为邮件加密启用托管 S/MIME

您可以在 Google 管理控制台中设置托管的安全/多用途网际邮件扩充协议 (S/MIME)，以保护贵组织中的用户免受钓鱼式攻击、有害附件和其他电子邮件威胁的侵害。S/MIME 可为邮件加密并添加数字签名，从而提高电子邮件的安全性。电子邮件使用公钥和私钥的组合来解密。

如果 S/MIME 是托管的，则使用 S/MIME 加密的组织会存储私钥。Google Workspace 客户端加密功能 (CSE) 还可让用户发送和接收加密的 S/MIME 邮件。但使用 CSE 时，私钥由外部密钥服务管理，以加强隐私和数据保护。详细了解客户端加密功能。

您还可以自定义部分 Gmail 设置，以要求特定邮件使用 S/MIME。了解详情

第 1 步：在 Google 管理控制台中启用托管 S/MIME

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   应用 Google Workspace Gmail 用户设置。
3. 在左侧的单位下，选择您要配置的网域或单位。

   重要提示：如需使用高级 S/MIME 控件上传和管理根证书，您必须在顶级组织（通常是您的网域）启用 S/MIME。详细了解 S/MIME 和根证书。

4. 滚动到 S/MIME 设置，并勾选为收发电子邮件启用 S/MIME 加密复选框。

5. （可选）如要允许贵组织中的用户上传证书，请勾选允许用户自行上传证书复选框。

6. （可选的额外控件）如需上传和管理根证书：

   1. 勾选为特定网域接受这些额外根证书旁边的添加。
   2. 在添加根证书窗口中，点击上传根证书。
   3. 找到并选择证书文件，然后点击打开。此时会显示一条针对该证书的验证消息。该消息包含主体名称和失效时间。
   4. 在加密等级下，选择要用于此证书的加密等级。
   5. 在地址列表下，输入至少一个要在通信时使用根证书的网域。如果输入多个网域，请用英文逗号分隔。域名可以包含通配符。如需详细了解如何在域名中使用通配符，请参阅 RFC 6125。
   6. （可选）如需允许 CSE 密钥对使用与用户的主电子邮件地址以外的电子邮件地址关联的证书，请选择证书不匹配选项（对于这些网域，允许使用具有与用户当前电子邮件地址不匹配的电子邮件地址的证书）。

      出于安全考虑，建议仅在贵组织需要此功能时才选择此选项。CSE 支持此功能。托管 S/MIME 不支持此功能。如需详细了解证书不匹配功能，请参阅管理 S/MIME 的受信证书。

   7. 点击完成。
   8. 重复上述步骤以上传更多证书链。
7. 如果您的网域或组织必须使用安全哈希算法 1 (SHA-1)，请勾选允许全局使用 SHA-1（不推荐）复选框。如需详细了解如何使用 SHA-1，请参阅管理 S/MIME 的受信证书。
8. 点击保存。  

更改最长可能需要 24 小时才会生效，但通常不需要这么久。了解详情 在此期间发送的电子邮件不会进行加密。

第 2 步：让用户重新加载 Gmail

在 Google 管理控制台中启用托管 S/MIME 后，请让用户重新加载 Gmail。电子邮件主题中会显示锁形图标。如果邮件经托管 S/MIME 加密，锁就会显示为绿色。

第 3 步：上传证书

如要使用托管 S/MIME 加密，请务必将 S/MIME 最终用户证书上传到 Gmail。证书应符合现行的加密标准，并采用公钥加密标准 (PKCS) #12 归档文件格式。

Google 提供并维护的这份受信任证书列表仅适用于在 Gmail 中启用 S/MIME 功能。

我们建议管理员使用 Gmail S/MIME API 上传证书。您还可以使用 Gmail S/MIME API 来管理各种任务，例如查看、删除和设置默认用户密钥。详细了解 Gmail S/MIME API。

您还可以允许用户在其 Gmail 设置中上传证书：

1. 转到 Gmail。
2. 选择设置 查看所有设置。
3. 选择账号标签页。
4. 在用这个地址发送邮件旁边，选择修改信息。

   系统会显示修改电子邮件地址和加密设置窗口。如果您没有此选项，请与您的管理员联系。

5. 点击上传个人证书。
6. 选择证书并点击打开。系统会提示您输入证书密码。
7. 输入密码并点击添加证书。

第 4 步：让用户交换密钥

如要开始交换 S/MIME 邮件，您的用户需要通过以下某种方式与邮件收件人交换密钥：

• 向收件人发送使用 S/MIME 签名的邮件。此消息已经过数字签名，且包含用户的公钥。收件人可以使用此公钥加密发送给用户的邮件。
• 让收件人向您的用户发送一封邮件。您的用户收到的邮件会采用 S/MIME 签名，而系统会自动保存密钥并供用户使用。今后，发送给收件人的邮件都会经过 S/MIME 加密。

覆盖下级组织的 S/MIME 设置

默认情况下，组织部门会沿用顶级组织部门的 SMIME 设置。您可以选择为组织部门覆盖沿用的 SMIME 设置。如需为组织部门停用或自定义 SMIME 设置，此功能会非常有用。

如需覆盖 SMIME 设置，请执行以下操作：

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标   应用 Google Workspace Gmail 用户设置。

3. 在左侧的组织下，选择您要配置的组织部门。

4. 滚动到 S/MIME 设置，然后点击该设置以将其展开。

   S/MIME 设置标签下的标签会表明该设置是继承自（组织或域名）还是已覆盖。

5. 点击覆盖即可为继承了 S/MIME 设置的下级组织保存更改。

   下级组织的设置保存后，在 S/MIME 设置标签下方会显示已覆盖。在左侧的组织部门结构树中，覆盖了设置的相应下级组织旁边还会显示一个圆点。

提示：如果您的下级组织覆盖了上级组织的设置，您可以使用继承按钮来继承上级组织的设置。

相关主题

管理 S/MIME 的受信证书（高级）