通知

Duet AI は Gemini for Google Workspace になりました。詳細

S/MIME の信頼できる証明書を管理する(上級者向け)

サポート対象エディション: Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus。  エディションの比較

ホスト型 S/MIME とクライアントサイド暗号化(CSE)は、ユーザーが S/MIME メールを送受信できるようにする Google Workspace の機能です。

Google では、S/MIME の証明書の要件が定められており、信頼できる CA 証明書をご利用いただけます。ご利用の証明書がこれらの要件を満たしていない場合、一部のメールが信頼されない可能性があります。この問題を解決するには、信頼できるルート認証局(CA)とは異なるルート証明書を許可します。

別のルート証明書を許可するには、Google 管理コンソールで追加します。次に、証明書を適用するドメインを 1 つ以上指定します。必要に応じて、証明書の暗号化レベルと検証プロファイルを調整することも可能です。

Google Workspace で S/MIME を有効にする手順について詳しくは、ホスト型 S/MIME を有効にしてメールを暗号化する方法をご覧ください。CSE について詳しくは、クライアントサイド暗号化についてをご覧ください。

目次

ルート証明書のガイドライン

Google Workspace の S/MIME でルート証明書を使用するには、次のガイドラインを遵守する必要があります。

  • 証明書には .pem 形式を指定する必要があり、1 つのルート証明書のみを含めることができます。
  • 証明書チェーンには、少なくとも 1 つの中間証明書を含める必要があります。
  • 各証明書チェーンにはエンドユーザー証明書を含める必要があります。含まれていない場合は、Google で最小限の検証のみを行います。
  • エンドユーザー証明書には秘密鍵を含めないでください。

重要: 少なくとも 1 つの中間 CA 証明書がチェーン内に存在する必要があります。つまり、ルート CA がエンド エンティティ証明書を直接発行することは許可されていません。

ルート証明書のドメインを変更する

証明書の有効期限を編集することや、証明書を編集して置き換えることはできません。証明書を削除して新しい証明書をアップロードする必要があります。ルート証明書を削除しても、すでにアップロード済みのエンドユーザー証明書には影響しません。

ルート証明書のドメインを変更するには、以下の操作を行います。

  1. Google 管理コンソールの [ユーザー設定] タブで [S/MIME] 設定に移動します。
  2. 追加のルート証明書のリストで変更する証明書を選択して、[編集] をクリックします。
  3. ドメインを更新して、[保存] をクリックします。

ルート証明書を削除する

ルート証明書を削除するには、以下の操作を行います。

  1. Google 管理コンソールの [ユーザー設定] タブで [S/MIME] 設定に移動します。
  2. 追加のルート証明書のリストで削除する証明書を選択して、[削除] をクリックします。

証明書のアップロードに関する問題のトラブルシューティング

アップロード エラーを特定して解決するには、次の項目を確認してください。

  • この証明書は、信頼されるための最小要件を満たしていません。証明書が自己署名されていないこと、失効していないこと、鍵の長さが 1,024 ビット以上であることを確認して、もう一度アップロードをお試しください。
  • 証明書に無効な署名があります。証明書の署名が有効であることを確認して、もう一度アップロードをお試しください。
  • 証明書の期限が切れています。証明書の日付が、[開始時刻] 欄と [終了時刻] 欄で指定した期間内の日付であることを確認して、もう一度アップロードをお試しください。
  • アップロードした証明書チェーンには、無効な証明書が 1 つ以上含まれています。証明書の形式が正しいことを確認して、もう一度アップロードをお試しください。
  • アップロードした証明書には複数のルート証明書が含まれています。証明書に含まれているルート証明書が 1 つのみであることを確認し、もう一度アップロードをお試しください。
  • 証明書を解析できませんでした。証明書の形式が正しいことを確認して、もう一度アップロードをお試しください。
  • サーバーが証明書を解析できなかった、またはサーバーから不明な応答がありました。証明書の形式が正しいことを確認して、もう一度アップロードをお試しください。
  • 証明書をアップロードできません。サーバーとの通信中に問題が発生しました。これは一時的な問題である可能性が高いため、数分後にもう一度試してください。引き続きアップロードが失敗する場合は、証明書の形式が正しいことを確認してください。
  • ルート証明書を編集します。証明書を編集して、アドレスリストのドメインを変更することができます。たとえば、カスタム証明書をアップロードしているにもかかわらず、「信頼できない」とみなされてエラー メッセージが表示される場合は、許可されたドメインのリストを変更してみてください。

