Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Gérer les certificats de confiance pour S/MIME (avancé)

Éditions compatibles avec cette fonctionnalité : Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade et Education PlusComparer votre édition

S/MIME hébergé et le chiffrement côté client (CSE) sont des fonctionnalités Google Workspace qui permettent à vos utilisateurs d'envoyer et de recevoir des e-mails S/MIME.

Google fournit des exigences concernant les certificats et des certificats CA de confiance pour S/MIME. Si vos certificats ne répondent pas à ces exigences, vous remarquerez peut-être que certains messages ne sont pas approuvés. Pour résoudre ce problème, vous pouvez accepter d'autres certificats racines, provenant d'autorités de certification racine de confiance.

Pour accepter un certificat racine supplémentaire, ajoutez-le dans la console d'administration Google. Ensuite, spécifiez au moins un domaine auquel le certificat s'applique. Vous pouvez également ajuster le niveau de chiffrement et le profil de validation du certificat.

Pour connaître la procédure détaillée permettant d'activer S/MIME dans Google Workspace, consultez Activer S/MIME hébergé pour le chiffrement des messages. Pour en savoir plus sur le CSE, consultez À propos du chiffrement côté client.

Sur cette page

Consignes relatives aux certificats racines

Les certificats racines doivent respecter les consignes suivantes pour pouvoir être utilisés avec S/MIME dans Google Workspace:

  • Le certificat doit être au format .pem et ne contenir qu'un seul certificat racine.
  • La chaîne de certificats doit inclure au moins un certificat intermédiaire.
  • Chaque chaîne de certificat doit comporter un certificat d'utilisateur final. En l'absence de ce certificat, Google effectue une validation minimale.
  • Le certificat d'utilisateur final ne doit pas inclure la clé privée.

Important : Vous devez obligatoirement inclure au moins un certificat CA intermédiaire dans la chaîne. Autrement dit, l'autorité de certification racine ne doit pas émettre directement de certificats d'entité de fin.

Modifier le domaine d'un certificat racine

Vous ne pouvez pas modifier la date d'expiration d'un certificat ni le remplacer par un autre. Vous devez supprimer le certificat et en importer un nouveau. La suppression d'un certificat racine n'affecte aucun certificat d'utilisateur final qui a déjà été importé.

Pour modifier le domaine d'un certificat racine:

  1. Dans la console d'administration Google, accédez au paramètre S/MIME dans l'onglet Paramètres utilisateur.
  2. Dans le tableau des certificats racines supplémentaires, sélectionnez le certificat que vous souhaitez modifier, puis cliquez sur Modifier
  3. Mettez à jour le domaine, puis cliquez sur Enregistrer.

Supprimer un certificat racine

Pour supprimer un certificat racine:

  1. Dans la console d'administration Google, accédez au paramètre S/MIME dans l'onglet Paramètres utilisateur.
  2. Dans le tableau des certificats racine supplémentaires, sélectionnez celui que vous souhaitez supprimer, puis cliquez sur Supprimer

Résoudre les problèmes d'importation de certificats

Pour identifier et résoudre les problèmes d'importation, vérifiez les éléments suivants :

  • Le certificat ne remplit pas les conditions requises pour être approuvé.Vérifiez que le certificat n'est pas autosigné, qu'il n'a pas été révoqué et que la longueur de la clé n'est pas inférieure à 1 024 bits. Réessayez ensuite d'importer.
  • La signature du certificat est invalide. Vérifiez que le certificat a une signature valide, puis réessayez de l'importer.
  • Le certificat a expiré. Vérifiez que la date du certificat est comprise dans la plage de dates spécifiée dans les champs Pas avant le (date) et Pas après le (date). Réessayez ensuite d'importer.
  • La chaîne de certificats importée contient au moins un certificat non valide. Vérifiez que le certificat respecte le format approprié, puis réessayez de l'importer.
  • Le certificat importé contient plusieurs certificats racines. Vérifiez que le certificat ne comporte qu'un seul certificat racine, puis réessayez de l'importer.
  • L'analyse du certificat est impossible. Vérifiez que le certificat respecte le format approprié, puis réessayez de l'importer.
  • Le serveur n'a pas pu analyser le certificat ou a renvoyé une réponse inconnue. Vérifiez que le certificat respecte le format approprié, puis réessayez de l'importer.
  • L'importation du certificat est impossible. Un problème est survenu lors de la communication avec le serveur. Il s'agit probablement d'un problème temporaire. Attendez quelques minutes et réessayez. Si l'importation continue d'échouer, vérifiez que le certificat respecte le format approprié.
  • Modifiez un certificat racine. Vous pouvez modifier les domaines dans la liste d'adresses du certificat. Par exemple, si vous avez importé des certificats personnalisés et que vos messages sont toujours "non approuvés", essayez de modifier la liste des domaines autorisés.

