Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi

Versioni supportate per questa funzionalità: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade ed Education PlusConfronta la tua versione

Per proteggere i membri della tua organizzazione da phishing, allegati dannosi e altre minacce email, puoi configurare S/MIME (Estensioni Secure/Multipurpose Internet Mail) ospitate nella Console di amministrazione Google. S/MIME migliora la sicurezza delle email criptando e aggiungendo una firma digitale ai messaggi. I messaggi vengono decriptati utilizzando una combinazione di chiave pubblica e chiave privata

Quando S/MIME è ospitato, l'organizzazione che utilizza S/MIME per la crittografia archivia la chiave privata. La crittografia lato client di Google Workspace consente inoltre agli utenti di inviare e ricevere messaggi S/MIME criptati. Tuttavia, con la crittografia lato client, le chiavi private vengono gestite da un servizio chiavi esterno per una maggiore privacy e protezione dei dati. Scopri di più sulla crittografia lato client.

Puoi anche personalizzare alcune impostazioni di Gmail in modo che richieda S/MIME per determinati messaggi. Scopri di più

Passaggio 1: attiva la crittografia S/MIME ospitata nella Console di amministrazione Google

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Applicazionie poiGoogle Workspacee poiGmaile poiImpostazioni utente.
  3. A sinistra, in Organizzazioni, seleziona il dominio o l'organizzazione che vuoi configurare.

    Importante: per utilizzare i controlli S/MIME avanzati per caricare e gestire i certificati radice, devi attivare S/MIME nell'organizzazione di primo livello, in genere nel tuo dominio. Scopri di più su S/MIME e i certificati radice.

  4. Scorri fino all'impostazione S/MIME e seleziona la casella Attiva crittografia S/MIME per l'invio e la ricezione di email.

  5. (Facoltativo) Per consentire agli utenti della tua organizzazione di caricare i certificati, seleziona la casella Consenti agli utenti di caricare i propri certificati.

  6. (Controlli aggiuntivi facoltativi) Per caricare e gestire i certificati radice: 

    1. Accanto ad Accetta questi certificati radice per domini specifici, fai clic su Aggiungi.
    2. Nella finestra Aggiungi certificato radice, fai clic su Carica certificato radice.
    3. Sfoglia per selezionare il file del certificato e fai clic su Apri. Viene visualizzato un messaggio di verifica per il certificato. Il messaggio include il nome dell'oggetto e la scadenza. 
    4. In Livello crittografia, seleziona il livello di crittografia da utilizzare con questo certificato.
    5. In Elenco indirizzi, inserisci almeno un dominio che utilizzerà il certificato radice durante la comunicazione. Separa più domini usando le virgole. I nomi di dominio possono includere caratteri jolly. Per ulteriori informazioni sull'utilizzo dei caratteri jolly nei nomi di dominio, fai riferimento a RFC 6125
    6. (Facoltativo) Per consentire le coppie di chiavi con crittografia lato client con certificati associati a un indirizzo email diverso dall'indirizzo email principale di un utente, seleziona l'opzione di non corrispondenza di certificato (Per questi domini consenti i certificati con indirizzi email che non corrispondono all'indirizzo email corrente degli utenti).

      Per motivi di sicurezza, questa opzione è consigliata solo se richiesto dalla tua organizzazione. Questa funzionalità è supportata con la crittografia lato client. Non è supportata con la crittografia S/MIME ospitata.Per scoprire di più sulla mancata corrispondenza dei certificati, vedi Gestire i certificati attendibili per S/MIME.

    7. Fai clic su Fine.
    8. Ripeti questi passaggi per caricare altre catene di certificati.
  7. Se il tuo dominio o la tua organizzazione devono utilizzare l'algoritmo SHA-1 (Secure Hash Algorithm 1), seleziona la casella Consenti SHA-1 a livello globale (sconsigliato). Per scoprire di più sull'utilizzo di SHA-1, vedi Gestire i certificati attendibili per S/MIME.
  8. Fai clic su Salva.  

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più I messaggi inviati in questo periodo non sono criptati.

Passaggio 2: chiedi agli utenti di ricaricare Gmail

Dopo aver attivato la crittografia S/MIME ospitata nella Console di amministrazione Google, chiedi agli utenti di ricaricare Gmail. Nell'oggetto del messaggio viene visualizzata l'icona di un lucchetto. Se il messaggio è criptato con la crittografia S/MIME ospitata, il lucchetto è verde.

