Gerenciar certificados confiáveis para S/MIME (avançado)

Edições compatíveis com este recurso: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade e Education PlusComparar sua edição

O S/MIME hospedado e a criptografia do lado do cliente (CSE) são recursos do Google Workspace para os usuários enviarem e receberem mensagens de e-mail S/MIME.

O Google fornece requisitos de certificado e certificados de CA confiáveis para S/MIME. Se os certificados não atenderem a esses requisitos, talvez você perceba que determinadas mensagens não são confiáveis. Para corrigir isso, aceite outros certificados raiz de autoridades certificadoras (CAs) raiz confiáveis.

Para aceitar outro certificado raiz, adicione-o ao Google Admin Console. Em seguida, especifique pelo menos um domínio a que o certificado se aplica. Também é possível ajustar o nível de criptografia e o perfil de validação do certificado.

Confira etapas detalhadas para ativar o S/MIME no Google Workspace em Ativar o S/MIME hospedado para a criptografia de mensagens. Saiba mais sobre a CSE em Sobre a criptografia do lado do cliente.

Nesta página

Diretrizes do certificado raiz

Os certificados raiz precisam atender a estas diretrizes para serem usados com S/MIME no Google Workspace:

  • O certificado precisa estar no formato .pem e conter apenas um certificado raiz.
  • A cadeia de certificados precisa incluir pelo menos um certificado intermediário.
  • Cada cadeia de certificados precisa ter um certificado de usuário final. Se ele não for incluído, o Google realizará apenas uma verificação mínima.
  • O certificado de usuário final não pode incluir a chave privada.

Importante: pelo menos um certificado de CA intermediário precisa estar presente na cadeia. ou seja, a raiz não pode emitir certificados de entidade final diretamente.

Alterar o domínio de um certificado raiz

Não é possível editar a data de validade de um certificado nem editar para substituir um certificado. Você precisa excluir o certificado e fazer upload de um novo. A exclusão de um certificado raiz não afetará nenhum certificado de usuário final que já tenha sido enviado por upload.

Para alterar o domínio de um certificado raiz:

  1. No Google Admin Console, acesse a configuração S/MIME na guia Configurações do usuário.
  2. Na tabela dos outros certificados raiz, selecione o certificado que você quer alterar e clique em Editar
  3. Atualize o domínio e clique em Salvar.

Excluir um certificado raiz

Para excluir um certificado raiz:

  1. No Google Admin Console, acesse a configuração S/MIME na guia Configurações do usuário.
  2. Na tabela de certificados raiz adicionais, selecione o certificado que você quer remover e clique em Excluir

Usar certificados diferentes para assinatura e criptografia

Esse recurso está disponível apenas com a CSE. Não está disponível no S/MIME hospedado.

Geralmente, as organizações usam um único certificado para assinar e criptografar mensagens. Porém, se sua organização exigir certificados diferentes para assinar e criptografar mensagens, use a API Gmail CSE para fazer upload do certificado público de criptografia e do certificado público de assinatura de cada usuário.

Saiba mais sobre como usar a API Gmail CSE para gerenciar certificados do usuário.

Trocar mensagens S/MIME entre domínios

Para permitir que pessoas em domínios diferentes troquem mensagens S/MIME, talvez você precise seguir algumas etapas adicionais no Google Admin Console. Siga as etapas recomendadas aqui com base na forma como os certificados de usuário são emitidos para o domínio.

  • Os certificados de usuário dos dois domínios emitidos por uma CA raiz confiável: quando todos os certificados de usuário nos dois domínios são emitidos por uma CA raiz confiável do Google, você não precisa fazer mais nada. O Gmail sempre confia nesses certificados raiz.
  • Os certificados de usuário dos dois domínios emitidos pela mesma CA raiz não confiável : neste caso, uma CA raiz não confiável emitiu os certificados de usuário para seu domínio e para o domínio com que você quer trocar mensagens S/MIME.

    Adicione a CA raiz não confiável ao Google Admin Console seguindo as etapas em Ativar S/MIME hospedado. Na caixa Adicionar certificado raiz, digite o outro domínio no campo Lista de endereços.

  • Certificados de usuário de um domínio emitidos por uma CA raiz não confiável : nesse caso, os certificados de usuário de um domínio são emitidos por uma CA raiz não confiável. Os certificados de usuário do outro domínio são emitidos por outra CA raiz.

