Notificación

Duet AI ahora es Gemini para Google Workspace. Más información

Gestionar certificados de confianza para S/MIME (avanzado)

Ediciones compatibles con esta función: Enterprise Plus y Education Fundamentals, Education Standard, Teaching and Learning Upgrade y Education PlusComparar ediciones

S/MIME alojado y el cifrado por parte del cliente (CPC) son funciones de Google Workspace que permiten a tus usuarios enviar y recibir mensajes de correo con S/MIME.

Google proporciona requisitos de certificados y certificados AC de confianza para S/MIME. Si tus certificados no cumplen estos requisitos, posiblemente veas que algunos mensajes no son de confianza. Para solucionar este problema, puedes aceptar otros certificados raíz de autoridades de certificación raíz en las que confíes.

Para aceptar otro certificado raíz, añádelo en la consola de administración de Google. A continuación, especifica al menos un dominio al que se aplica el certificado. Si quieres, también puedes ajustar el nivel de cifrado y el perfil de validación del certificado.

Consulta instrucciones detalladas sobre cómo activar el cifrado S/MIME en Google Workspace en el artículo Habilitar S/MIME alojado para cifrar los mensajes. Para obtener más información sobre el CPC, consulta el artículo Información sobre el cifrado por parte del cliente.

En esta página

Directrices de certificados raíz

Los certificados raíz deben cumplir estas directrices para poder usarse con S/MIME en Google Workspace:

  • El certificado debe estar en formato .pem y solo puede contener un certificado raíz.
  • Las cadenas de certificados deben incluir como mínimo un certificado intermedio.
  • Cada cadena de certificados debe tener un certificado de usuario final. Si no se incluye, Google hace una verificación mínima.
  • Los certificados de usuario final no deben incluir la clave privada.

Importante: debe haber al menos un certificado de una AC intermedia en la cadena; es decir, la AC raíz no debe emitir directamente certificados de entidad final.

Cambiar el dominio de un certificado raíz

No puedes editar la fecha de vencimiento de un certificado ni cambiarlo para sustituirlo. Debes eliminar el certificado y subir uno nuevo. Eliminar certificados raíz no afecta a ningún certificado de usuario final que ya se haya subido.

Para cambiar el dominio de un certificado raíz, sigue estos pasos:

  1. En la consola de administración de Google, ve al ajuste de S/MIME de la pestaña Configuración de usuario.
  2. En la tabla de certificados raíz adicionales, selecciona el certificado que quieras cambiar y haz clic en Editar
  3. Actualiza el dominio y haz clic en Guardar.

Eliminar certificados raíz

Para eliminar un certificado raíz, sigue estos pasos:

  1. En la consola de administración de Google, ve al ajuste de S/MIME de la pestaña Configuración de usuario.
  2. En la tabla de certificados raíz adicionales, selecciona el certificado que quieres quitar y haz clic en Eliminar

Solucionar problemas al subir certificados

Para identificar y resolver posibles errores al subir certificados, comprueba lo siguiente:

  • El certificado no cumple los requisitos mínimos para que sea de confianza. Comprueba que el certificado no esté autofirmado, que no se haya revocado y que la longitud de la clave no sea inferior a 1024 bits. A continuación, prueba a subirlo de nuevo.
  • El certificado tiene una firma que no es válida. Verifica que tenga una firma válida e intenta subirlo de nuevo.
  • El certificado ha caducado. Comprueba que la fecha del certificado esté dentro del periodo especificado en los campos "No anterior" (fecha) y "No después" (fecha). A continuación, prueba a subirlo de nuevo.
  • La cadena de certificados subidos contiene como mínimo un certificado que no es válido. Verifica que el formato del certificado sea correcto e intenta subirlo de nuevo.
  • El certificado subido contiene varios certificados raíz. Verifica que solo tiene un certificado raíz y, a continuación, prueba a subirlo de nuevo.
  • No se ha podido analizar el certificado. Verifica que el formato del certificado sea correcto e intenta subirlo de nuevo.
  • El servidor no ha podido analizar el certificado o ha emitido una respuesta desconocida. Verifica que el formato del certificado sea correcto e intenta subirlo de nuevo.
  • No se ha podido subir el certificado. Se ha producido un problema de comunicación con el servidor. Probablemente se trate de un problema temporal; espera unos minutos e inténtalo de nuevo. Si aun así no puedes subirlo, asegúrate de que el certificado tenga el formato correcto.
  • Edita un certificado raíz. Puedes editar un certificado para cambiar los dominios de la lista de direcciones. Por ejemplo, si has subido certificados personalizados y todavía se considera que tus mensajes no son de confianza, prueba a cambiar la lista de dominios permitidos.

