支持此功能的版本:企业 Plus 版;教育基础版、教育标准版、教与学升级版和教育 Plus 版。 比较您的版本
托管 S/MIME 和客户端加密 (CSE) 是可让您的用户收发 S/MIME 电子邮件的 Google Workspace 功能。
Google 为 S/MIME 提供了证书要求和受信任的 CA 证书。如果您的证书不符合这些要求,您可能会注意到某些邮件不受信任。如要解决此问题,您可以接受来自您信任的根证书授权机构 (CA) 的其他根证书。
如需接受其他根证书,请在 Google 管理控制台中添加相应的证书。然后,指定证书所适用的网域(至少一个)。您也可以选择调整证书的加密级别和验证配置文件。
如需了解在 Google Workspace 中启用 S/MIME 的详细步骤,请参阅为邮件加密启用托管 S/MIME。如需详细了解 CSE,请访问客户端加密功能简介。
根证书准则
根证书必须符合以下准则,才能在 Google Workspace 中与 S/MIME 搭配使用:
- 证书必须采用 .pem 格式,并且仅包含一份根证书。
- 证书链必须至少包含一个中间证书。
- 每个证书链都应具有最终用户证书。如果没有最终用户证书,Google 会执行最低级别的验证。
- 最终用户证书不得包含私钥。
重要提示:证书链必须至少有一份中间 CA 证书。也就是说,根不得直接颁发最终实体证书。
更改根证书的网域
您无法修改证书的失效日期,也无法通过修改来替换证书。如需更换证书,您必须删除要换掉的证书,然后上传新证书。删除根证书不会影响已经上传的最终用户证书。
如需更改根证书的网域,请执行以下操作:
- 在 Google 管理控制台中,打开用户设置标签页上的 S/MIME 设置。
- 在额外根证书表中,选择您要更改的证书,然后点击修改。
- 更新网域,然后点击保存。
删除根证书
如需删除根证书,请执行以下操作:
- 在 Google 管理控制台中,打开用户设置标签页上的 S/MIME 设置。
- 在额外根证书表中,选择您要移除的证书,然后点击删除。
排查证书上传问题
检查您是否遇到以下问题,并解决上传错误:
- 证书不符合受信任的最低要求。请确认证书并未采用自签名,未被撤消,而且密钥长度不少于 1,024 位。然后,重新尝试上传。
- 证书的签名无效。请确认证书拥有有效的签名,然后重新尝试上传。
- 证书已过期。请确认证书上的日期在“不早于(日期)”和“不晚于(日期)”字段中指定的时间范围内。然后,重新尝试上传。
- 上传的证书链包含至少一个无效证书。请确认证书的格式无误,然后重新尝试上传。
- 上传的证书包含多个根证书。请确认证书只有一份根证书,然后重新尝试上传。
- 无法解析证书。请确认证书的格式无误,然后重新尝试上传。
- 服务器无法解析证书,或者服务器有未知响应。请确认证书的格式无误,然后重新尝试上传。
- 无法上传证书。与服务器通信时出现问题。这可能是暂时性问题,请过几分钟后重试。如果持续上传失败,请确保证书的格式无误。
- 修改根证书。您可以修改证书,从而更改地址列表中的网域。举例来说,如果您上传了自定义证书,但邮件仍被视为“不受信任”,您可以尝试修改允许的网域列表。
在网域之间交换 S/MIME 邮件
如要允许不同网域中的用户互相发送 S/MIME 邮件,您可能需要在 Google 管理控制台中额外执行一些步骤。请根据为网域颁发用户证书的方式,按照此处推荐的步骤进行操作。
- 两个网域的用户证书均由受信任的根 CA 颁发:如果两个网域中的所有用户证书均由 Google 信任的根 CA 颁发,则您无需执行任何额外的步骤。这些根 CA 证书始终受 Gmail 信任。
- 两个网域的用户证书由不受信任的同一根 CA 颁发:在这种情况下,不受信任的根 CA 为您的网域以及您要与其交换 S/MIME 邮件的网域颁发用户证书。
按照启用托管 S/MIME 中的步骤,将不受信任的根 CA 添加到您的 Google 管理控制台中。在添加根证书框中,在地址列表字段中输入另一个网域。
- 一个网域的用户证书由不受信任的根 CA 颁发:在这种情况下,一个网域的用户证书由不受信任的根 CA 颁发。另一网域的用户证书由不同的根 CA 颁发。
按照启用托管 S/MIME 中的步骤,将另一网域的根 CA 添加到您的 Google 管理控制台中。在添加根证书框中,在地址列表字段中输入另一个网域。
为签名和加密使用不同证书
仅 CSE 提供此功能。托管 S/MIME 不支持此功能。
通常,组织使用同一个证书为邮件签名和加密。但是,如果贵组织要求使用不同的证书来为邮件签名和加密,请使用 Gmail CSE API 为每位用户上传加密公共证书和签名公共证书。
详细了解如何使用 Gmail CSE API 管理用户证书。
允许证书不匹配(不推荐)
仅 CSE 提供此功能。托管 S/MIME 不支持此功能。
重要提示:出于安全考虑,我们建议您仅在贵组织需要证书不匹配功能时才允许此功能。启用此选项后,如果证书不匹配(可能是未经授权的用户或恶意用户导致的),用户和管理员将不会收到警告。
有时,与用户证书关联的电子邮件地址可能不同于用户的主电子邮件地址。例如,Brandon Pham 的证书使用电子邮件地址 b.pham@solarmora.com,但 Brandon 使用 brandon.pham@solarmora.com 来收发自己的大部分工作电子邮件。这就是证书不匹配的情况。
如需将 CSE 设置为允许证书不匹配,请在托管 S/MIME 设置中添加根证书时选择证书不匹配选项。阅读添加根证书的详细步骤。
选择允许证书不匹配选项后,收件人可以解密和阅读证书不匹配情况下收到的邮件。但是,证书不会自动保存到收件人的通讯录中。
收件人可以解密和读取在此设置选项开启之前收到的邮件(证书不匹配)。如果该选项先开启,随后关闭,那么选择该选项时可解密的过往邮件和新邮件(证书不匹配)将无法再解密。
允许使用 SHA-1(不推荐)
尽管部分电子邮件客户端允许使用 SHA-1 哈希签名,但这些签名似乎不受信任。这是因为 SHA-1 因安全问题已被废弃。
将新的根证书添加到 S/MIME 设置时,请仅在以下情况下选择允许全局使用 SHA-1 选项:
- 贵组织使用 SHA-1 加密哈希函数进行通信,以保障 S/MIME 邮件的安全性;
- 您想让这些通信显示为受信任的通信。
选择此选项后,Gmail 会信任使用 SHA-1 附加到入站邮件的 S/MIME 证书。
