Gestionar certificados de confianza para S/MIME (avanzado)

Ediciones compatibles con esta función: Enterprise Plus y Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education PlusComparar ediciones

S/MIME alojado y el cifrado por parte del cliente (CPC) son funciones de Google Workspace que permiten a tus usuarios enviar y recibir mensajes de correo con S/MIME.

Google proporciona requisitos de certificados y certificados AC de confianza para S/MIME. Si tus certificados no cumplen estos requisitos, posiblemente veas que algunos mensajes no son de confianza. Para solucionar este problema, puedes aceptar otros certificados raíz de autoridades de certificación raíz en las que confíes.

Para aceptar otro certificado raíz, añádelo en la consola de administración de Google. A continuación, especifica al menos un dominio al que se aplica el certificado. Si quieres, también puedes ajustar el nivel de cifrado y el perfil de validación del certificado.

Consulta instrucciones detalladas sobre cómo activar el cifrado S/MIME en Google Workspace en el artículo Habilitar S/MIME alojado para cifrar los mensajes. Para obtener más información sobre el CPC, consulta el artículo Información sobre el cifrado por parte del cliente.

En esta página

Directrices de certificados raíz

Los certificados raíz deben cumplir estas directrices para poder usarse con S/MIME en Google Workspace:

  • El certificado debe estar en formato .pem y solo puede contener un certificado raíz.
  • Las cadenas de certificados deben incluir como mínimo un certificado intermedio.
  • Cada cadena de certificados debe tener un certificado de usuario final. Si no se incluye, Google hace una verificación mínima.
  • Los certificados de usuario final no deben incluir la clave privada.

Importante: debe haber al menos un certificado de una AC intermedia en la cadena; es decir, la AC raíz no debe emitir directamente certificados de entidad final.

Cambiar el dominio de un certificado raíz

No puedes editar la fecha de vencimiento de un certificado ni cambiarlo para sustituirlo. Debes eliminar el certificado y subir uno nuevo. Eliminar certificados raíz no afecta a ningún certificado de usuario final que ya se haya subido.

Para cambiar el dominio de un certificado raíz, sigue estos pasos:

  1. En la consola de administración de Google, ve al ajuste de S/MIME de la pestaña Configuración de usuario.
  2. En la tabla de certificados raíz adicionales, selecciona el certificado que quieras cambiar y haz clic en Editar
  3. Actualiza el dominio y haz clic en Guardar.

Eliminar certificados raíz

Para eliminar un certificado raíz, sigue estos pasos:

  1. En la consola de administración de Google, ve al ajuste de S/MIME de la pestaña Configuración de usuario.
  2. En la tabla de certificados raíz adicionales, selecciona el certificado que quieres quitar y haz clic en Eliminar

Usar distintos certificados para firmar y cifrar

Esta función solo está disponible con el CLC. No está disponible con S/MIME alojado.

Normalmente, las organizaciones usan un único certificado para firmar y cifrar mensajes. No obstante, si tu organización requiere certificados diferentes para firmar y cifrar mensajes, usa la API de CPC de Gmail para subir el certificado público de cifrado y el certificado público de firma para cada usuario.

Más información sobre cómo usar la API de CLC de Gmail para gestionar certificados de usuario

Intercambiar mensajes S/MIME entre dominios

Para permitir que usuarios de diferentes dominios intercambien mensajes S/MIME, es posible que tengas que seguir algunos pasos adicionales en la consola de administración de Google. Sigue los pasos recomendados en este artículo en función de cómo se hayan emitido los certificados de usuario del dominio.

  • Certificados de usuario de ambos dominios emitidos por una AC raíz de confianza: cuando todos los certificados de usuario de ambos dominios los emite una AC raíz de confianza de Google, no tienes que hacer nada más. Gmail siempre confía en estos certificados AC raíz.
  • Certificados de usuario de ambos dominios emitidos por la misma AC raíz que no es de confianza: en este caso, una AC raíz que no es de confianza ha emitido los certificados de usuario de tu dominio y del dominio con el que quieres intercambiar mensajes S/MIME.

    Añade la CA raíz que no es de confianza a tu consola de administración de Google siguiendo los pasos que se indican en el artículo Habilitar S/MIME alojado. En el cuadro Añadir certificado raíz, introduce el otro dominio en el campo Lista de direcciones.

  • Certificados de usuario de uno de los dominios emitidos por una AC raíz que no es de confianza: en este caso, una AC raíz que no es de confianza emite los certificados de usuario de uno de los dominios. Los certificados de usuario del otro dominio los emite una AC raíz diferente.

