サポート対象エディション: Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus。 エディションの比較
ホスト型 S/MIME とクライアントサイド暗号化(CSE)は、ユーザーが S/MIME メールを送受信できるようにする Google Workspace の機能です。
Google では、S/MIME の証明書の要件が定められており、信頼できる CA 証明書をご利用いただけます。ご利用の証明書がこれらの要件を満たしていない場合、一部のメールが信頼されない可能性があります。この問題を解決するには、信頼できるルート認証局(CA)とは異なるルート証明書を許可します。
別のルート証明書を許可するには、Google 管理コンソールで追加します。次に、証明書を適用するドメインを 1 つ以上指定します。必要に応じて、証明書の暗号化レベルと検証プロファイルを調整することも可能です。
Google Workspace で S/MIME を有効にする手順について詳しくは、ホスト型 S/MIME を有効にしてメールを暗号化する方法をご覧ください。CSE について詳しくは、クライアントサイド暗号化についてをご覧ください。
- ルート証明書のガイドライン
- ルート証明書のドメインを変更する
- ルート証明書の削除
- ドメイン間で S/MIME メールを送受信する
- 署名と暗号化に別々の証明書を使用する
- 証明書の不一致を許可する(非推奨)
- SHA-1 を許可する(非推奨)
- ルート証明書のアップロードに関する問題のトラブルシューティング
ルート証明書のガイドライン
Google Workspace の S/MIME でルート証明書を使用するには、次のガイドラインを遵守する必要があります。
- 証明書には .pem 形式を指定する必要があり、1 つのルート証明書のみを含めることができます。
- 証明書チェーンには、少なくとも 1 つの中間証明書を含める必要があります。
- 各証明書チェーンにはエンドユーザー証明書を含める必要があります。含まれていない場合は、Google で最小限の検証のみを行います。
- エンドユーザー証明書には秘密鍵を含めないでください。
重要: 少なくとも 1 つの中間 CA 証明書がチェーン内に存在する必要があります。つまり、ルート CA がエンド エンティティ証明書を直接発行することは許可されていません。
ルート証明書のドメインを変更する
証明書の有効期限を編集することや、証明書を編集して置き換えることはできません。証明書を削除して新しい証明書をアップロードする必要があります。ルート証明書を削除しても、すでにアップロード済みのエンドユーザー証明書には影響しません。
ルート証明書のドメインを変更するには、以下の操作を行います。
- Google 管理コンソールの [ユーザー設定] タブで [S/MIME] 設定に移動します。
- 追加のルート証明書のリストで変更する証明書を選択して、[編集] をクリックします。
- ドメインを更新して、[保存] をクリックします。
ルート証明書を削除する
ルート証明書を削除するには、以下の操作を行います。
- Google 管理コンソールの [ユーザー設定] タブで [S/MIME] 設定に移動します。
- 追加のルート証明書のリストで削除する証明書を選択して、[削除] をクリックします。
署名と暗号化に別々の証明書を使用する
この機能は CSE でのみご利用いただけます。ホスト型 S/MIME では使用できません。
通常、組織はメッセージの署名と暗号化の両方に 1 つの証明書を使用します。しかし、組織でメールの署名と暗号化にそれぞれ異なる証明書が必要な場合は、Gmail CSE API を使用して、暗号化用の公開証明書と署名用の公開証明書をユーザーごとにアップロードできます。
詳しくは、Gmail CSE API を使用したユーザー証明書の管理についてご確認ください。
ドメイン間で S/MIME メールを送受信する
さまざまなドメインのユーザーが S/MIME メールを送受信できるようにするには、Google 管理コンソールで追加の手順が必要になる場合があります。ドメインのユーザー証明書の発行方法に応じて、こちらの推奨される手順を行ってください。
- 両方のドメインのユーザー証明書が信頼できるルート CA によって発行された: 両方のドメインのすべてのユーザー証明書が Google が信頼するルート CA によって発行されている場合、管理者は何もする必要がありません。これらのルート CA 証明書は、Gmail で常に信頼されます。
- 両方のドメインのユーザー証明書が信頼できない同一のルート CA によって発行された: この場合、お使いのドメインと S/MIME メールの送受信に使用するドメインのユーザー証明書が信頼できないルート CA によって発行されています。
ホスト型 S/MIME を有効にするの手順に沿って、信頼できないルート CA を Google 管理コンソールに追加してください。[ルート証明書を追加] ボックスで、[アドレスリスト] に他のドメインを入力します。
