Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education Plus. Comparer votre édition
S/MIME hébergé et le chiffrement côté client (CSE) sont des fonctionnalités Google Workspace qui permettent à vos utilisateurs d'envoyer et de recevoir des e-mails S/MIME.
Google fournit des exigences concernant les certificats et des certificats CA de confiance pour S/MIME. Si vos certificats ne répondent pas à ces exigences, vous remarquerez peut-être que certains messages ne sont pas approuvés. Pour résoudre ce problème, vous pouvez accepter d'autres certificats racines, provenant d'autorités de certification racine de confiance.
Pour accepter un certificat racine supplémentaire, ajoutez-le dans la console d'administration Google. Spécifiez ensuite au moins un domaine auquel le certificat s'applique. Vous pouvez également ajuster le niveau de chiffrement et le profil de validation du certificat.
Pour connaître la procédure détaillée permettant d'activer S/MIME dans Google Workspace, consultez Activer S/MIME hébergé pour le chiffrement des messages. Pour en savoir plus sur le CSE, consultez À propos du chiffrement côté client.
- Consignes relatives aux certificats racines
- Modifier le domaine d'un certificat racine
- Supprimer un certificat racine
- Échanger des messages S/MIME entre des domaines
- Utiliser différents certificats pour la signature et le chiffrement
- Autoriser les incohérences avec le certificat (non recommandé)
- Autoriser SHA-1 (non recommandé)
- Résoudre les problèmes d'importation de certificats racine
Consignes relatives aux certificats racines
Les certificats racine doivent respecter les consignes suivantes pour pouvoir être utilisés avec S/MIME dans Google Workspace :
- Le certificat doit être au format .pem et contenir un seul certificat racine.
- La chaîne de certificats doit inclure au moins un certificat intermédiaire.
- Chaque chaîne de certificat doit comporter un certificat d'utilisateur final. En l'absence de ce certificat, Google effectue une validation minimale.
- Le certificat d'utilisateur final ne doit pas inclure la clé privée.
Important : Vous devez obligatoirement inclure au moins un certificat CA intermédiaire dans la chaîne. Autrement dit, l'autorité de certification racine ne doit pas émettre directement de certificats d'entité de fin.
Modifier le domaine d'un certificat racine
Vous ne pouvez pas modifier la date d'expiration d'un certificat ni le remplacer par un autre. Vous devez supprimer le certificat, puis en importer un nouveau. La suppression d'un certificat racine n'affecte aucun certificat d'utilisateur final qui a déjà été importé.
Pour modifier le domaine d'un certificat racine :
- Dans la console d'administration Google, accédez au paramètre S/MIME dans l'onglet Paramètres utilisateur.
- Dans le tableau des certificats racines supplémentaires, sélectionnez le certificat que vous souhaitez modifier, puis cliquez sur Modifier.
- Modifiez le domaine, puis cliquez sur Enregistrer.
Supprimer un certificat racine
Pour supprimer un certificat racine :
- Dans la console d'administration Google, accédez au paramètre S/MIME dans l'onglet Paramètres utilisateur.
- Dans le tableau des certificats racine supplémentaires, sélectionnez celui que vous souhaitez supprimer, puis cliquez sur Supprimer.
Utiliser différents certificats pour la signature et le chiffrement
Cette fonctionnalité n'est disponible qu'avec le CSE. Elle n'est pas compatible avec S/MIME hébergé.
En règle générale, les organisations utilisent un seul certificat pour signer et chiffrer les messages. Toutefois, si votre organisation exige des certificats différents pour la signature et le chiffrement des messages, utilisez l'API Gmail CSE pour importer le certificat public de chiffrement et le certificat public de signature pour chaque utilisateur.
En savoir plus sur l'utilisation de l'API Gmail CSE pour gérer les certificats utilisateur
Échanger des messages S/MIME entre des domaines
Pour permettre aux utilisateurs de différents domaines d'échanger des messages S/MIME, vous devrez peut-être effectuer quelques étapes supplémentaires dans la console d'administration Google. Suivez la procédure recommandée ici, en fonction de la manière dont les certificats utilisateur sont émis pour le domaine.
- Certificats utilisateur des deux domaines émis par une autorité de certification racine de confiance : lorsque tous les certificats utilisateur des deux domaines sont émis par une autorité de certification racine approuvée par Google, vous n'avez pas besoin d'effectuer des étapes supplémentaires. Ces certificats CA racine sont toujours approuvés par Gmail.
- Les certificats utilisateur du domaine émis par la même autorité de certification racine non approuvée : dans ce cas, une autorité de certification racine non approuvée a émis les certificats utilisateur de votre domaine et du domaine avec lequel vous souhaitez échanger des messages S/MIME.
Ajoutez l'autorité de certification racine non approuvée à la console d'administration Google en suivant la procédure décrite dans Activer S/MIME hébergé. Dans le champ Ajouter un certificat racine, saisissez l'autre domaine dans le champ Liste d'adresses.
- Certificats utilisateur d'un domaine émis par une autorité de certification racine non approuvée : dans ce cas, les certificats utilisateur d'un domaine sont émis par une autorité de certification racine non approuvée. Les certificats utilisateur de l'autre domaine sont émis par une autorité de certification racine différente.