    Añade la AC raíz del otro dominio a la consola de administración de Google siguiendo los pasos que se indican en el artículo Activar S/MIME alojado. En el cuadro Añadir certificado raíz, introduce el otro dominio en el campo Lista de direcciones

Usar solo cuando sea necesario

Utiliza las opciones de certificado de esta sección solo cuando sea necesario y asegúrate de comprender los posibles impactos al utilizarlas. Permitir discrepancias de certificados (no recomendado)

En ocasiones, la dirección de correo electrónico asociada al certificado de un usuario puede ser diferente de la dirección de correo electrónico principal. Por ejemplo, el certificado de Brandon Pham usa la dirección de correo electrónico b.pham@solarmora.com, pero Brandon utiliza la dirección brandon.pham@solarmora.com para la mayoría de sus correos del trabajo. Esto se conoce como discrepancia entre certificados.

Importante: Por motivos de seguridad, Google recomienda permitir discrepancias de certificados solo cuando tu organización requiera esta función. Si esta opción está activada, los usuarios y los administradores no recibirán ninguna advertencia si los certificados no coinciden, lo que puede deberse a un usuario no autorizado o malicioso.

La opción Permitir discrepancias en los certificados solo está disponible con CSE; no lo está con S/MIME alojado. Para configurar el CPC de forma que permita discrepancias entre certificados, selecciona la opción correspondiente cuando añadas certificados raíz en la configuración de S/MIME alojado. Consulta los pasos detallados para añadir certificados raíz.

Si la opción Permitir discrepancias en los certificados está seleccionada, los destinatarios pueden descifrar y leer los mensajes entrantes que presentan discrepancias en los certificados. Los mensajes anteriores con discrepancias de certificado (recibidos antes de activar la configuración) también se pueden descifrar y leer. Sin embargo, la dirección de correo asociada al certificado del usuario no se guarda en los contactos del destinatario. Para sincronizar y guardar direcciones de correo electrónico, utiliza Google Cloud Directory Sync.

La opción Permitir discrepancias en los certificados solo funciona para contactos internos o contactos sincronizados con GCDS. No funciona para contactos externos.

Permitir el uso de SHA-1 (no recomendado)

Aunque algunos clientes de correo permiten las firmas cifradas con hash SHA-1, estas firmas no parecen de confianza. Esto se debe a que SHA-1 se ha desactivado por motivos de seguridad. 

Cuando añadas un nuevo certificado raíz al ajuste S/MIME, selecciona la opción Permitir el uso de SHA-1 de forma global solo si:

  • Tu organización se comunica con la función de hash de cifrado SHA-1 para proteger los mensajes S/MIME
  • Quieres que estas comunicaciones aparezcan como de confianza

Cuando se selecciona esta opción, Gmail confía en los certificados S/MIME que se adjuntan al correo entrante con SHA-1.

Solucionar problemas al subir certificados

Si tienes problemas para cargar certificados, revisa estas posibles causas y prueba las soluciones recomendadas:

El certificado no cumple los requisitos mínimos para que sea de confianza

Verifica que el certificado no esté autofirmado ni se haya revocado, y que la longitud de la clave sea de 1024 bits como mínimo. A continuación, prueba a subirlo de nuevo.

Edita el certificado para cambiar los dominios de la lista de direcciones. Por ejemplo, si has cargado certificados personalizados y los mensajes aún se consideran no de confianza, intenta editar la lista de dominios permitidos del certificado.

La firma del certificado no es válida.

Verifica que tenga una firma válida e intenta subirlo de nuevo.

Certificado caducado

Comprueba que la fecha del certificado esté dentro del periodo especificado en los campos No anterior (fecha) y No después (fecha). A continuación, prueba a subirlo de nuevo.

La cadena de certificados tiene al menos un certificado no válido.

Verifica que el formato del certificado sea correcto e intenta subirlo de nuevo.

El certificado contiene varios certificados raíz

No puedes cargar un certificado que contenga más de un certificado raíz. Verifica que solo tiene un certificado raíz y, a continuación, prueba a subirlo de nuevo.

No se ha podido analizar el certificado

Verifica que el formato del certificado sea correcto e intenta subirlo de nuevo.

El servidor devuelve una respuesta desconocida

Verifica que el formato del certificado sea correcto e intenta subirlo de nuevo.

No se ha podido subir el certificado

Es posible que haya habido un problema al conectarse al servidor. Suele ser un problema temporal. Espera unos minutos y prueba a subir el vídeo de nuevo. Si aun así no puedes subirlo, verifica que el certificado tiene el formato correcto.

Temas relacionados

Activar S/MIME alojado para cifrar mensajes

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
13232905051212471760
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false