Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Gerenciar certificados confiáveis para S/MIME (avançado)

Edições compatíveis com este recurso: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade e Education PlusComparar sua edição

O S/MIME hospedado e a criptografia do lado do cliente (CSE) são recursos do Google Workspace para os usuários enviarem e receberem mensagens de e-mail S/MIME.

O Google fornece requisitos de certificado e certificados de CA confiáveis para S/MIME. Se os certificados não atenderem a esses requisitos, talvez você perceba que determinadas mensagens não são confiáveis. Para corrigir isso, aceite outros certificados raiz de autoridades certificadoras (CAs) raiz confiáveis.

Para aceitar outro certificado raiz, adicione-o ao Google Admin Console. Em seguida, especifique pelo menos um domínio a que o certificado se aplica. Também é possível ajustar o nível de criptografia e o perfil de validação do certificado.

Confira etapas detalhadas para ativar o S/MIME no Google Workspace em Ativar o S/MIME hospedado para a criptografia de mensagens. Saiba mais sobre a CSE em Sobre a criptografia do lado do cliente.

Nesta página

Diretrizes do certificado raiz

Os certificados raiz precisam atender a estas diretrizes para serem usados com S/MIME no Google Workspace:

  • O certificado precisa estar no formato .pem e conter apenas um certificado raiz.
  • A cadeia de certificados precisa incluir pelo menos um certificado intermediário.
  • Cada cadeia de certificados precisa ter um certificado de usuário final. Se ele não for incluído, o Google realizará apenas uma verificação mínima.
  • O certificado de usuário final não pode incluir a chave privada.

Importante: pelo menos um certificado de CA intermediário precisa estar presente na cadeia. ou seja, a raiz não pode emitir certificados de entidade final diretamente.

Alterar o domínio de um certificado raiz

Não é possível editar a data de validade de um certificado nem editar para substituir um certificado. Você precisa excluir o certificado e fazer upload de um novo. A exclusão de um certificado raiz não afetará nenhum certificado de usuário final que já tenha sido enviado por upload.

Para alterar o domínio de um certificado raiz:

  1. No Google Admin Console, acesse a configuração S/MIME na guia Configurações do usuário.
  2. Na tabela dos outros certificados raiz, selecione o certificado que você quer alterar e clique em Editar
  3. Atualize o domínio e clique em Salvar.

Excluir um certificado raiz

Para excluir um certificado raiz:

  1. No Google Admin Console, acesse a configuração S/MIME na guia Configurações do usuário.
  2. Na tabela de certificados raiz adicionais, selecione o certificado que você quer remover e clique em Excluir

Resolver problemas no upload de certificados

Observe o seguinte para identificar e resolver erros de upload:

  • O certificado não atende aos requisitos mínimos para ser confiável. Verifique se o certificado não é autoassinado, se não foi revogado e se o comprimento da chave não é inferior a 1.024 bits. Em seguida, tente fazer o upload novamente.
  • O certificado tem uma assinatura inválida. Verifique se o certificado tem uma assinatura válida e tente fazer upload novamente.
  • O certificado expirou. Verifique se a data no certificado está dentro do período especificado nos campos Não antes (Data) e Não depois (Data). Em seguida, tente fazer o upload novamente.
  • A cadeia de certificados enviada por upload contém pelo menos um certificado inválido. Verifique se a formatação do certificado está correta e tente fazer upload novamente.
  • O certificado enviado por upload contém vários certificados raiz. Verifique se o certificado tem apenas um certificado raiz e tente fazer upload novamente.
  • Não foi possível analisar o certificado. Verifique se a formatação do certificado está correta e tente fazer upload novamente.
  • O servidor não conseguiu analisar o certificado ou enviou alguma resposta desconhecida. Verifique se a formatação do certificado está correta e tente fazer upload novamente.
  • Não foi possível fazer o upload do certificado.Ocorreu um problema na comunicação com o servidor. Provavelmente isso é um problema temporário. Aguarde alguns minutos e tente novamente. Se o upload continuar falhando, verifique se a formatação do certificado está correta.
  • Edite um certificado raiz. Você pode editar um certificado para alterar os domínios na lista de endereços. Por exemplo, se você fez o upload de certificados personalizados e suas mensagens ainda são consideradas "não confiáveis", altere a lista de domínios permitidos.