Ajoutez l'autorité de certification racine de l'autre domaine à la console d'administration Google en suivant la procédure décrite dans Activer S/MIME hébergé. Dans le champ Ajouter un certificat racine, saisissez l'autre domaine dans le champ Liste d'adresses.
À utiliser uniquement si nécessaire
Utilisez les options de certificat de cette section uniquement si nécessaire et assurez-vous de bien comprendre les impacts possibles de leur utilisation. Autoriser les incohérences avec le certificat (non recommandé)L'adresse e-mail associée au certificat d'un utilisateur peut parfois être différente de son adresse e-mail principale. Par exemple, le certificat de Brandon Pham utilise l'adresse b.pham@solarmora.com, mais Brandon utilise l'adresse brandon.pham@solarmora.com pour la plupart de ses e-mails professionnels. C'est ce qu'on appelle une non-concordance du certificat.
Important : Pour des raisons de sécurité, nous vous recommandons de n'autoriser les incohérences avec le certificat que lorsque cette fonctionnalité est requise par votre organisation. Lorsque cette option est activée, les utilisateurs et les administrateurs ne reçoivent pas d'avertissement en cas d'incohérence avec le certificat, qui peut être due à un utilisateur non autorisé ou malveillant.
L'option Allow certificate mismatch (Autoriser les incohérences avec le certificat) n'est disponible qu'avec le CSE, et non avec S/MIME hébergé. Pour configurer le CSE de manière à autoriser les incohérences avec le certificat, sélectionnez l'option d'incohérence avec le certificat lorsque vous ajoutez des certificats racine dans le paramètre S/MIME hébergé. Consultez la procédure détaillée pour ajouter des certificats racine.
Lorsque l'option Autoriser la non-concordance des certificats est sélectionnée, les destinataires peuvent déchiffrer et lire les messages entrants avec non-concordance de certificat. Les messages antérieurs (reçus avant l'activation du paramètre) présentant une incohérence avec le certificat peuvent également être déchiffrés et lus. Toutefois, l'adresse e-mail associée au certificat de l'utilisateur n'est pas enregistrée dans les contacts du destinataire. Pour synchroniser et enregistrer des adresses e-mail, utilisez Google Cloud Directory Sync.
L'option Allow certificate mismatch (Autoriser les incohérences avec le certificat) ne s'applique qu'aux contacts internes ou synchronisés avec GCDS. Elle ne fonctionne pas pour les contacts externes.
Bien que certains clients de messagerie autorisent les signatures hachées SHA-1, ces signatures ne semblent pas fiables. En effet, SHA-1 a été abandonné en raison de problèmes de sécurité.
Lorsque vous ajoutez un certificat racine au paramètre S/MIME, sélectionnez l'option Autoriser la signature SHA-1 à l'échelle globale uniquement si:
- votre organisation communique à l'aide de la fonction de hachage cryptographique SHA-1 pour assurer la sécurité des messages S/MIME, et
- vous souhaitez que ces communications apparaissent comme dignes de confiance.
Lorsque cette option est sélectionnée, Gmail fait confiance aux certificats S/MIME associés aux messages entrants avec SHA-1.
Résoudre les problèmes d'importation de certificats
Si vous rencontrez des problèmes lors de l'importation de certificats, examinez ces causes possibles et essayez les solutions recommandées :
Le certificat ne remplit pas les conditions requises pour être approuvé
Vérifiez que le certificat n'est pas autosigné, qu'il n'a pas été révoqué et que la longueur de la clé n'est pas inférieure à 1 024 bits. Essayez ensuite d'importer à nouveau le certificat.
Modifiez le certificat pour changer les domaines dans la liste d'adresses. Par exemple, si vous avez importé des certificats personnalisés et que les messages sont toujours traités comme non approuvés, essayez de modifier la liste des domaines autorisés du certificat.
La signature du certificat n'est pas valide
Vérifiez que le certificat a une signature valide, puis essayez à nouveau de l'importer.
Le certificat a expiré
Vérifiez que la date du certificat est comprise dans la plage de dates spécifiée dans les champs Pas avant le (date) et Pas après le (date). Essayez ensuite d'importer à nouveau le certificat.
La chaîne de certificats contient au moins un certificat non valide
Vérifiez que le certificat respecte le format approprié, puis essayez à nouveau de l'importer.
Le certificat contient plusieurs certificats racine
Vous ne pouvez pas importer un certificat contenant plusieurs certificats racine. Vérifiez que le certificat ne comporte qu'un seul certificat racine, puis essayez à nouveau de l'importer.
Impossible d'analyser le certificat
Vérifiez que le certificat respecte le format approprié, puis essayez à nouveau de l'importer.
Le serveur renvoie une réponse inconnue
Vérifiez que le certificat respecte le format approprié, puis essayez à nouveau de l'importer.
Impossible d'importer le certificat
Un problème est peut-être survenu lors de la connexion au serveur. Il s'agit généralement d'un problème temporaire. Patientez quelques minutes, puis essayez à nouveau d'importer le certificat. Si l'importation continue d'échouer, vérifiez que le certificat est correctement formaté.