Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi

Versioni supportate per questa funzionalità: Enterprise; Education Fundamentals, Education Standard, Teaching and Learning Upgrade ed Education Plus. Confronta la tua versione

Puoi migliorare l'integrità e la riservatezza dei messaggi email della tua organizzazione attivando le Estensioni Secure/Multipurpose Internet ospitate (S/MIME). Affinché la crittografia S/MIME funzioni, deve essere attivata sia per il mittente sia per il destinatario, i quali devono inoltre scambiarsi informazioni, dette chiavi, per identificarsi reciprocamente in modo univoco.

Puoi assicurarti che determinati messaggi vengano inviati o ricevuti solo se sono criptati con S/MIME o firmati con S/MIME. Leggi come impostare le regole di conformità e di routing e rafforzare la sicurezza dei messaggi con la crittografia S/MIME ospitata.

Consulta le Domande frequenti sulla crittografia S/MIME ospitata per ulteriori informazioni sull'assistenza clienti e la crittografia avanzata.

Configurare la crittografia S/MIME ospitata

Per utilizzare la crittografia S/MIME ospitata, è necessario attivarla nella Console di amministrazione Google e quindi caricare i certificati in Gmail, a livello di programmazione o tramite le impostazioni di Gmail. Quando gli utenti ricaricheranno Gmail, vedranno la modifica. Facoltativamente, puoi consentire agli utenti di caricare i propri certificati e scambiarli tra loro per renderli operativi.

Passaggio 1: attiva la crittografia S/MIME ospitata

I passaggi seguenti descrivono come attivare la crittografia S/MIME e, facoltativamente, come utilizzare i controlli avanzati sui certificati S/MIME attendibili per caricare e gestire i certificati radice.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai al Menu ApplicazioniGoogle WorkspaceGmailImpostazioni utente.
A sinistra, in Organizzazioni, seleziona il dominio o l'organizzazione che vuoi configurare.

Importante: se stai configurando i controlli avanzati di S/MIME per caricare e gestire i certificati radice, devi scegliere di attivare S/MIME nell'organizzazione di primo livello, che in genere corrisponde al tuo dominio.
Scorri fino all'impostazione S/MIME e seleziona la casella Attiva crittografia S/MIME per l'invio e la ricezione di email.
(Facoltativo) Se vuoi consentire agli utenti di caricare i certificati, seleziona la casella Consenti agli utenti di caricare i propri certificati.
(Controlli aggiuntivi facoltativi) Se vuoi caricare e gestire i certificati radice, utilizza i controlli dei certificati S/MIME attendibili:
1. Accanto ad Accetta questi certificati radice per domini specifici, fai clic su Aggiungi.
2. Fai clic su Carica certificato radice.
3. Sfoglia per selezionare il file del certificato e fai clic su Apri. Dovresti vedere un messaggio di verifica per il certificato che include il nome dell'oggetto e la data di scadenza. Se si verifica un problema con il certificato, viene visualizzato un messaggio di errore.
4. In Livello crittografia, seleziona il livello di crittografia da utilizzare con questo certificato.
5. In Elenco indirizzi, inserisci almeno un dominio che utilizzerà il certificato radice durante la comunicazione. I nomi di dominio possono includere caratteri jolly conformi allo standard RFC. Separa più domini usando le virgole.
6. Fai clic su Salva.
7. Ripeti l'operazione per catene di certificati aggiuntive.
Seleziona la casella Consenti SHA-1 globalmente (non consigliato) solo se il tuo dominio o organizzazione deve utilizzare l'algoritmo SHA-1 (Secure Hash Algorithm 1).
Fai clic su Salva.

Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più I messaggi inviati durante questo periodo non sono criptati, analogamente a quanto accade quando disattivi e riattivi la crittografia S/MIME.

Sostituire le impostazioni S/MIME di un'organizzazione secondaria

Per impostazione predefinita, le organizzazioni secondarie ereditano le impostazioni S/MIME dall'organizzazione di livello superiore. Gli amministratori possono scegliere di sostituire le impostazioni S/MIME ereditate a livello di organizzazione secondaria. Questa funzionalità può essere utile per disattivare o personalizzare le impostazioni S/MIME per organizzazioni secondarie specifiche.

