Solo Gmail: subir claves de cifrado para el cifrado del lado del cliente

Ediciones compatibles con esta función: Enterprise Plus y Education Standard y Education Plus. Comparar ediciones

Para utilizar el cifrado del lado del cliente (CPC) de Google Workspace en Gmail, debes habilitar la API de Gmail y darle acceso a toda tu organización. Después, por cada usuario, debes usar la API de Gmail para subir un certificado S/MIME (extensiones seguras multipropósito de correo de Internet) (clave pública) y metadatos de clave privada a Gmail. Si utilizas un servicio de claves de cifrado, también tendrás que cifrar (o "envolver") los metadatos de las claves privadas de los usuarios a través de ese servicio de claves.

Puedes cambiar a otro servicio de claves en cualquier momento subiendo nuevos certificados S/MIME y metadatos de claves privadas cifrados por el nuevo servicio.

Acerca de S/MIME

S/MIME es un protocolo estándar del sector para firmar digitalmente y cifrar correos electrónicos. Cuenta con un amplio reconocimiento y su fin es asegurar la integridad y la protección de los mensajes. El CPC de Gmail se basa en el estándar S/MIME 3.2 de IETF para enviar y recibir datos de MIME de forma segura. S/MIME requiere que los remitentes y los destinatarios de correos tengan certificados X.509 de confianza para Gmail.

Nota: También puedes usar S/MIME sin la capa adicional de cifrado y privacidad que proporciona el CPC. No obstante, te recomendamos que solo uses esta alternativa si no necesitas evitar que los servidores de Google descifren tus datos con CLC. Consulta más información en el artículo Activar S/MIME alojado para cifrar los mensajes.

Antes de empezar

Primero, comprueba que hayas completado los siguientes pasos:

  1. Elige un servicio de claves.
  2. Conéctate a tu proveedor de identidades.
  3. Configura el servicio de claves externo o el cifrado de claves de hardware.
  4. Asigna un servicio de claves o el cifrado de claves de hardware a unidades organizativas o grupos.

    Si utilizas varios servicios de claves, asegúrate de que estén asignados a las unidades organizativas o grupos de configuración correspondientes. 

Configurar la API de Gmail

Nota: Para usar las APIs se necesitan conocimientos de programación.

Abrir sección  |  Ocultar todo

Paso 1: Habilita la API de Gmail
  1. Crea un proyecto de GCP. Para obtener más información, consulta el artículo Crea y gestiona proyectos.

    Anota el ID del proyecto: tendrás que usarlo para conceder a la API acceso a todo el dominio.

  2. Ve a la consola de APIs de Google y habilita la API de Gmail en el nuevo proyecto. Para obtener más información, consulta el artículo sobre cómo habilitar una API en tu proyecto de Google Cloud.
Paso 2: Crea una cuenta de servicio para todo el dominio
  1. En la consola de Google Cloud, ve a la página Cuentas de servicio y crea una cuenta de servicio que abarque todo el dominio. Consulta información detallada en el artículo Crear y gestionar cuentas de servicio.
  2. Crea una clave privada de cuenta de servicio y guárdala en un archivo JSON en tu sistema local, como svc_acct_creds.json. Este archivo contiene las credenciales que utilizarás al configurar Gmail para los usuarios. Consulta información detallada en el artículo Crear y gestionar claves de cuentas de servicio.
Paso 3: Da a la API de Gmail acceso a todo el dominio

En este paso, debes usar la cuenta de servicio que hayas creado para dar permiso de edición a la API de Gmail para todos tus usuarios. 

  1. Sigue las instrucciones del artículo Controlar el acceso a las API con la delegación de todo el dominio.
  2. Introduce lo siguiente cuando se te pida:

    El ID de cliente: ID de cliente de la cuenta de servicio que has creado en el paso 2 de este artículo.

    Permisos de OAuth: gmail.settings.readonly y gmail.settings.basic o gmail.settings.sharing.

Activar el CLC de Gmail para los usuarios

Activa el CPC de Gmail en las unidades organizativas o los grupos pertinentes.Consulta más información en el artículo Activar o desactivar el CLC.

Nota: En el caso de las unidades organizativas, puedes configurar que todos los correos (redactar, responder y reenviar) estén cifrados de forma predeterminada. El usuario puede desactivar el cifrado si es necesario. Requires having the Assured Controls or Assured Controls Plus add-on. 

