Gehostetes S/MIME für erhöhte E-Mail-Sicherheit aktivieren

Diese Funktion ist nur in G Suite Enterprise und G Suite Enterprise for Education verfügbar.

Sie können die Integrität und Vertraulichkeit der E-Mail-Nachrichten Ihrer Organisation erhöhen, indem Sie gehostetes S/MIME (Secure/Multipurpose Internet Mail Extensions) aktivieren. Damit dieser Verschlüsselungsstandard funktioniert, müssen ihn sowohl der Absender als auch der Empfänger nutzen. Sie tauschen dabei Schlüssel aus, um sich gegenseitig eindeutig zu identifizieren.

Sie können festlegen, dass bestimmte Nachrichten nur dann versendet oder empfangen werden, wenn sie über S/MIME verschlüsselt oder signiert sind. Weitere Informationen finden Sie in den Hilfeartikeln Regeln für die Inhaltscompliance einrichten und Nachrichtensicherheit mit gehostetem S/MIME erhöhen

Im Hilfeartikel FAQs zu gehostetem S/MIME finden Sie weitere Informationen zu unterstützten Clients und zur erweiterten Verschlüsselung.

Gehostetes S/MIME einrichten

Wenn Sie gehostetes S/MIME verwenden möchten, aktivieren Sie es in der Google Admin-Konsole und laden Sie die Zertifikate entweder programmgesteuert oder mithilfe der entsprechenden Einstellungen in Gmail hoch.  Sobald Nutzer Gmail neu laden, wird die Änderung angezeigt. Falls nötig, können Sie auch zulassen, dass Nutzer eigene Zertifikate hochladen und austauschen.

Schritt 1: Gehostetes S/MIME aktivieren

In den folgenden Schritten wird beschrieben, wie Sie S/MIME aktivieren und optional Root-Zertifikate mit den erweiterten Steuerfunktionen für vertrauenswürdige S/MIME-Zertifikate hochladen und verwalten.

  1. Anmeldung in Ihrer Google Admin-Konsole

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie auf der Startseite der Admin-Konsole zu Apps und dann G Suite und dann Gmail und dann Nutzereinstellungen.
  3. Wählen Sie links unter Organisationen die Domain oder Organisation aus, die Sie konfigurieren möchten.

    Wichtig: Wenn Sie zum Hochladen und Verwalten von Root-Zertifikaten die erweiterten Steuerfunktionen für S/MIME konfigurieren, müssen Sie die Organisation auf oberster Ebene auswählen. Dies ist in der Regel Ihre Domain.

  4. Scrollen Sie zur Einstellung für S/MIME und klicken Sie auf das Kästchen neben S/MIME-Verschlüsselung für den Versand und Empfang von E-Mails aktivieren.

  5. Optional: Wenn Sie zulassen möchten, dass Nutzer Zertifikate hochladen, klicken Sie auf das Kästchen neben Nutzern erlauben, eigene Zertifikate hochzuladen.

  6. Optionale zusätzliche Steuerfunktionen: Wenn Sie Root-Zertifikate hochladen und verwalten möchten, verwenden Sie die Steuerfunktionen für vertrauenswürdige S/MIME-Zertifikate: 

    1. Klicken Sie neben Bitte akzeptieren Sie diese zusätzlichen Root-Zertifikate für bestimmte Domains auf Hinzufügen.
    2. Klicken Sie auf Root-Zertifikat hochladen
    3. Suchen Sie nach der Zertifikatsdatei und klicken Sie auf Öffnen. Sie sollten eine Bestätigungsnachricht für das Zertifikat sehen, die den Namen des Subjekts und das Ablaufdatum enthält. Falls ein Problem mit dem Zertifikat auftritt, wird eine Fehlermeldung angezeigt. 
    4. Wählen Sie unter der gleichnamigen Option die Verschlüsselungsstufe aus, die für dieses Zertifikat gelten soll.
    5. Geben Sie unter Adressliste mindestens eine Domain ein, für die das Root-Zertifikat verwendet wird. In Domainnamen können Platzhalter vorkommen, die dem RFC-Standard entsprechen. Mehrere Domains müssen durch Kommas getrennt werden. 
    6. Klicken Sie auf Speichern.
    7. Wiederholen Sie diese Schritte für alle weiteren Zertifikatketten.
  7. Klicken Sie das Kästchen neben SHA-1 global zulassen (nicht empfohlen) nur dann an, wenn in Ihrer Domain oder Organisation der Hash-Algorithmus SHA-1 verwendet werden muss. 
  8. Klicken Sie auf Speichern.  

Wichtig: Es kann bis zu eine Stunde dauern, bis die Änderungen in allen Nutzerkonten wirksam werden. Nachrichten, die in diesem Zeitraum oder bei der Neuaktivierung von S/MIME gesendet werden, sind nicht verschlüsselt.

Schritt 2: Nutzer auffordern, Gmail neu zu laden

Bitten Sie die Nutzer nach der Aktivierung des gehosteten S/MIME, Gmail neu zu laden, damit die Änderung angezeigt wird. Anschließend ist in der Betreffzeile der E-Mail ein Schloss-Symbol zu sehen. Wenn die Nachricht mit gehostetem S/MIME verschlüsselt wird, ist es grün.