Per sostituire le impostazioni S/MIME di un'organizzazione secondaria:

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai al Menu ApplicazioniGoogle WorkspaceGmailImpostazioni utente.
A sinistra, sotto Organizzazioni, seleziona l'organizzazione secondaria che vuoi configurare.
Scorri fino all'impostazione S/MIME e fai clic per espanderla.
Nota: nella didascalia sotto l'etichetta dell'impostazione S/MIME sarà riportata la dicitura Ereditata da (nome dell'organizzazione o del dominio) o Ignorato.
Fai clic su Sostituisci per salvare le modifiche all'organizzazione secondaria che eredita le impostazioni S/MIME.

Una volta salvate le impostazioni dell'organizzazione secondaria, sotto l'etichetta delle impostazioni S/MIME verrà visualizzata la dicitura Ignorato. Nell'albero della struttura dell'unità organizzativa, sulla sinistra, viene visualizzato un punto accanto alle organizzazioni che sostituiscono le impostazioni.

Suggerimento: se l'organizzazione secondaria ha sostituito le impostazioni di un'organizzazione di livello superiore, puoi utilizzare il pulsante Eredita per ereditare le impostazioni dell'organizzazione di livello superiore.

Passaggio 2: chiedi agli utenti di ricaricare Gmail

Dopo aver attivato la crittografia S/MIME ospitata, chiedi agli utenti di ricaricare Gmail per vedere la modifica. Dopo il ricaricamento, viene visualizzato un lucchetto nella riga dell'Oggetto dei messaggi email. Se il messaggio è criptato con la crittografia S/MIME ospitata, il lucchetto è verde.

Passaggio 3: carica i certificati

Per utilizzare la crittografia S/MIME ospitata, è necessario caricare i certificati S/MIME degli utenti finali in Gmail. Il certificato deve soddisfare gli standard di crittografia correnti e utilizzare il formato di file di archivio degli standard PKCS #12 (Public-Key Cryptography Standards), una sintassi di trasferimento per le informazioni personali. Per informazioni sugli standard PKCS #12, consulta questo documento della Internet Engineering Task Force.

L'elenco di certificati attendibili, fornito e gestito da Google, si applica solo a Gmail per S/MIME. Le CA (Certificate Authority, "autorità di certificazione") elencate sono ritenute attendibili esclusivamente a discrezione di Google, che si riserva il diritto di rimuovere le CA radice in qualunque momento e per qualsiasi motivo.

Consigliamo agli amministratori di caricare i certificati a livello di programmazione utilizzando l'API Gmail S/MIME. Puoi utilizzare l'API Gmail S/MIME anche per gestire operazioni come la visualizzazione, l'eliminazione e l'impostazione di chiavi utente predefinite. Gli utenti autorizzati a caricare i certificati possono farlo nelle impostazioni di Gmail.

Per caricare un certificato in Gmail:

Dalla Posta in arrivo di Gmail, scegli Impostazioni Impostazioni.
Fai clic sulla scheda Account.
Nell'area Invia messaggio come, fai clic su Modifica informazioni.
Viene visualizzata una finestra di messaggio con un'opzione per la crittografia avanzata (S/MIME). Per visualizzare questa opzione, è necessario attivare S/MIME e l'opzione Consenti agli utenti di caricare i propri certificati nella Console di amministrazione.
Fai clic su Carica un certificato personale.
Seleziona il certificato e fai clic su Apri. Ti verrà chiesto di inserire una password per il certificato.
Inserisci la password e fai clic su Aggiungi certificato.

Passaggio 4: chiedi agli utenti di scambiarsi le chiavi

I tuoi utenti devono scambiare le chiavi con i destinatari dei messaggi email in uno dei seguenti modi:

Inviare un messaggio firmato con S/MIME ai destinatari. Nell'email sarà presente una firma digitale che include la chiave pubblica dell'utente. I destinatari potranno utilizzare la chiave pubblica per criptare le email che inviano al tuo utente.
Chiedere ai destinatari di inviare loro un messaggio. Quando gli utenti riceveranno il messaggio, questo sarà firmato con S/MIME. La chiave verrà memorizzata e resa disponibile automaticamente. Da questo momento in poi, i messaggi inviati a questo destinatario sono crittografati con S/MIME per impostazione predefinita.

Dopo aver attivato la crittografia S/MIME ospitata

Dopo aver attivato la crittografia S/MIME ospitata, puoi assicurarti che determinati messaggi vengano inviati o ricevuti solo se sono criptati con S/MIME o firmati con S/MIME. Questa configurazione può essere impostata quando crei le regole per la conformità e il routing. Leggi come migliorare la sicurezza dei messaggi con la crittografia S/MIME ospitata e le regole.