Configurar certificados S/MIME del CLC para usuarios

Una vez que hayas configurado la API de Gmail y activado el CLC de Gmail para los usuarios en la consola de administración, podrás configurar certificados S/MIME de CLC y metadatos de claves privadas para tus usuarios. 

Abrir sección  |  Ocultar todo

Paso 1: Prepara los certificados S/MIME y los metadatos de claves privadas

Haz lo siguiente con cada usuario que vaya a utilizar el CLC de Gmail para enviar o recibir correos:

Con una autoridad de certificación (AC), genera un par de claves pública/privada S/MIME con una cadena de certificados. El certificado de hoja de S/MIME debe incluir la dirección de Gmail principal del usuario como nombre de asunto o asunto de extensión SAN.

Para ello, tienes dos opciones:

  • Utilizar un certificado raíz de una AC de confianza de Google: consulta la lista de certificados AC de confianza de Gmail para S/MIME.
  • Utilizar una AC que no sea de confianza para Google: por ejemplo, si quieres usar tu propia AC, puedes añadir su certificado raíz en la consola de administración. Consulta más información en el artículo Gestionar certificados de confianza para S/MIME.

    Nota: Si utilizas una AC que no sea de confianza para Google, y los usuarios envían correos cifrados por parte del cliente fuera de tu organización, el destinatario también debe confiar en esa AC.

Paso 2: Envuelve certificados y metadatos de claves privadas

Con tu servicio de claves, puedes cifrar o "envolver" los metadatos de las claves privadas S/MIME. Para ello, ponte en contacto con el servicio de claves o sigue las instrucciones que se indican.

Si utilizas el cifrado de claves de hardware: salta este paso y no envuelvas metadatos de claves privadas de ningún usuario que vaya a utilizar el cifrado de claves de hardware. En este caso, no es necesario envolver los metadatos porque las claves privadas de Gmail de los usuarios se encuentran en sus tarjetas inteligentes.   Requires having the Assured Controls or Assured Controls Plus add-on.

Paso 3: Sube los certificados S/MIME y los metadatos de claves privadas de los usuarios a Gmail

Debes utilizar la API de Gmail para subir a Gmail la cadena de certificados S/MIME de las claves públicas y los metadatos de claves privadas de cada usuario, así como para definir claves preferidas para los usuarios creando una identidad.

Completa los siguientes pasos con cada usuario y utiliza el archivo de clave privada que has descargado al crear una cuenta de servicio para todo el dominio para llevar a cabo la autenticación:

  1. Sube los metadatos de la cadena de certificados y de la clave privada con la llamada de punto de acceso de Gmail keypairs.create.
  2. Habilita el par de claves de la dirección de correo principal del usuario mediante la llamada a la API de Gmail identities.create.

    La llamada a identities.create requiere el ID del par de claves que se devuelva en el cuerpo de respuesta a la llamada a keypairs.create.

    Nota: Para habilitar el par de claves para la dirección de correo de un usuario, debes seguir los pasos que se indican a continuación.

    • Crea una identidad de CLC autorizada para enviar correos electrónicos desde la cuenta del usuario.
    • Configura Gmail para que utilice los metadatos de la clave privada para firmar el correo saliente con CLC.
    • Publica el certificado en un repositorio compartido que abarque todo el dominio para que otros usuarios del CLC de tu organización puedan cifrar los mensajes enviados a ese usuario.

Para seguir estos pasos, utiliza una secuencia de comandos que interactúe con la API de Gmail. Para ello, tienes dos opciones:

  • Escribe tu propia secuencia de comandos.
  • Usa la secuencia de comandos de ejemplo de Python que proporciona Google. Consulta las instrucciones en el artículo sobre cómo usar la secuencia de comandos de Python de Google para subir certificados y claves envueltas de usuarios a Gmail que se incluye más abajo.

    Nota: Esta secuencia de comandos solo se aplica a los usuarios que vayan a usar un servicio de claves para cifrar contenido de Gmail. Los usuarios que vayan a utilizar el cifrado de claves de hardware deberán crear otra secuencia de comandos para subir sus metadatos de claves privadas sin envolver.