Échanger des messages S/MIME entre des domaines

Pour permettre aux utilisateurs de différents domaines d'échanger des messages S/MIME, vous devrez peut-être effectuer quelques étapes supplémentaires dans la console d'administration Google. Suivez la procédure recommandée, en fonction de la manière dont les certificats utilisateur sont émis pour le domaine.

  • Certificats utilisateur des deux domaines émis par une autorité de certification racine de confiance : lorsque tous les certificats utilisateur des deux domaines sont émis par une autorité de certification racine approuvée par Google, vous n'avez pas besoin d'effectuer des étapes supplémentaires. Ces certificats CA racine sont toujours approuvés par Gmail.
  • Les certificats utilisateur du domaine émis par la même autorité de certification racine non approuvée : dans ce cas, une autorité de certification racine non approuvée a émis les certificats utilisateur de votre domaine et du domaine avec lequel vous souhaitez échanger des messages S/MIME.

    Ajoutez l'autorité de certification racine non approuvée à la console d'administration Google en suivant la procédure décrite dans Activer S/MIME hébergé. Dans le champ Ajouter un certificat racine, saisissez l'autre domaine dans le champ Liste d'adresses.

  • Certificats utilisateur d'un domaine émis par une autorité de certification racine non approuvée : dans ce cas, les certificats utilisateur d'un domaine sont émis par une autorité de certification racine non approuvée. Les certificats utilisateur de l'autre domaine sont émis par une autorité de certification racine différente.

    Ajoutez l'autorité de certification racine de l'autre domaine à votre console d'administration Google en suivant la procédure décrite dans Activer S/MIME hébergé. Dans le champ Ajouter un certificat racine, saisissez l'autre domaine dans le champ Liste d'adresses

Différents certificats pour la signature et le chiffrement

Cette fonctionnalité n'est disponible qu'avec le CSE. Elle n'est pas disponible avec le protocole S/MIME hébergé.

En règle générale, les organisations utilisent un seul certificat pour signer et chiffrer les messages. Toutefois, si votre organisation exige des certificats différents pour la signature et le chiffrement des messages, utilisez l'API Gmail CSE pour importer le certificat public de chiffrement et le certificat public de signature pour chaque utilisateur.

En savoir plus sur l'utilisation de l'API Gmail CSE pour gérer les certificats utilisateur

Autoriser la non-concordance du certificat (non recommandé)

Cette fonctionnalité n'est disponible qu'avec le CSE. Elle n'est pas disponible avec le protocole S/MIME hébergé.

Important : Pour des raisons de sécurité, nous vous recommandons de n'autoriser les incohérences de certificats que lorsque cette fonctionnalité est requise par votre organisation. Lorsque cette option est activée, les utilisateurs et les administrateurs ne reçoivent pas d'avertissement en cas de non-concordance des certificats, qui peut être due à un utilisateur non autorisé ou malveillant.

L'adresse e-mail associée au certificat d'un utilisateur peut parfois être différente de son adresse e-mail principale. Par exemple, le certificat de Brandon Pham utilise l'adresse b.pham@solarmora.com, mais Brandon utilise l'adresse brandon.pham@solarmora.com pour la plupart de ses e-mails professionnels. C'est ce qu'on appelle une non-concordance du certificat.

Pour configurer le CSE de manière à autoriser la non-concordance de certificats, sélectionnez l'option "Non-concordance des certificats" lorsque vous ajoutez des certificats racines dans le paramètre S/MIME hébergé. Consultez la procédure détaillée pour ajouter des certificats racines.

Lorsque l'option Autoriser la non-concordance des certificats est sélectionnée, les destinataires peuvent déchiffrer et lire les messages entrants avec non-concordance de certificat. Toutefois, le certificat n'est pas automatiquement enregistré dans leurs contacts.

Les messages antérieurs (avec non-concordance de certificat) reçus avant l'activation de ce paramètre peuvent être déchiffrés et lus. Si l'option est activée, puis désactivée, les messages nouveaux et passés (avec une non-concordance de certificat) qui pouvaient être déchiffrés alors que l'option était sélectionnée ne peuvent plus être déchiffrés.

Autoriser SHA-1 (non recommandé)

Bien que certains clients de messagerie autorisent les signatures hachées SHA-1, ces signatures ne semblent pas fiables. SHA-1 a été abandonné en raison de problèmes de sécurité. 

Lorsque vous ajoutez un certificat racine au paramètre S/MIME, sélectionnez l'option Autoriser la signature SHA-1 à l'échelle globale uniquement si:

  • Votre organisation communique à l'aide de la fonction de hachage cryptographique SHA-1 pour assurer la sécurité des messages S/MIME.
  • Vous voulez que ces communications apparaissent comme dignes de confiance.

Lorsque cette option est sélectionnée, Gmail fait confiance aux certificats S/MIME associés aux messages entrants avec SHA-1.

Articles associés

Activer S/MIME hébergé pour le chiffrement des messages

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
3041454042714525543
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false