La API de S/MIME de Gmail proporciona acceso programático para administrar certificados de correo electrónico de S/MIME para los usuarios de un Google Workspace dominio.
Para que los certificados funcionen, un administrador debe habilitar S/MIME en el dominio.
El estándar S/MIME proporciona una especificación para la encriptación de clave pública y la firma de datos MIME. Configurar certificados S/MIME en la cuenta de un usuario hace que Gmail lo use de las siguientes maneras:
- Gmail usa el certificado y la clave privada del usuario para firmar el correo electrónico saliente.
- Gmail usa la clave privada del usuario para desencriptar el correo electrónico entrante.
- Gmail usa el certificado y la clave pública del destinatario para encriptar los mensajes salientes.
- Gmail usa el certificado y la clave pública del remitente para verificar los correos electrónicos entrantes.
Debes generar certificados S/MIME individuales y subirlos con la API. Cada certificado S/MIME es para un alias específico de la cuenta de correo electrónico de un usuario. Los alias incluyen la dirección de correo electrónico principal, además de las direcciones personalizadas en “Enviar como”. Un único certificado S/MIME se marca como predeterminado para cada alias.
Autoriza el acceso a la API
Existen dos formas de autorizar el acceso a la API:
- Puedes usar una cuenta de servicio con delegación de autoridad de todo el dominio. Para obtener una explicación de estos términos, consulta las Condiciones de la descripción general de la autenticación y autorización. Para obtener información sobre cómo habilitar esta opción, consulta Crea una cuenta de servicio con delegación de autoridad de todo el dominio
- Puedes usar un flujo de OAuth2 estándar que requiera el consentimiento del usuario final para obtener un token de acceso de OAuth2. Para obtener más información, consulta la Descripción general de autenticación y autorización. Para usar esta opción, el administrador de dominio debe habilitar la casilla de verificación "Acceso al usuario final de la API de S/MIME habilitado" en el panel de control del dominio.
Permisos de la LCA
Esta API se basa en los mismos alcances de LCA que los métodos sendAs de Gmail:
- gmail.settings.basic
- Este alcance es obligatorio para actualizar el S/MIME principal de SendAs.
- gmail.settings.sharing
- Este alcance es obligatorio para actualizar desde S/MIME.
Cómo usar la API
El recurso users.settings.sendAs.smimeInfo proporciona los métodos que usas para administrar certificados S/MIME. Cada certificado está asociado con un alias de envío de un usuario.
Sube una clave S/MIME
Usa el método smimeInfo.insert() para subir una clave S/MIME nueva para un alias que pertenece a un usuario. Identifica el alias de destino con los siguientes parámetros:
- userId
- La dirección de correo electrónico del usuario. Puedes usar el valor especial
me
para indicar el usuario autenticado actualmente. - sendAsEmail
- El alias para el que subes la clave. Es la dirección de correo electrónico que aparece en el encabezado "De:" para los mensajes que se envían con este alias.
El certificado y la clave privada S/MIME deben estar presentes en el campo pkcs12
en ese formato; no se deben configurar otros campos en la solicitud. Se espera que el campo PKCS12 contenga la clave S/MIME del usuario y la cadena de certificados de firma. La API realiza validaciones estándar en este campo antes de aceptarlo y verifica lo siguiente:
- El asunto coincide con la dirección de correo electrónico especificada.
- Los vencimientos son válidos.
- La autoridad certificadora (CA) emisora se encuentra en nuestra lista de confianza.
- Los certificados coinciden con las restricciones técnicas de Gmail.
Si la clave está encriptada, la contraseña debe estar en el campo encryptedKeyPassword
. Las llamadas insert() exitosas mostrarán el ID de smimeInfo que se puede usar para hacer referencia a la clave en el futuro.