    Adicione a CA raiz do outro domínio ao Google Admin Console seguindo as etapas em Ativar o S/MIME hospedado. Na caixa Adicionar certificado raiz, digite o outro domínio no campo Lista de endereços

Use apenas quando necessário

Use as opções de certificados nesta seção apenas quando necessário e entenda os possíveis impactos do uso. Permitir incompatibilidade de certificado (não recomendado)

Às vezes, o endereço de e-mail associado ao certificado de um usuário pode ser diferente do endereço de e-mail principal. Por exemplo, o certificado de Brandon Pham usa o endereço de e-mail b.pham@solarmora.com, mas Brandon usa o endereço brandon.pham@solarmora.com para a maioria dos e-mails de trabalho dele. Isso é chamado de incompatibilidade de certificado.

Importante: por motivos de segurança, o Google recomenda permitir incompatibilidades de certificados somente quando esse recurso for exigido pela sua organização. Quando esta opção está ativada, os usuários e os administradores não recebem um aviso se houver uma incompatibilidade de certificado, o que pode ter sido causada por um usuário não autorizado ou malicioso.

A opção Permitir incompatibilidade de certificados está disponível apenas com a CSE, e não com o S/MIME hospedado. Se quiser configurar a CSE para permitir a incompatibilidade, selecione a opção de incompatibilidade ao adicionar certificados raiz na configuração do S/MIME hospedado. Confira as etapas detalhadas para adicionar certificados raiz.

Quando a opção Permitir incompatibilidade de certificado é selecionada, os destinatários podem descriptografar e ler as mensagens recebidas com incompatibilidade de certificado. Mensagens anteriores com incompatibilidade de certificado (recebidas antes da ativação da configuração) também podem ser descriptografadas e lidas. No entanto, o endereço de e-mail associado ao certificado do usuário não é salvo nos contatos do destinatário. Para sincronizar e salvar endereços de e-mail, use o Google Cloud Directory Sync.

A opção Permitir incompatibilidade de certificados só funciona para contatos internos ou sincronizados com o GCDS. Ela não funciona para contatos externos.

Permitir SHA-1 (não recomendado)

Embora alguns clientes de e-mail permitam assinaturas com hash SHA-1, elas não são confiáveis. O motivo é que o SHA-1 foi descontinuado devido a problemas de segurança. 

Ao adicionar um novo certificado raiz à configuração S/MIME, selecione a opção Permitir SHA-1 globalmente apenas se:

  • Sua organização se comunica usando a função de hash criptográfica SHA-1 para segurança de mensagens S/MIME.
  • Você quer que essas comunicações apareçam como confiáveis.

Quando essa opção é selecionada, o Gmail confia nos certificados S/MIME anexados a e-mails recebidos com SHA-1.

Resolver problemas no upload de certificados

Se você estiver com problemas para fazer upload de certificados, analise estas possíveis causas e tente as soluções recomendadas:

O certificado não atende aos requisitos mínimos para ser confiável

Verifique se o certificado não é autoassinado, não foi revogado e se o comprimento da chave é de 1.024 bits ou mais. Em seguida, tente fazer o upload novamente.

Edite o certificado para alterar os domínios na lista de endereços. Por exemplo, se você carregou certificados personalizados e as mensagens ainda são tratadas como não confiáveis, tente editar a lista de domínios permitidos do certificado.

A assinatura do certificado é inválida

Verifique se o certificado tem uma assinatura válida e tente fazer upload novamente.

Certificado expirado

Verifique se a data no certificado está dentro do período especificado nos campos Não antes (Data) e Não depois (Data). Em seguida, tente fazer o upload novamente.

A cadeia de certificados tem pelo menos um certificado inválido.

Verifique se a formatação do certificado está correta e tente fazer upload novamente.

O certificado contém vários certificados raiz

Não é possível fazer upload de um certificado que contém mais de um certificado raiz. Verifique se o certificado tem apenas um certificado raiz e tente fazer upload novamente.

Não foi possível analisar o certificado.

Verifique se a formatação do certificado está correta e tente fazer upload novamente.

O servidor retorna uma resposta desconhecida

Verifique se a formatação do certificado está correta e tente fazer upload novamente.

Não foi possível fazer o upload do certificado.

Pode ter havido um problema na conexão com o servidor. Esse geralmente é um problema temporário. Aguarde alguns minutos e tente enviar o conteúdo novamente. Se o upload continuar falhando, verifique se a formatação do certificado está correta.

Temas relacionados

Ativar o S/MIME hospedado para criptografia de mensagens

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
9290201600141244168
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false