Schritt 3: Zertifikate hochladen

Für die Aktivierung der Verschlüsselung mit gehostetem S/MIME müssen die S/MIME-Endnutzerzertifikate in Gmail hochgeladen werden. Das Zertifikat sollte die aktuellen kryptografischen Standards erfüllen und das Archivdateiformat Public-Key Cryptography Standards #12 (PKCS) verwenden. Dies ist eine Übertragungssyntax für Informationen zur Identität einer Person. Informationen zu PKCS #12 finden Sie in diesem Dokument der Internet Engineering Task Force (IETF).

Diese von Google bereitgestellte und gepflegte Liste vertrauenswürdiger Zertifikate gilt nur für S/MIME in Gmail. Google stuft Zertifizierungsstellen (Certificate Authority, CA) nach eigenem Ermessen als vertrauenswürdig ein und behält sich das Recht vor, Root-CAs jederzeit und ohne Angabe von Gründen zu entfernen.

Wir empfehlen Administratoren, Zertifikate programmgesteuert mithilfe der Gmail S/MIME API hochzuladen. Damit lässt sich z. B. auch das Aufrufen, Löschen und Festlegen von Standardnutzerschlüsseln verwalten. Nutzer, denen Sie das Hochladen von Zertifikaten erlauben, können dies in den Gmail-Einstellungen tun. 

So laden Sie in Gmail Zertifikate hoch:

  1. Wählen Sie im Posteingang Einstellungen und dann Einstellungen aus.
  2. Klicken Sie auf den Tab Konten
  3. Klicken Sie im Bereich Senden als auf Adresse bearbeiten

    Daraufhin wird ein Nachrichtenfenster mit einer Option für die erweiterte Verschlüsselung (S/MIME) geöffnet. S/MIME und die Option Nutzern erlauben, eigene Zertifikate hochzuladen müssen in der Admin-Konsole aktiviert sein, damit diese Option angezeigt wird.  

  4. Klicken Sie auf Persönliches Zertifikat hochladen.
  5. Wählen Sie das Zertifikat aus und klicken Sie auf Öffnen. Geben Sie bei Aufforderung ein Passwort für das Zertifikat ein.
  6. Klicken Sie auf Zertifikat hinzufügen.

Schritt 4: Schlüssel austauschen

Nutzer und E-Mail-Empfänger können ihre Schlüssel so austauschen: 

  • Per Versand einer über S/MIME signierten Nachricht an den Empfänger: Diese E-Mail wird digital signiert und die Signatur enthält den öffentlichen Schlüssel des Nutzers. Mit diesem öffentlichen Schlüssel können andere die E-Mails verschlüsseln, die sie dem Nutzer senden.
  • Per Erhalt einer über S/MIME signierten Nachricht vom Empfänger: Wenn Nutzer eine Nachricht von den Empfängern erhalten, ist sie über S/MIME verschlüsselt. Der Schlüssel wird automatisch gespeichert und ist somit verfügbar. Ab dann sind Nachrichten, die an diesen Empfänger gesendet werden, mit S/MIME verschlüsselt.

Nach der Aktivierung des gehosteten S/MIME

Nachdem Sie das gehostete S/MIME aktiviert haben, können Sie festlegen, dass bestimmte Nachrichten nur dann versendet oder empfangen werden, wenn sie über S/MIME verschlüsselt oder signiert sind. Diese Einstellung wird beim Erstellen der Compliance- und Routing-Regeln eingerichtet. Weitere Informationen finden Sie im Hilfeartikel Nachrichtensicherheit mit gehostetem S/MIME erhöhen

Sie können bestimmte Sicherheitsbeschränkungen auch im Einklang mit der vorhandenen S/MIME-Infrastruktur Ihrer Domain lockern. So ist es z. B. möglich, Zertifikate von Root-Zertifizierungsstellen hochzuladen, die nicht den üblichen strengsten Sicherheitsrichtlinien entsprechen. 

Erweiterte Steuerfunktionen für vertrauenswürdige S/MIME-Zertifikate

Google hat verschiedene Anforderungen an S/MIME-Zertifikate. Ihre Zertifikate erfüllen diese Standards jedoch möglicherweise nicht und je nach Konfiguration sind bestimmte E-Mails eventuell nicht vertrauenswürdig. In diesem Fall können Sie weitere Root-Zertifikate von vertrauenswürdigen Zertifizierungsstellen akzeptieren.

Wenn Sie ein zusätzliches Root-Zertifikat akzeptieren möchten, laden Sie es hoch und geben Sie dann mindestens eine Domain an, für die das Zertifikat gilt. Bei Bedarf können Sie auch die Verschlüsselungsstufe oder das Validierungsprofil des Zertifikats anpassen.

Richtlinien für Root-Zertifikate

Zertifikatsdatei für den Upload erstellen

Zertifikatsrichtlinien

  • Das Zertifikat muss im PEM-Format vorliegen und darf nur ein Root-Zertifikat enthalten.
  • Die Zertifikatkette muss mindestens ein Zwischenzertifikat enthalten.
  • Sie sollten für jede Zertifikatkette auch ein Endnutzerzertifikat angeben. Andernfalls führt Google nur eine minimale Überprüfung durch.
  • Das Endnutzerzertifikat sollte nicht den privaten Schlüssel enthalten.

