Unterstützte Versionen für diese Funktion: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus. Versionen vergleichen
Sie können gehostetes S/MIME (Secure/Multipurpose Internet Mail Extensions) in der Admin-Konsole einrichten, um die Nutzer in Ihrer Organisation vor Phishing, schädlichen Anhängen und anderen E-Mail-Bedrohungen zu schützen. S/MIME verbessert die E-Mail-Sicherheit, indem Nachrichten verschlüsselt und eine digitale Signatur hinzugefügt wird. Nachrichten werden mithilfe einer Kombination aus einem öffentlichen und einem privaten Schlüssel entschlüsselt.
Wenn S/MIME gehostet wird, speichert die Organisation, die S/MIME für die Verschlüsselung verwendet, den privaten Schlüssel. Mit der clientseitigen Verschlüsselung von Google Workspace können Nutzer auch verschlüsselte S/MIME-Nachrichten senden und empfangen. Mit der clientseitigen Verschlüsselung werden private Schlüssel jedoch von einem externen Schlüsseldienst verwaltet, um den Datenschutz zu verbessern. Weitere Informationen zur clientseitigen Verschlüsselung
Sie können einige Gmail-Einstellungen auch so anpassen, dass für bestimmte Nachrichten S/MIME erforderlich ist. Weitere Informationen
Schritt 1: Gehostetes S/MIME in der Admin-Konsole aktivieren
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ AppsGoogle WorkspaceGmailNutzereinstellungen .
- Wählen Sie links unter Organisationen die Domain oder Organisation aus, die Sie konfigurieren möchten.
Wichtig: Wenn Sie Root-Zertifikate mit erweiterten S/MIME-Steuerelementen hochladen und verwalten möchten, müssen Sie S/MIME auf der obersten Organisationsebene aktivieren. Das ist in der Regel Ihre Domain. Weitere Informationen zu S/MIME und Root-Zertifikaten
-
Scrollen Sie zu den Einstellungen für S/MIME und klicken Sie auf das Kästchen neben S/MIME-Verschlüsselung für den Versand und Empfang von E-Mails aktivieren.
-
Optional: Wenn Sie Nutzern in Ihrer Organisation erlauben möchten, Zertifikate hochzuladen, klicken Sie auf das Kästchen Nutzern erlauben, eigene Zertifikate hochzuladen.
-
Optionale zusätzliche Steuerelemente: So laden Sie Root-Zertifikate hoch und verwalten sie:
- Klicken Sie neben Bitte akzeptieren Sie diese zusätzlichen Root-Zertifikate für bestimmte Domains auf Hinzufügen.
- Klicken Sie im Fenster Root-Zertifikat hinzufügen auf Root-Zertifikat hochladen.
- Suchen Sie nach der Zertifikatsdatei und klicken Sie auf Öffnen. Für das Zertifikat wird eine Bestätigungsnachricht angezeigt. Diese Nachricht enthält den Betreffnamen und das Ablaufdatum.
- Wählen Sie unter der gleichnamigen Option die Verschlüsselungsstufe aus, die für dieses Zertifikat gelten soll.
- Geben Sie unter Adressliste mindestens eine Domain ein, für die das Root-Zertifikat verwendet wird. Mehrere Domains müssen durch Kommas getrennt werden. Domainnamen können Platzhalter enthalten. Weitere Informationen zur Verwendung von Platzhaltern in Domainnamen finden Sie unter RFC 6125.
- Optional: Wenn Sie CSE-Schlüsselpaare mit Zertifikaten zulassen möchten, die mit einer anderen E-Mail-Adresse als der primären E-Mail-Adresse eines Nutzers verknüpft sind, wählen Sie die Option „Nicht übereinstimmende Zertifikate“ aus. (Für diese Domains Zertifikate mit E-Mail-Adressen zulassen, die nicht mit der aktuellen E-Mail-Adresse des Nutzers übereinstimmen).
Aus Sicherheitsgründen wird diese Option nur empfohlen, wenn dies von Ihrer Organisation gefordert wird. Diese Funktion wird für CSE unterstützt. Sie wird für gehostetes S/MIME nicht unterstützt. Weitere Informationen zu nicht übereinstimmenden Zertifikaten finden Sie unter Vertrauenswürdige Zertifikate für S/MIME verwalten.
- Klicken Sie auf Fertig.
- Wiederholen Sie diese Schritte, um weitere Zertifikatsketten hochzuladen.
- Wenn in Ihrer Domain oder Organisation der Hashalgorithmus SHA-1 verwendet werden muss, klicken Sie auf das Kästchen neben SHA-1 global zulassen (nicht empfohlen). Weitere Informationen zur Verwendung von SHA-1 finden Sie im Hilfeartikel Vertrauenswürdige Zertifikate für S/MIME verwalten.
- Klicken Sie auf Speichern.
Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen Nachrichten, die in diesem Zeitraum gesendet werden, sind nicht verschlüsselt.
Schritt 2: Nutzer auffordern, Gmail neu zu laden
Nachdem Sie das gehostete S/MIME in Ihrer Admin-Konsole aktiviert haben, bitten Sie Ihre Nutzer, Gmail neu zu laden. Im Betreff der Nachricht wird ein Schloss-Symbol angezeigt. Wenn die Nachricht mit gehostetem S/MIME verschlüsselt wird, ist es grün.
Schritt 3: Zertifikate hochladen
Für die Aktivierung der Verschlüsselung mit gehostetem S/MIME müssen die S/MIME-Endnutzerzertifikate in Gmail hochgeladen werden. Das Zertifikat muss den aktuellen kryptografischen Standards entsprechen und das Archivdateiformat PKCS #12 (Public-Key Cryptography Standards) verwenden.
Diese Liste vertrauenswürdiger Zertifikate, die von Google bereitgestellt und verwaltet wird, gilt nur für S/MIME in Gmail.
Administratoren wird empfohlen, Zertifikate mit der Gmail S/MIME API hochzuladen. Sie können die Gmail S/MIME API auch verwenden, um Aufgaben wie das Anzeigen, Löschen und Festlegen von Standardnutzerschlüsseln zu verwalten. Weitere Informationen zur Gmail S/MIME API
Sie können Nutzern auch erlauben, Zertifikate in ihren Gmail-Einstellungen hochzuladen:
- Rufen Sie Gmail auf.
- Wählen Sie Einstellungen Alle Einstellungen aufrufen aus.
- Wählen Sie den Tab Konten aus.
- Wählen Sie neben Senden als die Option Informationen bearbeiten aus.
Das Fenster E-Mail-Adresse und Verschlüsselungseinstellungen bearbeiten wird angezeigt. Wenn Sie diese Option nicht sehen, wenden Sie sich an Ihren Administrator.
- Klicken Sie auf Persönliches Zertifikat hochladen.
- Wählen Sie das Zertifikat aus und klicken Sie auf Öffnen. Geben Sie bei Aufforderung ein Passwort für das Zertifikat ein.
- Klicken Sie auf Zertifikat hinzufügen.
Schritt 4: Nutzer auffordern, Schlüssel auszutauschen
Um den Austausch von S/MIME-Nachrichten zu ermöglichen, müssen Ihre Nutzer Schlüssel mit Nachrichtenempfängern auf eine der folgenden Arten austauschen:
- Per Versand einer über S/MIME signierten Nachricht an den Empfänger: Die Nachricht ist digital signiert und enthält den öffentlichen Schlüssel des Nutzers. Empfänger können diesen öffentlichen Schlüssel verwenden, um Nachrichten zu verschlüsseln, die sie an den Nutzer senden.
- Per Erhalt einer über S/MIME signierten Nachricht vom Empfänger: Wenn sie die Nachricht erhalten, ist sie mit S/MIME signiert. Der Schlüssel wird automatisch gespeichert und ist verfügbar. In Zukunft werden Nachrichten, die an den Empfänger gesendet werden, mit S/MIME verschlüsselt.
S/MIME-Einstellungen der Unterorganisation überschreiben
Organisationseinheiten übernehmen standardmäßig die SMIME-Einstellungen von der obersten Organisationseinheit. Optional können Sie die übernommenen SMIME-Einstellungen für Organisationseinheiten überschreiben. Diese Funktion ist nützlich, wenn Sie SMIME-Einstellungen für Organisationseinheiten deaktivieren oder anpassen möchten.
So überschreiben Sie SMIME-Einstellungen:
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ AppsGoogle WorkspaceGmailNutzereinstellungen .
-
Wählen Sie links unter Organisationen die Organisationseinheit aus, die Sie konfigurieren möchten.
- Scrollen Sie zur S/MIME-Einstellung und klicken Sie darauf, um sie zu maximieren.
Das Label unter dem Label der S/MIME-Einstellung gibt entweder Übernommen von (Name der Organisation oder Domain) oder Überschrieben an.
- Klicken Sie auf Überschreiben, um die Änderungen an der Unterorganisation zu speichern, für die die S/MIME-Einstellungen nun gelten sollen.
Nachdem die Einstellungen der Unterorganisation gespeichert wurden, wird unter dem Label der S/MIME-Einstellungen Überschrieben angezeigt. Im Strukturbaum der Organisationseinheit auf der linken Seite sehen Sie außerdem einen Punkt neben den Unterorganisationen, die Einstellungen überschreiben.
Tipp: Wenn Ihre Unterorganisation die Einstellungen einer übergeordneten Organisation überschrieben hat, können Sie über die Schaltfläche Übernehmen diese Einstellungen übernehmen.
Weitere Informationen
Vertrauenswürdige Zertifikate für S/MIME verwalten (erweitert)