Trocar mensagens S/MIME entre domínios

Para permitir que pessoas em domínios diferentes troquem mensagens S/MIME, talvez você precise seguir algumas etapas adicionais no Google Admin Console. Siga as etapas recomendadas aqui com base na forma como os certificados de usuário são emitidos para o domínio.

  • Os certificados de usuário dos dois domínios emitidos por uma CA raiz confiável: quando todos os certificados de usuário nos dois domínios são emitidos por uma CA raiz confiável do Google, você não precisa fazer mais nada. O Gmail sempre confia nesses certificados raiz.
  • Os certificados de usuário dos dois domínios emitidos pela mesma CA raiz não confiável : neste caso, uma CA raiz não confiável emitiu os certificados de usuário para seu domínio e para o domínio com que você quer trocar mensagens S/MIME.

    Adicione a CA raiz não confiável ao Google Admin Console seguindo as etapas em Ativar S/MIME hospedado. Na caixa Adicionar certificado raiz, digite o outro domínio no campo Lista de endereços.

  • Certificados de usuário de um domínio emitidos por uma CA raiz não confiável : nesse caso, os certificados de usuário de um domínio são emitidos por uma CA raiz não confiável. Os certificados de usuário do outro domínio são emitidos por outra CA raiz.

    Adicione a CA raiz do outro domínio ao Google Admin Console seguindo as etapas em Ativar o S/MIME hospedado. Na caixa Adicionar certificado raiz, digite o outro domínio no campo Lista de endereços

Certificados diferentes para assinatura e criptografia

Esse recurso está disponível apenas com a CSE. Não está disponível no S/MIME hospedado.

Geralmente, as organizações usam um único certificado para assinar e criptografar mensagens. Porém, se sua organização exigir certificados diferentes para assinar e criptografar mensagens, use a API Gmail CSE para fazer upload do certificado público de criptografia e do certificado público de assinatura de cada usuário.

Saiba mais sobre como usar a API Gmail CSE para gerenciar certificados do usuário.

Permitir incompatibilidade de certificados (não recomendado)

Esse recurso está disponível apenas com a CSE. Não está disponível no S/MIME hospedado.

Importante: por motivos de segurança, recomendamos permitir incompatibilidades de certificados somente quando esse recurso for exigido pela organização. Quando esta opção está ativada, os usuários e os administradores não recebem um aviso se houver uma incompatibilidade de certificado, o que pode ter sido causada por um usuário não autorizado ou malicioso.

Às vezes, o endereço de e-mail associado ao certificado de um usuário pode ser diferente do endereço de e-mail principal. Por exemplo, o certificado de Brandon Pham usa o endereço de e-mail b.pham@solarmora.com, mas Brandon usa o endereço brandon.pham@solarmora.com para a maioria dos e-mails de trabalho dele. Isso é chamado de incompatibilidade de certificado.

Se quiser configurar a CSE para permitir a incompatibilidade, selecione a opção de incompatibilidade ao adicionar certificados raiz na configuração do S/MIME hospedado. Leia as etapas detalhadas para adicionar certificados raiz.

Quando a opção Permitir incompatibilidade de certificado é selecionada, os destinatários podem descriptografar e ler as mensagens recebidas com incompatibilidade de certificado. No entanto, o certificado não é salvo automaticamente nos contatos.

As mensagens anteriores (com incompatibilidade de certificado) recebidas antes dessa opção de configuração ser ativada podem ser descriptografadas e lidas. Se a opção estiver desativada, não será mais possível descriptografar as mensagens antigas e novas (com incompatibilidade de certificado) que poderiam ser descriptografadas quando a opção foi selecionada.

Permitir SHA-1 (não recomendado)

Embora alguns clientes de e-mail permitam assinaturas com hash SHA-1, elas não são confiáveis. O motivo é que o SHA-1 foi descontinuado devido a problemas de segurança. 

Ao adicionar um novo certificado raiz à configuração S/MIME, selecione a opção Permitir SHA-1 globalmente apenas se:

  • Sua organização se comunica usando a função de hash criptográfica SHA-1 para segurança de mensagens S/MIME.
  • Você quer que essas comunicações apareçam como confiáveis.

Quando essa opção é selecionada, o Gmail confia nos certificados S/MIME anexados a e-mails recebidos com SHA-1.

Temas relacionados

Ativar o S/MIME hospedado para criptografia de mensagens

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
7876309070469988028
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false