Enumerar las claves S/MIME de un usuario
Usa el método smimeInfo.list() a fin de mostrar la lista de claves S/MIME del usuario determinado para el alias específico. Identifica el alias de destino con los siguientes parámetros:
- userId
- La dirección de correo electrónico del usuario. Puedes usar el valor especial
me
para indicar el usuario autenticado actualmente. - sendAsEmail
- El alias para el que se enumeran las claves. Es la dirección de correo electrónico que aparece en el encabezado "De:" para los mensajes que se envían con este alias.
Recuperar las claves S/MIME de un alias
Usa el método smimeInfo.get() para mostrar las claves S/MIME específicas de un alias de envío específico para un usuario. Identifica el alias de destino con los siguientes parámetros:
- userId
- La dirección de correo electrónico del usuario. Puedes usar el valor especial
me
para indicar el usuario autenticado actualmente. - sendAsEmail
- Es el alias para el que recuperas las claves. Es la dirección de correo electrónico que aparece en el encabezado "De:" para los mensajes que se envían con este alias.
Borrar una clave S/MIME
Usa el método smimeInfo.delete() para borrar la clave S/MIME especificada de un alias. Identifica el alias de destino con los siguientes parámetros:
- userId
- La dirección de correo electrónico del usuario. Puedes usar el valor especial
me
para indicar el usuario autenticado actualmente. - sendAsEmail
- Es el alias para el que recuperas las claves. Es la dirección de correo electrónico que aparece en el encabezado "De:" para los mensajes que se envían con este alias.
- id
- El ID inmutable de SmimeInfo.
Configurar la clave S/MIME predeterminada para un alias
Usa el método smimeInfo.setDefault() para marcar la clave S/MIME especificada como la predeterminada para el alias especificado. Identifica el alias de destino con los siguientes parámetros:
- userId
- La dirección de correo electrónico del usuario. Puedes usar el valor especial
me
para indicar el usuario autenticado actualmente. - sendAsEmail
- Es el alias para el que recuperas las claves. Es la dirección de correo electrónico que aparece en el encabezado "De:" para los mensajes que se envían con este alias.
- id
- El ID inmutable de SmimeInfo.
Código de muestra
En las siguientes muestras de código, se demuestra el uso de la API para administrar certificados S/MIME para una organización con varios usuarios.
Crea un recurso SmimeInfo para un certificado S/MIME
En la siguiente muestra de código, se muestra cómo leer un certificado desde un archivo, codificar a una string base64url y asignarlo al campo pkcs12
del recurso smimeInfo
:
Java
Python
Sube un certificado S/MIME
Para subir un certificado, llama a smimeInfo.insert
y proporciona el recurso smimeInfo
en el cuerpo de la solicitud:
Java
Python
Ejemplos para administrar certificados de muchos usuarios
Es posible que quieras administrar certificados para muchos usuarios de la organización a la vez. En los siguientes ejemplos, se muestra cómo administrar certificados para varios usuarios en una llamada por lotes.
Inserta certificados desde un archivo CSV
Supongamos que tienes un archivo CSV que enumera los ID de usuario y la ruta al certificado de cada usuario:
$ cat certificates.csv
user1@example.com,/path/to/user1_cert.p12,cert_password_1
user2@example.com,/path/to/user2_cert.p12,cert_password_2
user3@example.com,/path/to/user3_cert.p12,cert_password_3
Java
Puedes usar las llamadas createSmimeInfo
y insertSmimeInfo
anteriores para subir los certificados como se especifica en el archivo CSV:
Python
Puedes usar las llamadas create_smime_info
y insert_smime_info
anteriores para subir los certificados como se especifica en el archivo CSV:
Administración de certificados
En este ejemplo, se combinan varias llamadas de la API de smimeInfo
a fin de mostrar cómo puedes administrar los certificados para tu organización. Enumera los certificados del usuario y, si el certificado predeterminado venció o no se configuró, sube el que se encuentra en el archivo especificado. Luego, establece el certificado cuyo vencimiento está más lejos en el futuro como predeterminado.
Luego, se llama a este método desde una función que procesa un archivo CSV, como en el ejemplo anterior.