ドメイン間で S/MIME メールを送受信する

さまざまなドメインのユーザーが S/MIME メールを送受信できるようにするには、Google 管理コンソールで追加の手順が必要になる場合があります。ドメインのユーザー証明書の発行方法に応じて、こちらの推奨される手順を行ってください。

  • 両方のドメインのユーザー証明書が信頼できるルート CA によって発行された: 両方のドメインのすべてのユーザー証明書が Google が信頼するルート CA によって発行されている場合、管理者は何もする必要がありません。これらのルート CA 証明書は、Gmail で常に信頼されます。
  • 両方のドメインのユーザー証明書が信頼できない同一のルート CA によって発行された: この場合、お使いのドメインと S/MIME メールの送受信に使用するドメインのユーザー証明書が信頼できないルート CA によって発行されています。

    ホスト型 S/MIME を有効にするの手順に沿って、信頼できないルート CA を Google 管理コンソールに追加してください。[ルート証明書を追加] ボックスで、[アドレスリスト] に他のドメインを入力します。

  • 片方のドメインのユーザー証明書が信頼できないルート CA によって発行された: この場合、片方のドメインのユーザー証明書が信頼できないルート CA によって発行されています。もう一方のドメインのユーザー証明書は、異なるルート CA によって発行されています。

    ホスト型 S/MIME を有効にするの手順に沿って、片方のドメインのルート CA を Google 管理コンソールに追加してください。[ルート証明書を追加] ボックスで、[アドレスリスト] に他のドメインを入力します。

署名と暗号化に別々の証明書を使用する

この機能は CSE でのみご利用いただけます。ホスト型 S/MIME では使用できません。

通常、組織はメッセージの署名と暗号化の両方に 1 つの証明書を使用します。しかし、組織でメールの署名と暗号化にそれぞれ異なる証明書が必要な場合は、Gmail CSE API を使用して、暗号化用の公開証明書と署名用の公開証明書をユーザーごとにアップロードできます。

詳しくは、Gmail CSE API を使用したユーザー証明書の管理についてご確認ください。

証明書の不一致を許可する(非推奨)

この機能は CSE でのみご利用いただけます。ホスト型 S/MIME では使用できません。

重要: セキュリティ上の理由から、この機能が組織で必要な場合にのみ、証明書の不一致を許可することをおすすめします。このオプションをオンにすると、証明書の不一致が権限のないユーザーや悪意のあるユーザーを原因とする場合でも、ユーザーと管理者に警告が表示されなくなります。

ユーザーの証明書に関連付けられたメールアドレスが、ユーザーのメインのメールアドレスと異なっている場合があります。たとえば、Brandon Pham さんの証明書で b.pham@solarmora.com というメールアドレスが使用されているのに、Brandon Pham さんは仕事用メールアドレスでは通常 brandon.pham@solarmora.com を使用しているといったケースです。これは証明書の不一致と呼ばれます。

証明書の不一致を許可するように CSE を設定するには、ホスト型 S/MIME 設定でルート証明書を追加する際に証明書の不一致に関するオプションを選択します。詳しくは、ルート証明書の追加手順をご覧ください。

[証明書の不一致を許可する] オプションを選択すると、受信者は証明書に不一致のあるメールでも復号して読むことができます。ただし、証明書が連絡先に自動的に保存されることはありません。

この設定がオンになる前に受信した、証明書に不一致があるメールも、復号して読むことができます。このオプションをオンからオフに変更すると、オンの場合に復号できた、証明書に不一致があるメッセージは、過去のものも新しいものも復号できなくなります。

SHA-1 を許可する(非推奨)

一部のメール クライアントでは SHA-1 ハッシュ形式の署名を使用できますが、このような署名は信頼できないものとして表示されます。これは、セキュリティ上の問題により SHA-1 のサポートが終了したためです。

[S/MIME] 設定に新しいルート証明書を追加する場合は、以下の場合にのみ [SHA-1 をグローバルで許可] オプションを選択します。

  • S/MIME によるメール セキュリティ対策に SHA-1 暗号化ハッシュ関数を組織で使用しており、
  • 信頼できるメールとしてこれらの形式で表示させたい場合。

このオプションを選択すると、Gmail は SHA-1 を使用した受信メールに添付された S/MIME 証明書を信頼できるものとして認識するようになります。

関連トピック

ホスト型 S/MIME を有効にしてメールを暗号化する

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
メインメニュー
6145279793217391004
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false