Passaggio 3: carica i certificati

Per utilizzare la crittografia S/MIME ospitata, è necessario caricare i certificati S/MIME degli utenti finali in Gmail. Il certificato deve soddisfare gli standard di crittografia correnti e utilizzare il formato file archivio Public-Key Cryptography Standards (PKCS) #12

Questo elenco di certificati attendibili, fornito e gestito da Google, si applica solo a Gmail per S/MIME. 

Consigliamo agli amministratori di caricare i certificati con l'API Gmail S/MIME. Puoi utilizzare l'API Gmail S/MIME anche per gestire attività come la visualizzazione, l'eliminazione e l'impostazione di chiavi utente predefinite. Scopri di più sull'API Gmail S/MIME.

Puoi anche consentire agli utenti di caricare i certificati nelle loro impostazioni di Gmail:

  1. Vai a Gmail.
  2. Scegli Impostazioni Impostazioni quindi Visualizza tutte le impostazioni.
  3. Seleziona la scheda Account
  4. Accanto a Invia messaggio come, seleziona Modifica informazioni.

    Viene visualizzata la finestra Modifica indirizzo email e impostazioni di crittografia. Se questa opzione non è disponibile, contatta l'amministratore.

  5. Fai clic su Carica un certificato personale.
  6. Seleziona il certificato e fai clic su Apri. Ti verrà chiesto di inserire una password per il certificato.
  7. Inserisci la password e fai clic su Aggiungi certificato.

Passaggio 4: chiedi agli utenti di scambiarsi le chiavi

Per iniziare a scambiare messaggi S/MIME, gli utenti devono scambiare le chiavi con i destinatari dei messaggi in uno dei seguenti modi: 

  • Inviare un messaggio firmato con S/MIME ai destinatari. Il messaggio è firmato digitalmente e include la chiave pubblica dell'utente. I destinatari possono utilizzare questa chiave pubblica per criptare i messaggi che inviano all'utente.
  • Chiedere ai destinatari di inviare loro un messaggio. Quando gli utenti riceveranno il messaggio, questo sarà firmato con S/MIME. La chiave verrà memorizzata e resa disponibile automaticamente. In futuro, i messaggi inviati al destinatario verranno criptati con S/MIME.

Sostituire le impostazioni S/MIME di un'organizzazione secondaria

Per impostazione predefinita, le unità organizzative ereditano le impostazioni S/MIME dall'unità organizzativa di primo livello. Se necessario, puoi sostituire le impostazioni S/MIME ereditate per le unità organizzative. Questa funzionalità è utile per disattivare o personalizzare le impostazioni S/MIME per le unità organizzative. 

Per eseguire l'override delle impostazioni S/MIME:

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai al Menu e poi Applicazionie poiGoogle Workspacee poiGmaile poiImpostazioni utente.
  3. A sinistra, in Organizzazioni, seleziona l'unità organizzativa che vuoi configurare.

  4. Scorri fino all'impostazione S/MIME e fai clic per espanderla.

    L'etichetta sotto l'etichetta dell'impostazione S/MIME sarà riportta la dicitura Ereditata da (nome dell'organizzazione o del dominio) o Ignorato.

  5. Fai clic su Sostituisci per salvare le modifiche all'organizzazione secondaria che eredita le impostazioni S/MIME.

    Una volta salvate le impostazioni dell'organizzazione secondaria, sotto l'etichetta delle impostazioni S/MIME verrà visualizzata la dicitura Ignorato. Nell'albero della struttura dell'unità organizzativa, sulla sinistra, viene visualizzato un punto accanto alle organizzazioni che sostituiscono le impostazioni.

Suggerimento: se l'organizzazione secondaria ha sostituito le impostazioni di un'organizzazione di livello superiore, puoi utilizzare il pulsante Eredita per ereditare le impostazioni dell'organizzazione di livello superiore.

Argomenti correlati

Gestire i certificati attendibili per S/MIME (avanzato)

È stato utile?

Come possiamo migliorare l'articolo?
Ricerca
Cancella ricerca
Chiudi ricerca
App Google
Menu principale