Después de subir los certificados, pueden tardar hasta 24 horas en estar disponibles en Gmail, aunque suelen tardar mucho menos. 

(Opcional) Usar la secuencia de comandos de ejemplo de Python para subir los certificados de los usuarios y las claves privadas envueltas a Gmail

Para completar el paso 3, puedes utilizar la secuencia de comandos de Python que proporciona Google en lugar de escribir una. 

Nota: Esta secuencia de comandos te pide los tres permisos que puedes usar para conceder a la API de Gmail acceso a todo el dominio (detallados anteriormente en esta página): gmail.settings.readonly, gmail.settings.basic y gmail.settings.sharing. Para usar la secuencia de comandos, puedes habilitar los tres permisos o quitar el permiso que no vayas a usar de la secuencia de comandos.

Descargar la secuencia de comandos

Descarga el paquete de secuencias de comandos de Python (.zip) a tu ordenador (Mac, Linux o Windows) y extrae los archivos en tu directorio de trabajo.

Crear un entorno virtual e instalar módulos

Introduce la línea de comandos en tu directorio de trabajo:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Invoca la secuencia de comandos

python cse_cmd.py -h

Subir los certificados y las claves de los usuarios

Paso 1: Crea un directorio para almacenar todas las claves privadas envueltas

  • Por ejemplo, puedes crear el directorio $root/wrapped_keys.
  • El nombre de archivo de cada clave privada envuelta debe ser la dirección de correo electrónico completa del usuario con la extensión .wrap. Por ejemplo: $root/wrapped_keys/[email protected]
  • Asegúrate de que el archivo de clave privada envuelta tiene un objeto JSON con dos campos obligatorios:
{
      'kacls_url': 'URL del servicio de claves configurado en la consola de administración',
      'wrapped_private_key': 'bytes de clave privada envuelta'
    }

Paso 2: Crea un directorio para almacenar todos los certificados

  • Los certificados deben estar en formato P7 PEM, por lo que puedes crear el directorio $root/p7pem_certs.
  • Asegúrate de que el archivo de certificado contiene la cadena completa a la autoridad de certificación raíz (CA). 
  • El nombre de archivo de cada certificado debe ser la dirección de correo electrónico completa del usuario con la extensión .p7pem. Por ejemplo: $root/p7pem_certs/[email protected]

Si tienes un archivo P7B: puedes usar el siguiente comentario de opensl para convertirlo al formato P7B.

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

Paso 3: Sube los pares de claves y las identidades de los usuarios

Para este paso, necesitarás el archivo JSON que contiene las credenciales de la cuenta de servicio, que has guardado en tu ordenador en el Paso 2: Crea una cuenta de servicio de arriba. 

La forma más sencilla de subir los pares de claves y las identidades de los usuarios es ejecutar el comando insert. Ten en cuenta que cada comando debe tener un argumento. Por ejemplo:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

También puedes seguir estos pasos con cada usuario:

  1. Ejecuta insert_keypair y anota el ID de par de claves.
  2. Ejecuta insert_identity con ese ID de par de claves.

También puedes obtener el ID de par de claves ejecutando el comando list_keypair.

Paso 4: Verifica que los usuarios tienen pares de claves e identidades con CLC

Asegúrate de que los usuarios tengan pares de claves e identidades válidos en Gmail ejecutando los siguientes comandos para cada usuario:

list_keypair

list_identity

Cambiar a otro servicio de claves para el CPC de Gmail

Si quieres cambiar a otro servicio de claves para el CPC de Gmail, repite los pasos 2 y 3 de la sección Configurar el CPC de Gmail para los usuarios de más arriba y usa ese nuevo servicio de claves para envolver las claves privadas.

Nota: Cuando se suben nuevos certificados para los usuarios, el contenido no se migra al servicio de claves nuevo. No obstante, los usuarios podrán seguir accediendo tanto a los correos cifrados con los certificados anteriores como a los metadatos de las claves privadas envueltos por el servicio de claves antiguo.

Migrar mensajes a Gmail como correos cifrados del lado del cliente

Ahora que has configurado el CLC de Gmail, tienes la opción de importar mensajes. Para obtener más información, consulta el artículo Migrar mensajes a Gmail como correos cifrados del lado del cliente.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
7781175137290538628
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false