindestens eine Domain an, für die das Zertifikat gilt. Optional können Sie auch die Verschlüsselungsstufe und das Validierungsprofil des Zertifikats anpassen.

Eine detaillierte Anleitung zum Aktivieren von S/MIME in Google Workspace finden Sie im Hilfeartikel Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren. Weitere Informationen finden Sie unter Clientseitige Verschlüsselung.

Auf dieser Seite

Richtlinien für Root-Zertifikate

Root-Zertifikate müssen die folgenden Richtlinien erfüllen, damit sie mit S/MIME in Google Workspace verwendet werden können:

  • Das Zertifikat muss im PEM-Format vorliegen und nur ein Root-Zertifikat enthalten.
  • Die Zertifikatkette muss mindestens ein Zwischenzertifikat enthalten.
  • Jede Zertifikatskette sollte ein Endnutzerzertifikat haben. Andernfalls führt Google eine minimale Überprüfung durch.
  • Das Endnutzerzertifikat sollte nicht den privaten Schlüssel enthalten.

Wichtig: In der Kette muss mindestens ein CA-Zwischenzertifikat vorhanden sein. Die Zertifikate der Endentität dürfen also nicht direkt von der Stamm-CA ausgegeben werden.

Domain für ein Root-Zertifikat ändern

Sie können das Ablaufdatum eines Zertifikats nicht bearbeiten oder ein Zertifikat durch Bearbeiten ersetzen. Sie müssen das Zertifikat löschen und ein neues hochladen. Wenn Sie Root-Zertifikate löschen, hat das keine Auswirkung auf Endnutzerzertifikate, die bereits hochgeladen wurden.

So ändern Sie die Domain für ein Root-Zertifikat:

  1. Gehen Sie in der Admin-Konsole auf dem Tab Nutzereinstellungen zu S/MIME.
  2. Wählen Sie in der Tabelle der zusätzlichen Root-Zertifikate das Zertifikat aus, das Sie ändern möchten. Klicken Sie dann auf Bearbeiten
  3. Aktualisieren Sie die Domain und klicken Sie dann auf Speichern.

Root-Zertifikate löschen

So löschen Sie ein Root-Zertifikat:

  1. Gehen Sie in der Admin-Konsole auf dem Tab Nutzereinstellungen zu S/MIME.
  2. Wählen Sie in der Tabelle mit den zusätzlichen Root-Zertifikaten das zu entfernende Zertifikat aus und klicken Sie auf Löschen

Probleme beim Hochladen von Zertifikaten beheben

Hier erfahren Sie, welche Ursachen Uploadfehler haben können und wie Sie sie beheben:

  • Das Zertifikat erfüllt nicht die Mindestanforderungen für Vertrauenswürdigkeit: Das Zertifikat darf weder selbst signiert noch widerrufen sein und die Schlüssellänge darf nicht kleiner als 1.024 Bit sein. Versuchen Sie es dann noch einmal mit dem Upload.
  • Das Zertifikat hat eine ungültige Signatur: Verwenden Sie ein Zertifikat mit einer gültigen Signatur und versuchen Sie es noch einmal mit dem Upload.
  • Das Zertifikat ist abgelaufen: Verwenden Sie ein Zertifikat mit einem korrekten Datum innerhalb des Zeitraums, der in den Feldern "Nicht vor (Datum)" und "Nicht nach (Datum)" angegeben ist. Versuchen Sie es dann noch einmal mit dem Upload.
  • Die Zertifikatkette enthält mindestens ein ungültiges Zertifikat: Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.
  • Das Zertifikat enthält mehrere Root-Zertifikate: Verwenden Sie ein Zertifikat, das nur ein Root-Zertifikat hat, und versuchen Sie es noch einmal.
  • Das Zertifikat konnte nicht geparst werden: Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.
  • Der Server konnte das Zertifikat nicht parsen oder die Antwort vom Server ist unbekannt: Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal mit dem Upload.
  • Das Zertifikat kann nicht hochgeladen werden: Bei der Kommunikation mit dem Server ist ein Fehler aufgetreten. Dies ist wahrscheinlich nur ein vorübergehendes Problem. Warten Sie ein paar Minuten und versuchen Sie es dann noch einmal. Wenn der Upload weiterhin fehlschlägt, sehen Sie nach, ob das Zertifikat richtig formatiert ist.
  • Ein Root-Zertifikat bearbeiten: Sie können ein Zertifikat bearbeiten, um die Domains in der Adressliste zu ändern. Wenn Sie beispielsweise benutzerdefinierte Zertifikate hochgeladen haben und Ihre Nachrichten immer noch als "nicht vertrauenswürdig" eingestuft werden, ändern Sie die Liste der zulässigen Domains.

S/MIME-Nachrichten zwischen Domains austauschen

Damit Nutzer in verschiedenen Domains S/MIME-Nachrichten austauschen können, müssen Sie möglicherweise einige zusätzliche Schritte in der Admin-Konsole ausführen. Folgen Sie den hier empfohlenen Schritten, je nachdem, wie die Nutzerzertifikate für die Domain ausgestellt wurden.

  • Nutzerzertifikate beider Domains, die von einer vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden: Wenn alle Nutzerzertifikate in beiden Domains von einer von Google vertrauenswürdigen Stammzertifizierungsstelle ausgestellt wurden, müssen Sie keine zusätzliche Schritte ausführen. Diese Root-CA-Zertifikate werden von Gmail immer als vertrauenswürdig eingestuft.
  • Nutzerzertifikate beider Domains wurden von derselben, nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt: In diesem Fall hat eine nicht vertrauenswürdige Stammzertifizierungsstelle die Nutzerzertifikate für Ihre Domain und die Domain ausgestellt, mit der Sie S/MIME-Nachrichten austauschen möchten.

