Habilitar S/MIME alojado para aumentar la seguridad de los mensajes

Esta función solo está disponible en G Suite Enterprise, G Suite para Centros EducativosG Suite Enterprise para Centros Educativos.

Si quieres reforzar la integridad y confidencialidad de los mensajes de correo electrónico de tu organización, puedes habilitar el protocolo de extensiones seguras multipropósito de correo de Internet (S/MIME) alojado. Para que funcione el cifrado S/MIME, todos los remitentes y destinatarios deben tenerlo habilitado. Además, deben intercambiar cierta información, denominada "claves", para identificarse de forma única.

También puedes evitar que se envíen y reciban determinados mensajes a menos que estén cifrados o firmados con S/MIME. Consulta más información sobre cómo configurar reglas de cumplimiento y enrutamiento y cómo aumentar la seguridad de los mensajes con S/MIME alojado. 

Para saber qué clientes son compatibles y obtener más información sobre esta función de cifrado más seguro, consulta el artículo Preguntas frecuentes sobre S/MIME alojado.

Configurar S/MIME alojado

Primero, tienes que habilitar S/MIME alojado en la consola de administración de Google. Después, tendrás que subir certificados a Gmail, ya sea mediante programación o con las opciones de configuración de este servicio.  Los usuarios verán el cambio cuando vuelvan a cargar Gmail. También puedes permitir que sean los usuarios quienes suban sus propios certificados y los intercambien entre ellos para habilitar S/MIME.

Paso 1: Habilitar S/MIME alojado

Sigue los pasos que se indican abajo para habilitar S/MIME y, si quieres, utilizar los controles avanzados de certificados S/MIME de confianza para subir y gestionar certificados raíz.

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicacionesy luegoGoogle Workspacey luegoGmaily luegoConfiguración de usuario.
  3. En la parte izquierda, en Organizaciones, selecciona el dominio o la organización que quieres configurar.

    Importante: Si vas a configurar controles avanzados de S/MIME para subir y gestionar certificados raíz, debes seleccionar el ajuste para habilitar S/MIME en el nivel organizativo superior (que suele ser tu dominio).

  4. Desplázate hasta el ajuste de S/MIME y marca la casilla Habilitar el cifrado S/MIME para enviar y recibir correos electrónicos.

  5. (Opcional) Si quieres permitir que los usuarios suban certificados, activa la casilla Permitir que los usuarios suban sus propios certificados.

  6. (Controles adicionales opcionales) Si quieres subir y gestionar certificados raíz, usa los controles de certificados S/MIME de confianza: 

    1. Junto a Aceptar estos certificados raíz adicionales para dominios específicos, haz clic en Añadir.
    2. Haz clic en Subir certificado raíz
    3. Busca y selecciona el archivo del certificado y haz clic en Abrir. Debe aparecer un mensaje de verificación con el nombre del asunto y la fecha de vencimiento. Si se produce una incidencia con el certificado, aparece un mensaje de error. 
    4. En Nivel de cifrado, selecciona el nivel de cifrado que quieres usar en el certificado.
    5. En Lista de direcciones, indica al menos un dominio que usará el certificado raíz al comunicarse. Los nombres de dominio pueden incluir comodines que cumplan el estándar RFC. Si introduces varios dominios, sepáralos con comas. 
    6. Haz clic en Guardar.
    7. Repite estos pasos para añadir más cadenas de certificado.
  7. Marca la casilla Permitir el uso de SHA-1 de forma global (no recomendado) solo si es necesario utilizar el algoritmo de hash seguro 1 (SHA-1) en tu dominio u organización. 
  8. Haz clic en Guardar.  

Importante: Los cambios pueden tardar hasta 24 horas en aplicarse a todos los usuarios. Los mensajes que se envíen durante este tiempono estarán cifrados, tal como pasa cuando se inhabilita y se vuelve a habilitar S/MIME.

Anular la configuración de S/MIME en suborganizaciones

De manera predeterminada, las suborganizaciones heredan la configuración de S/MIME del nivel organizativo superior. No obstante, los administradores pueden anular esta configuración en suborganizaciones concretas para inhabilitarla o personalizarla en ellas. 

Para anular la configuración de S/MIME de una suborganización, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicacionesy luegoGoogle Workspacey luegoGmaily luegoConfiguración de usuario.
  3. En la parte izquierda, en Organizaciones, selecciona la suborganización que quieres configurar.