Wichtig: In der Kette muss mindestens ein CA-Zwischenzertifikat vorhanden sein. Die Root-CA darf die Zertifikate der Endentität also nicht direkt ausgeben.

Diese von Google bereitgestellte und gepflegte Liste vertrauenswürdiger Zertifikate gilt nur für S/MIME in Gmail. Google stuft die CAs ausschließlich nach eigenem Ermessen als vertrauenswürdig ein und behält sich das Recht vor, Root-CAs jederzeit und ohne Angabe von Gründen zu entfernen.

Probleme beim Hochladen beheben

Hier erfahren Sie, welche Ursachen Uploadfehler haben können und wie Sie sie beheben:

  • Das Zertifikat erfüllt nicht die Mindestanforderungen für Vertrauenswürdigkeit: Vergewissern Sie sich, dass das Zertifikat weder selbst signiert noch widerrufen wurde und dass die Schlüssellänge nicht weniger als 1.024 Bit beträgt. Versuchen Sie es anschließend noch einmal.
  • Das Zertifikat hat eine ungültige Signatur: Verwenden Sie ein Zertifikat mit einer gültigen Signatur und versuchen Sie es noch einmal.
  • Das Zertifikat ist abgelaufen: Verwenden Sie ein Zertifikat mit einem korrekten Datum innerhalb des Zeitraums, der in den Feldern "Nicht vor (Datum)" und "Nicht nach (Datum)" angegeben ist, und versuchen Sie es noch einmal.
  • Die Zertifikatkette enthält mindestens ein ungültiges Zertifikat: Verwenden Sie ein korrekt formatiertes Zertifikat und versuchen Sie es noch einmal.
  • Das Zertifikat enthält mehrere Root-Zertifikate: Verwenden Sie ein Zertifikat, das nur ein Root-Zertifikat hat, und versuchen Sie es noch einmal.
  • Das Zertifikat konnte nicht geparst werden: Überprüfen Sie, ob das Zertifikat korrekt formatiert ist, und versuchen Sie es noch einmal.
  • Der Server konnte das Zertifikat nicht parsen oder die Antwort vom Server ist unbekannt: Überprüfen Sie, ob das Zertifikat korrekt formatiert ist, und versuchen Sie es noch einmal.
  • Das Zertifikat kann nicht hochgeladen werden: Bei der Kommunikation mit dem Server ist ein Fehler aufgetreten. Dies ist wahrscheinlich nur ein vorübergehendes Problem. Warten Sie ein paar Minuten und versuchen Sie es dann noch einmal. Wenn der Upload weiterhin fehlschlägt, vergewissern Sie sich, dass das Zertifikat richtig formatiert ist.
  • Ein Root-Zertifikat bearbeiten: Sie können ein Zertifikat bearbeiten, um die Domains in der Adressliste zu ändern. Wenn Sie beispielsweise benutzerdefinierte Zertifikate hochgeladen haben und Ihre Nachrichten immer noch als "nicht vertrauenswürdig" eingestuft werden, ändern Sie die Liste der zulässigen Domains.

Domains in der Adressliste ändern

  1. Wählen Sie in der Liste der zusätzlichen Root-Zertifikate das Zertifikat aus, das Sie ändern möchten. Klicken Sie dann auf Bearbeiten
  2. Nehmen Sie die Änderung vor und klicken Sie auf Speichern.

Hinweis: Sie können das Ablaufdatum eines Zertifikats nicht ändern oder ein Zertifikat durch Bearbeiten ersetzen. Sie müssen das Zertifikat löschen und anschließend ein neues hochladen. Wenn Sie Root-Zertifikate löschen, hat dies jedoch keine Auswirkung auf Endnutzerzertifikate, die bereits hochgeladen wurden.

Root-Zertifikate löschen

Wählen Sie in der Liste der zusätzlichen Root-Zertifikate das Zertifikat aus, das Sie ändern möchten, und klicken Sie auf Löschen.

SHA-1 zulassen

Bei einigen E-Mail-Clients von Drittanbietern sind möglicherweise Signaturen zulässig, die mit dem Hashalgorithmus SHA-1 erstellt wurden. Diese werden standardmäßig als nicht vertrauenswürdig angezeigt, weil SHA-1 aufgrund von Sicherheitsproblemen eine auslaufende Hashfunktion ist. Sie sollten die Option "SHA-1 global zulassen" nur auswählen, wenn Ihre Organisation mithilfe der kryptografischen Hashfunktion SHA-1 (S/MIME) kommuniziert und Sie möchten, dass diese Mitteilungen als vertrauenswürdig angezeigt werden. Wenn diese Option ausgewählt wird, gelten S/MIME-Zertifikate eingehender E-Mails als vertrauenswürdig, obwohl die Absender diesen veralteten Algorithmus verwenden.

War das hilfreich?
Wie können wir die Seite verbessern?