    Fügen Sie der Admin-Konsole die nicht vertrauenswürdige Stammzertifizierungsstelle hinzu. Folgen Sie dazu der Anleitung im Hilfeartikel Gehostetes S/MIME aktivieren. Geben Sie im Feld Root-Zertifikat hinzufügen die andere Domain in das Feld Adressenliste ein.

  • Probleme mit Nutzerzertifikaten einer Domain durch eine nicht vertrauenswürdige Stammzertifizierungsstelle: In diesem Fall wurden die Nutzerzertifikate einer Domain von einer nicht vertrauenswürdigen Stammzertifizierungsstelle ausgestellt. Die Nutzerzertifikate der anderen Domain wurden von einer anderen Stammzertifizierungsstelle ausgestellt.

    Fügen Sie der Admin-Konsole die Stammzertifizierungsstelle der anderen Domain hinzu. Folgen Sie dazu der Anleitung im Hilfeartikel Gehostetes S/MIME aktivieren. Geben Sie im Feld Root-Zertifikat hinzufügen die andere Domain in das Feld Adressenliste ein. 

Verschiedene Zertifikate zum Signieren und Verschlüsseln

Diese Funktion ist nur für CSE verfügbar. Sie ist nicht für gehostetes S/MIME verfügbar.

Normalerweise verwenden Organisationen ein einzelnes Zertifikat zum Signieren und Verschlüsseln von Nachrichten. Wenn Ihre Organisation jedoch unterschiedliche Zertifikate zum Signieren und Verschlüsseln von Nachrichten benötigt, laden Sie mit der Gmail CSE API das öffentliche Verschlüsselungszertifikat und das öffentliche Signaturzertifikat für jeden Nutzer hoch.

Weitere Informationen zur Verwendung der Gmail CSE API zum Verwalten von Nutzerzertifikaten

Zertifikatabweichungen zulassen (nicht empfohlen)

Diese Funktion ist nur für CSE verfügbar. Sie ist nicht für gehostetes S/MIME verfügbar.

Wichtig: Aus Sicherheitsgründen empfehlen wir, Zertifikatabweichungen nur dann zuzulassen, wenn Ihre Organisation diese Funktion benötigt. Wenn diese Option aktiviert ist, erhalten Nutzer und Administratoren bei einer Zertifikatabweichung, die möglicherweise durch nicht autorisierte oder böswillige Nutzer verursacht wurde, keine Warnung.

Manchmal kann sich die mit dem Zertifikat eines Nutzers verknüpfte E-Mail-Adresse von der primären E-Mail-Adresse des Nutzers unterscheiden. Brandon Phams Zertifikat verwendet beispielsweise die E-Mail-Adresse b.pham@solarmora.com, aber Brandon verwendet für die meisten geschäftlichen E-Mails die Adresse brandon.pham@solarmora.com. Dies wird als Zertifikatabweichung bezeichnet.

Um die clientseitige Verschlüsselung so einzurichten, dass Zertifikatabweichungen zugelassen werden, wählen Sie die entsprechende Option aus, wenn Sie in der Einstellung für gehostete S/MIME Root-Zertifikate hinzufügen. Hier finden Sie eine detaillierte Anleitung zum Hinzufügen von Root-Zertifikaten.

Wenn die Option Zertifikatabweichungen zulassen ausgewählt ist, können Empfänger eingehende Nachrichten mit Zertifikatabweichungen entschlüsseln und lesen. Das Zertifikat wird jedoch nicht automatisch in den Kontakten gespeichert.

Frühere Nachrichten (mit Zertifikatabweichung), die vor Aktivierung diese Einstellungsoption empfangen wurden, können entschlüsselt und gelesen werden. Wenn die Option aktiviert und dann deaktiviert wird, können alte und neue Nachrichten (mit Zertifikatabweichung), die bei Auswahl der Option entschlüsselt werden konnten, nicht mehr entschlüsselt werden.

SHA-1 zulassen (nicht empfohlen)

Obwohl einige E-Mail-Clients SHA-1-Hash-Signaturen zulassen, werden diese Signaturen als nicht vertrauenswürdig angezeigt. Das liegt daran, dass SHA-1 aufgrund von Sicherheitsproblemen eingestellt wurde. 

Wenn Sie der Einstellung S/MIME ein neues Root-Zertifikat hinzufügen, wählen Sie die Option SHA-1 global zulassen nur aus, wenn:

  • Ihre Organisation kommuniziert mithilfe der kryptografischen SHA-1-Hash-Funktion für die S/MIME-Nachrichtensicherheit und
  • Sie möchten, dass diese Mitteilungen als vertrauenswürdig angezeigt werden.

Wenn diese Option ausgewählt ist, betrachtet Gmail S/MIME-Zertifikate für eingehende E-Mails mit SHA-1 als vertrauenswürdig.

Weitere Informationen

Gehostetes S/MIME für die Nachrichtenverschlüsselung aktivieren

War das hilfreich?

Wie können wir die Seite verbessern?

Benötigen Sie weitere Hilfe?

Mögliche weitere Schritte:

Im Hilfeforum posten Antworten von Forenmitgliedern erhalten
Kontakt Weitere Informationen angeben und Hilfe erhalten
true
Starten Sie noch heute mit Ihrer kostenlosen Testversion für 14 Tage.

Berufliche E-Mail-Konten, Online-Speicherplatz, Kalender mit Freigabefunktion, Videobesprechungen und vieles mehr. Starten Sie noch heute mit Ihrer kostenlosen Testversion von G Suite.

Suche
Suche löschen
Suche schließen
Hauptmenü
14086802100572540814
true
Suchen in der Hilfe
true
true
true
true
true
73010
false
false