  4. Desplázate hasta el ajuste de S/MIME y haz clic en él para mostrar sus opciones.
    Nota: Debajo de la etiqueta del ajuste de S/MIME aparece Se ha heredado de [organización o nombre de dominio] o Heredado.

  5. Haz clic en Anular para guardar los cambios hechos en la suborganización que hereda la configuración de S/MIME.

Una vez que se haya guardado la configuración de la suborganización, aparecerá Anulado debajo de la etiqueta del ajuste de S/MIME. En el organigrama que se muestra en la parte izquierda, también aparece un punto junto a las suborganizaciones en las que se anula el ajuste de S/MIME.

Consejo: Si en tu suborganización se anula la configuración de una organización superior, haz clic en el botón Heredar para heredar la configuración de esa organización.

Paso 2: Hacer que los usuarios vuelvan a cargar Gmail

Cuando S/MIME alojado esté habilitado, haz que los usuarios vuelvan a cargar Gmail para que vean el cambio. Una vez que lo hayan hecho, aparecerá el icono de un candado en la línea de asunto de los mensajes de correo electrónico. Si el mensaje está cifrado con S/MIME alojado, el candado será de color verde.

Paso 3: Subir certificados

Para utilizar el cifrado S/MIME alojado, los certificados de usuario final S/MIME deben subirse a Gmail. El certificado debe cumplir los estándares de cifrado y utilizar el formato de archivo Public Key Cryptography Standards (PKCS) #12 (una sintaxis de transferencia de información de identidad personal). En este documento del grupo de trabajo de ingeniería de Internet encontrarás más información sobre PKCS #12.

La lista de certificados de confianza que proporciona y mantiene Google solo sirve para Gmail en el caso de S/MIME. Google, a su entera discreción, determina la lista de autoridades de certificación (CA) de confianza y se reserva el derecho de quitar certificados raíz de CA si lo considera oportuno, tenga o no un motivo.

Recomendamos que los administradores suban certificados de forma programática con la API S/MIME de Gmail. Con esta API, también se pueden llevar a cabo diferentes tareas de gestión, como consultar, eliminar o definir claves de usuario predeterminadas. Los usuarios con permiso para subir certificados pueden hacerlo en la configuración de Gmail. 

Para subir un certificado en Gmail, sigue estos pasos:

  1. En la bandeja de entrada de Gmail, selecciona Configuración y luego Configuración.
  2. Haz clic en la pestaña Cuentas
  3. En el área Enviar como, haz clic en Editar datos

    Aparece una ventana con una opción de cifrado más seguro (S/MIME). Para que aparezca esta opción, S/MIME y el ajuste Permitir que los usuarios suban sus propios certificados deben estar habilitados en la consola de administración.  

  4. Haz clic en Subir un certificado personal.
  5. Selecciona el certificado y haz clic en Abrir. Al hacerlo, se te solicitará que introduzcas una contraseña.
  6. Introduce la contraseña y haz clic en Añadir certificado.

Paso 4: Pedir a los usuarios que intercambien claves

Para intercambiar claves con los destinatarios de correo, los usuarios tienen estas opciones: 

  • Enviar un mensaje S/MIME firmado a los destinatarios. El correo electrónico se firmará digitalmente. La firma incluirá la clave pública del remitente. Con esta clave, los destinatarios podrán cifrar los correos electrónicos que envíen a tus usuarios.
  • Pedir a los destinatarios que les envíen un mensaje. Cuando reciban el mensaje, estará firmado con S/MIME. La clave se almacenará y estará disponible automáticamente. A partir de entonces, los mensajes enviados a este destinatario se cifrarán con S/MIME.

Después de habilitar S/MIME alojado

Una vez que hayas habilitado S/MIME alojado, puedes evitar que se envíen y reciban determinados mensajes a menos que estén cifrados o firmados con S/MIME. Debes configurar esta opción al crear reglas de cumplimiento y enrutamiento. Más información sobre cómo aumentar la seguridad de los mensajes con S/MIME alojado y reglas 

Puedes hacer que algunas restricciones de seguridad no sean tan estrictas para que se adapten a la infraestructura S/MIME de tu dominio. Por ejemplo, puedes subir certificados raíz de CA que no se ajusten a las directrices de seguridad predeterminadas más estrictas. 