Puoi allentare alcune limitazioni di sicurezza per renderle conformi all'infrastruttura S/MIME del tuo dominio. Ad esempio, puoi caricare autorità di certificazione (CA) radice che non sono conformi alle linee guida sulla sicurezza predefinite più rigide.

Controlli avanzati sui certificati S/MIME attendibili

Google ha stabilito una serie di requisiti per i certificati S/MIME accettabili. Tuttavia, i certificati potrebbero non essere conformi a questi standard e, a seconda della configurazione, è possibile che alcune email non siano "attendibili". In tal caso, puoi decidere di accettare certificati radice aggiuntivi emessi da CA che tu ritieni attendibili.

Per accettare un certificato radice aggiuntivo, devi caricarlo e indicare almeno un dominio a cui applicarlo. Puoi anche modificare il livello di crittografia del certificato o il profilo di convalida, se necessario.

Linee guida per i certificati radice

Creare il file del certificato per il caricamento

Linee guida per i certificati

Il certificato deve essere in formato .pem e può contenere una sola radice.
La catena di certificati deve includere almeno un certificato intermedio.
Dovresti inoltre fornire un certificato dell'utente finale per ogni catena di certificati. Se non è incluso, Google esegue solo verifiche limitate.
Il certificato dell'utente finale non deve includere la chiave privata.

Importante: la catena deve includere almeno un certificato di una CA intermedia. Questo significa che l'entità radice non deve corrispondere all'emittente diretto del certificato dell'entità finale.

Risolvere i problemi di caricamento

Per identificare e risolvere gli errori di caricamento, verifica quanto segue:

Il certificato non soddisfa i requisiti minimi per essere considerato attendibile. Verifica che il certificato non sia autofirmato, che non sia stato revocato e che la lunghezza della chiave non sia inferiore a 1024 bit, quindi riprova.
Il certificato contiene una firma non valida. Verifica che il certificato abbia una firma valida, quindi riprova.
Il certificato è scaduto. Verifica che la data del certificato sia compresa nell'intervallo specificato nei campi Non prima (data) e Non dopo (data) e riprova.
La catena di certificati caricata contiene almeno un certificato non valido. Verifica che il certificato sia formattato correttamente, quindi riprova.
Il certificato caricato contiene più certificati radice. Verifica che il certificato abbia un solo certificato radice e riprova.
Impossibile analizzare il certificato. Verifica che il certificato sia formattato correttamente, quindi riprova.
Il server non è stato in grado di analizzare il certificato o ha generato una risposta sconosciuta. Verifica che il certificato sia formattato correttamente, quindi riprova.
Impossibile caricare il certificato. Si è verificato un problema durante la comunicazione con il server. Si tratta probabilmente di un problema temporaneo. Attendi alcuni minuti e riprova. Se l'errore di caricamento persiste, assicurati che il certificato sia formattato correttamente.
Modifica un certificato radice. Puoi modificare un certificato per cambiare i domini nell'elenco degli indirizzi. Ad esempio, se hai caricato certificati personalizzati e i tuoi messaggi sono ancora considerati "non attendibili", prova a modificare l'elenco dei domini consentiti.

Modificare i domini nell'elenco degli indirizzi

Nell'elenco dei certificati radice aggiuntivi, seleziona il certificato da modificare e fai clic su Modifica.
Esegui la modifica, quindi fai clic su Salva.

Nota: non puoi modificare la data di scadenza di un certificato o utilizzare l'operazione di modifica per sostituire un certificato. Devi eliminare il certificato e caricarne uno nuovo. L'eliminazione di un certificato radice non influirà sui certificati degli utenti finali già caricati.

Eliminare un certificato radice

Nell'elenco dei certificati radice aggiuntivi, seleziona il certificato da cambiare, quindi fai clic su Elimina.

Quando può essere necessario autorizzare l'algoritmo SHA-1

Alcuni client non Gmail possono consentire le firme con hash SHA-1. Per impostazione predefinita, queste firme sono visualizzate come non attendibili in quanto l'algoritmo SHA-1 è una funzione di hash obsoleta (a causa di problemi di sicurezza). Seleziona l'opzione Consenti SHA-1 globalmente solo se la tua organizzazione comunica utilizzando la funzione di hash crittografico SHA-1 per la protezione con S/MIME del messaggio e vuoi che queste comunicazioni siano visualizzate come attendibili. Quando questa opzione è selezionata, Gmail considera sicuri i certificati S/MIME allegati ai messaggi di posta in arrivo da parte di entità che utilizzano questo algoritmo obsoleto.

È stato utile?

Come possiamo migliorare l'articolo?