- 片方のドメインのユーザー証明書が信頼できないルート CA によって発行された: この場合、片方のドメインのユーザー証明書が信頼できないルート CA によって発行されています。もう一方のドメインのユーザー証明書は、異なるルート CA によって発行されています。
ホスト型 S/MIME を有効にするの手順に沿って、片方のドメインのルート CA を Google 管理コンソールに追加してください。[ルート証明書を追加] ボックスで、[アドレスリスト] に他のドメインを入力します。
必要な場合にのみ使用する
このセクションの証明書オプションは、必要な場合にのみ使用し、使用時に生じる可能性のある影響を理解してください。証明書の不一致を許可する(非推奨)ユーザーの証明書に関連付けられたメールアドレスが、ユーザーのメインのメールアドレスと異なっている場合があります。たとえば、Brandon Pham さんの証明書で [email protected] というメールアドレスが使用されているのに、Brandon さんは通常仕事用メールアドレスに [email protected] を使用しているといったケースです。これは証明書の不一致と呼ばれます。
重要: セキュリティ上の理由から、この機能が組織で必要な場合にのみ、証明書の不一致を許可することをおすすめします。このオプションをオンにすると、証明書の不一致が権限のないユーザーや悪意のあるユーザーを原因とする場合でも、ユーザーと管理者に警告が表示されなくなります。
[証明書の不一致を許可する] オプションは CSE でのみ使用できます。ホスト型 S/MIME では使用できません。証明書の不一致を許可するように CSE を設定するには、ホスト型 S/MIME 設定でルート証明書を追加する際に証明書の不一致に関するオプションを選択します。詳しくは、ルート証明書の追加手順をご覧ください。
[証明書の不一致を許可する] オプションを選択すると、受信者は証明書に不一致のあるメールでも復号して読むことができます。証明書が一致しない以前のメッセージ(設定をオンにする前に受信したメッセージ)も復号化して読み取ることができます。ただし、ユーザーの証明書に関連付けられたメールアドレスは、受信者の連絡先に保存されません。メールアドレスを同期して保存するには、Google Cloud Directory Sync を使用します。
[証明書の不一致を許可する] オプションは、内部の連絡先または GCDS と同期された連絡先に対してのみ機能します。外部の連絡先には機能しません。
一部のメール クライアントでは SHA-1 ハッシュ形式の署名を使用できますが、このような署名は信頼できないものとして表示されます。これは、セキュリティ上の問題により SHA-1 のサポートが終了したためです。
[S/MIME] 設定に新しいルート証明書を追加する場合は、以下の場合にのみ [SHA-1 をグローバルで許可] オプションを選択します。
- S/MIME によるメール セキュリティ対策に SHA-1 暗号化ハッシュ関数を組織で使用しており、
- 信頼できるメールとしてこれらの形式で表示させたい場合。
このオプションを選択すると、Gmail は SHA-1 を使用した受信メールに添付された S/MIME 証明書を信頼できるものとして認識するようになります。
証明書のアップロードに関する問題のトラブルシューティング
証明書のアップロードで問題が発生した場合は、以下の考えられる原因を確認し、推奨される解決策を試してください。
この証明書が、信頼されるための最小要件を満たしていない
証明書が自己署名されていないこと、失効していないこと、キーの長さが 1024 ビット以上であることを確認して、もう一度アップロードをお試しください。
証明書を編集して、アドレス リスト内のドメインを変更します。たとえば、カスタム証明書をアップロードしているにもかかわらず、「信頼できない」とみなされてエラー メッセージが表示される場合は、証明書の許可されたドメインのリストを編集してみてください。
証明書の署名が無効になっている
証明書の署名が有効であることを確認して、もう一度アップロードをお試しください。
証明書の有効期限が切れている
証明書の日付が、[開始日] と [終了日] で指定した期間内の日付であることを確認して、もう一度アップロードをお試しください。
証明書チェーンに無効な証明書が 1 つ以上含まれている
証明書の形式が正しいことを確認して、もう一度アップロードをお試しください。
証明書に複数のルート証明書が含まれている
複数のルート証明書が含まれる証明書をアップロードすることはできません。証明書に含まれているルート証明書が 1 つのみであることを確認し、もう一度アップロードをお試しください。
証明書を解析できなかった
証明書の形式が正しいことを確認して、もう一度アップロードをお試しください。
サーバーが不明な応答を返す
証明書の形式が正しいことを確認して、もう一度アップロードをお試しください。
証明書をアップロードできない
サーバーへの接続に問題が発生した可能性があります。通常、これは一時的な問題です。数分待ってから、もう一度アップロードしてみてください。引き続きアップロードが失敗する場合は、証明書の形式が正しいことを確認してください。