Controles avanzados de certificados S/MIME de confianza

Para que Google acepte certificados S/MIME, estos deben cumplir una serie de requisitos. En caso de que tus certificados no los satisfagan (o de que, según la configuración que tengas, detectes que ciertos correos electrónicos no son de confianza), puedes optar por aceptar otros certificados raíz de CAs de tu confianza.

Para aceptar otro certificado raíz, súbelo e indica al menos un dominio al que aplicar el certificado. También puedes ajustar el nivel de cifrado del certificado o el perfil de validación, si fuera necesario.

Directrices de certificados raíz

Generar el archivo de certificado para subirlo

Directrices de certificados

  • Los certificados deben estar en formato .pem y solo pueden contener un certificado raíz.
  • Las cadenas de certificados deben incluir como mínimo un certificado intermedio.
  • También debe proporcionarse un certificado de usuario final por cadena de certificados. Si no se incluye, Google solo hace una verificación mínima.
  • Los certificados de usuario final no deben incluir la clave privada.

Importante: Debe haber al menos un certificado de una CA intermedia en la cadena; es decir, la CA raíz no debe emitir directamente certificados de entidad final.

La lista de certificados de confianza que proporciona y mantiene Google solo sirve para Gmail en el caso de S/MIME. Google, a su entera discreción, determina la lista de autoridades de certificación (CA) de confianza y se reserva el derecho de quitar certificados raíz de CA si lo considera oportuno, tenga o no un motivo.

Solucionar problemas al subir certificados

Para identificar y resolver posibles errores al subir certificados, comprueba lo siguiente:

  • El certificado no cumple los requisitos mínimos para que sea de confianza. Verifica que no incluya una firma automática, que no se haya revocado y que la longitud de la clave no sea inferior a 1024 bits. A continuación, inténtalo de nuevo.
  • El certificado tiene una firma que no es válida. Verifica que tenga una firma válida e inténtalo de nuevo.
  • El certificado ha caducado. Verifica que la fecha del certificado esté dentro del periodo especificado en los campos de fecha límite de inicio y finalización, e inténtalo de nuevo.
  • La cadena de certificados subidos contiene como mínimo un certificado que no es válido. Verifica que el formato del certificado sea correcto e inténtalo de nuevo.
  • El certificado subido contiene varios certificados raíz. Verifica que tenga solo un certificado raíz e inténtalo de nuevo.
  • No se ha podido analizar el certificado. Verifica que el formato del certificado sea correcto e inténtalo de nuevo.
  • El servidor no ha podido analizar el certificado o ha emitido una respuesta desconocida. Verifica que el formato del certificado sea correcto e inténtalo de nuevo.
  • No se ha podido subir el certificado. Se ha producido un problema de comunicación con el servidor. Probablemente se trate de un problema temporal; espera unos minutos e inténtalo de nuevo. Si aun así no puedes subirlo, asegúrate de que el certificado tenga el formato correcto.
  • Edita un certificado raíz. Puedes editar un certificado para cambiar los dominios de la lista de direcciones. Por ejemplo, si has subido certificados personalizados y todavía se considera que tus mensajes no son de confianza, prueba a cambiar la lista de dominios permitidos.

Cambiar los dominios de la lista de direcciones

  1. En la lista de certificados raíz adicionales, selecciona el certificado que quieras cambiar y haz clic en Editar
  2. Aplica los cambios oportunos y haz clic en Guardar.

Nota: No puedes cambiar la fecha de vencimiento de un certificado ni editarlo. Tienes que eliminarlo y subir otro. Eliminar certificados raíz no afecta a ningún certificado de usuario final que ya se haya subido.

Eliminar certificados raíz

En la lista de certificados raíz adicionales, selecciona el certificado que quieras cambiar y haz clic en Eliminar.

Cuándo deberías permitir el uso de SHA-1

Es posible que algunos clientes de correo electrónico distintos a Gmail permitan firmas con hash SHA-1. De forma predeterminada, estas firmas no son de confianza, ya que SHA-1 es una función de hash que se ha ido descartando gradualmente por motivos de seguridad. Solo deberías seleccionar la opción "Permitir el uso de SHA-1 de forma global (no recomendado)" si tu organización se comunica mediante la función de hash de cifrado SHA-1 para proteger los mensajes mediante S/MIME y quieres que estas comunicaciones se consideren de confianza. Con esta opción seleccionada, Gmail confía en los certificados S/MIME adjuntos a los correos procedentes de entidades que utilizan este algoritmo obsoleto.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Inicia sesión si quieres ver otras opciones de asistencia para solucionar tu problema.