Уведомление

На смену Duet AI приходит Gemini для Google Workspace. Подробнее…

Как включить размещаемые сертификаты S/MIME для шифрования писем

Эта функция доступна в версиях Enterprise Plus и Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education PlusСравнение версий

Вы можете настроить размещаемые сертификаты S/MIME в консоли администратора Google, чтобы защитить сотрудников организации от фишинга, вредоносных прикрепленных файлов и других типов угроз, связанных с электронной почтой. S/MIME обеспечивает более высокий уровень безопасности электронной почты за счет шифрования писем и добавления цифровой подписи. Для расшифровки используется сочетание из открытого и закрытого ключей.

Если сертификат S/MIME является размещаемым, организация, которая использует S/MIME для шифрования, хранит закрытый ключ. При использовании шифрования Google Workspace на стороне клиента сотрудники также могут отправлять и получать письма, зашифрованные с помощью S/MIME. Однако при использовании шифрования на стороне клиента закрытыми ключами управляет внешний сервис управления ключами, чтобы обеспечить более надежную конфиденциальность и защиту данных. Подробнее о шифровании на стороне клиента

Вы также можете настроить некоторые параметры Gmail, чтобы сделать протокол S/MIME обязательным для определенных писем. Подробнее…

Шаг 1. Включите размещаемые сертификаты S/MIME в консоли администратора Google

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемGoogle Workspaceа затемGmailа затемПользовательские настройки.
  3. Слева в разделе Организации выберите нужный домен или организацию.

    Важно! Чтобы использовать расширенные возможности управления доверенными сертификатами S/MIME для загрузки корневых сертификатов и управления ими, включите S/MIME для организации верхнего уровня (как правило, это ваш домен). Подробнее о S/MIME и корневых сертификатах

  4. Найдите параметр S/MIME и установите флажок Включить шифрование S/MIME для отправляемых и получаемых писем.

  5. Чтобы сотрудники могли загружать сертификаты, установите флажок Разрешить пользователям загружать собственные сертификаты.

  6. Чтобы загружать корневые сертификаты и управлять ими:

    1. Рядом с параметром Принимать эти дополнительные корневые сертификаты для определенных доменов нажмите Добавить.
    2. В окне Добавить корневой сертификат нажмите Загрузить корневой сертификат.
    3. Выберите файл сертификата и нажмите Открыть. Появится сообщение для проверки сертификата. В нем будет указано название и дата окончания срока действия.
    4. В разделе Уровень шифрования выберите уровень шифрования для сертификата.
    5. В разделе Список адресов укажите хотя бы один домен, который будет использовать корневой сертификат. Если вы добавляете несколько доменов, укажите их через запятую. В доменных именах допускается использование подстановочных знаков. Чтобы узнать больше об использовании подстановочных знаков в доменных именах, ознакомьтесь с документом RFC 6125.
    6. Если нужно разрешить пары ключей шифрования на стороне клиента с сертификатами, связанными с адресом электронной почты, отличным от основного адреса пользователя, включите параметр несоответствия сертификатов (For these domains allow certificates with email addresses that don't match users current email address (Для этих доменов разрешить сертификаты с адресами электронной почты, которые не соответствуют текущему адресу электронной почты пользователя)).

      В целях безопасности этот параметр рекомендуется использовать только в том случае, если это требуется организацией. Эта функция поддерживается для шифрования на стороне клиента, но не для размещаемых сертификатов S/MIME. С подробной информацией о несоответствии сертификатов можно ознакомиться в статье Как управлять доверенными сертификатами для S/MIME.

    7. Нажмите Готово.
    8. Чтобы загрузить другие цепочки сертификатов, повторите описанные выше действия.
  7. Если в вашем домене или организации требуется использование алгоритма SHA-1, установите флажок Разрешить шифрование SHA-1 глобально (не рекомендуется). Подробная информация о SHA-1 приведена в статье Как управлять доверенными сертификатами для S/MIME.
  8. Нажмите Сохранить.  

Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее… Письма, отправленные в этот промежуток, не шифруются.

Шаг 2. Попросите пользователей перезагрузить Gmail

Включив размещаемые сертификаты S/MIME в консоли администратора Google, попросите пользователей перезагрузить Gmail. В строке "Тема" появится значок замка. Если сообщение зашифровано с помощью размещаемого сертификата S/MIME, замок будет зеленым.

Шаг 3. Загрузите сертификаты

Чтобы использовать шифрование S/MIME, в Gmail необходимо загрузить сертификаты S/MIME конечных пользователей. Сертификаты должны соответствовать текущим криптографическим стандартам и иметь формат PKCS #12.

Доверенные сертификаты из списка, предоставляемые и обслуживаемые компанией Google, применяются только для S/MIME в Gmail.

Мы рекомендуем администраторам загружать сертификаты с помощью S/MIME API Gmail. Вы также можете использовать S/MIME API для просмотра, настройки и удаления пользовательских ключей по умолчанию. Подробнее…

Вы также можете разрешить пользователям загружать сертификаты в их настройках Gmail:

  1. Откройте Gmail.
  2. Выберите Настройки Настройки > Все настройки.
  3. Выберите вкладку Аккаунты.
  4. Рядом с пунктом Отправлять письма как выберите Изменить информацию.

    Откроется окно Изменение адреса электронной почты и настроек шифрования. Если этого параметра нет, обратитесь к администратору.

  5. Нажмите Загрузить личный сертификат.
  6. Выберите сертификат и нажмите Открыть.
  7. Введите пароль и нажмите Добавить сертификат.

Шаг 4. Попросите пользователей обменяться ключами

Чтобы получить возможность отправлять и получать письма с шифрованием S/MIME, пользователям необходимо обменяться ключами с получателями писем. Это можно сделать следующими способами:

  • Отправить получателю сообщение, подписанное с помощью сертификата S/MIME. Это письмо с цифровой подписью будет включать открытый ключ пользователя. Получатели могут с помощью этого открытого ключа шифровать письма, адресованные пользователю.
  • Попросить получателя написать письмо. Оно будет подписано с помощью сертификата S/MIME, а ключ – автоматически сохранен и доступен для использования. У всех последующих писем, отправленных получателю, будет шифрование S/MIME.

Как переопределить настройки S/MIME дочерней организации

По умолчанию организационные подразделения наследуют настройки S/MIME от организационного подразделения верхнего уровня. Вы можете переопределить унаследованные настройки S/MIME для организационных подразделений. Эта функция может быть полезна, если вам нужно отключить или изменить настройки S/MIME для определенных организационных подразделений.

Чтобы переопределить настройки S/MIME:

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Приложенияа затемGoogle Workspaceа затемGmailа затемПользовательские настройки.

  3. Слева в разделе Организации выберите организационное подразделение, для которого нужно задать настройки.

  4. Найдите параметр S/MIME и разверните его.

    В метке параметра S/MIME будет указано Откуда унаследовано (название организации или домена) или Переопределено.

  5. Нажмите Переопределить, чтобы сохранить изменения для дочерней организации, которая наследует настройки S/MIME.

    После сохранения под меткой настроек S/MIME появится надпись Переопределено. Также рядом с организациями, для которых переопределены настройки, в дереве структуры организационного подразделения слева отображается точка.

Совет. Если в вашей дочерней организации были переопределены настройки организации верхнего уровня, вы можете вернуть эти настройки с помощью кнопки Наследовать.

Статьи по теме

Как управлять доверенными сертификатами для S/MIME (расширенная настройка)

Эта информация оказалась полезной?

Как можно улучшить эту статью?

Требуется помощь?

Попробуйте следующее:

Опубликовать на справочном форуме Получите ответы от участников сообщества
Связаться с нами Расскажите о своей проблеме нашим сотрудникам
true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
16161048088650195470
true
Поиск по Справочному центру
true
true
true
true
true
73010
false
false