Intercambiar mensajes S/MIME entre dominios

Para permitir que usuarios de diferentes dominios intercambien mensajes S/MIME, es posible que tengas que seguir algunos pasos adicionales en la consola de administración de Google. Sigue los pasos recomendados en este artículo en función de cómo se hayan emitido los certificados de usuario del dominio.

  • Certificados de usuario de ambos dominios emitidos por una AC raíz de confianza: cuando todos los certificados de usuario de ambos dominios los emite una AC raíz de confianza de Google, no tienes que hacer nada más. Gmail siempre confía en estos certificados AC raíz.
  • Certificados de usuario de ambos dominios emitidos por la misma AC raíz que no es de confianza: en este caso, una AC raíz que no es de confianza ha emitido los certificados de usuario de tu dominio y del dominio con el que quieres intercambiar mensajes S/MIME.

    Añade la CA raíz que no es de confianza a tu consola de administración de Google siguiendo los pasos que se indican en el artículo Habilitar S/MIME alojado. En el cuadro Añadir certificado raíz, introduce el otro dominio en el campo Lista de direcciones.

  • Certificados de usuario de uno de los dominios emitidos por una AC raíz que no es de confianza: en este caso, una AC raíz que no es de confianza emite los certificados de usuario de uno de los dominios. Los certificados de usuario del otro dominio los emite una AC raíz diferente.

    Añade la AC raíz del otro dominio a la consola de administración de Google siguiendo los pasos que se indican en el artículo Habilitar S/MIME alojado. En el cuadro Añadir certificado raíz, introduce el otro dominio en el campo Lista de direcciones

Distintos certificados para firmar y cifrar

Esta función solo está disponible con el CLC. No está disponible con S/MIME alojado.

Normalmente, las organizaciones usan un único certificado para firmar y cifrar mensajes. No obstante, si tu organización requiere certificados diferentes para firmar y cifrar mensajes, usa la API de CPC de Gmail para subir el certificado público de cifrado y el certificado público de firma para cada usuario.

Más información sobre cómo usar la API de CLC de Gmail para gestionar certificados de usuario

Permitir discrepancias de certificados (no recomendado)

Esta función solo está disponible con el CLC. No está disponible con S/MIME alojado.

Importante: Por motivos de seguridad, te recomendamos que solo permitas que haya discrepancias entre certificados cuando tu organización requiera esta función. Si esta opción está activada, los usuarios y los administradores no recibirán ninguna advertencia si los certificados no coinciden, lo que puede deberse a un usuario no autorizado o malicioso.

En ocasiones, la dirección de correo electrónico asociada al certificado de un usuario puede ser diferente de la dirección de correo electrónico principal. Por ejemplo, el certificado de Brandon Pham usa la dirección de correo electrónico b.pham@solarmora.com, pero Brandon utiliza la dirección brandon.pham@solarmora.com para la mayoría de sus correos del trabajo. Esto se conoce como discrepancia entre certificados.

Para configurar el CPC de forma que permita discrepancias entre certificados, selecciona la opción correspondiente cuando añadas certificados raíz en la configuración de S/MIME alojado. Consulta los pasos detallados para añadir certificados raíz.

Si la opción Permitir discrepancias en los certificados está seleccionada, los destinatarios pueden descifrar y leer los mensajes entrantes que presentan discrepancias en los certificados. Sin embargo, el certificado no se guarda automáticamente en sus contactos.

Los mensajes anteriores (con una discrepancia con el certificado) recibidos antes de activar esta opción de configuración se pueden descifrar y leer. Si la opción se activa y se desactiva, no se podrán descifrar los mensajes anteriores y nuevos que se hayan podido descifrar al seleccionar la opción (es decir, los que tengan una discrepancia con el certificado).

Permitir el uso de SHA-1 (no recomendado)

Aunque algunos clientes de correo permiten las firmas cifradas con hash SHA-1, estas firmas no parecen de confianza. Esto se debe a que SHA-1 se ha desactivado por motivos de seguridad. 

Cuando añadas un nuevo certificado raíz al ajuste S/MIME, selecciona la opción Permitir el uso de SHA-1 de forma global solo si:

  • Tu organización se comunica con la función de hash de cifrado SHA-1 para proteger los mensajes S/MIME
  • Quieres que estas comunicaciones aparezcan como de confianza

Cuando se selecciona esta opción, Gmail confía en los certificados S/MIME que se adjuntan al correo entrante con SHA-1.

Temas relacionados

Activar S/MIME alojado para cifrar mensajes

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Menú principal
190660545728350913
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false