S/MIME (ऐडवांस) के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard, और Education Plus. अपने वर्शन की तुलना करें

होस्ट किया गया S/MIME और क्लाइंट-साइड एन्क्रिप्शन (सीएसई), Google Workspace की सुविधाएं हैं. इनकी मदद से, आपके उपयोगकर्ता S/MIME ईमेल भेज और पा सकते हैं.

Google, S/MIME के लिए सर्टिफ़िकेट से जुड़ी ज़रूरी शर्तें और भरोसेमंद सीए सर्टिफ़िकेट उपलब्ध कराता है. अगर आपके सर्टिफ़िकेट इन ज़रूरी शर्तों को पूरा नहीं करते हैं, तो आपको दिख सकता है कि कुछ मैसेज भरोसेमंद नहीं हैं. इस समस्या को ठीक करने के लिए, उन रूट सर्टिफ़िकेट अथॉरिटी (सीए) से मिले रूट सर्टिफ़िकेट स्वीकार किए जा सकते हैं जिन पर आपको भरोसा है.

किसी अतिरिक्त रूट सर्टिफ़िकेट को स्वीकार करने के लिए, उसे अपने Google Admin console में जोड़ें. इसके बाद, कम से कम एक ऐसा डोमेन तय करें जिस पर सर्टिफ़िकेट लागू होता है. आपके पास, सर्टिफ़िकेट के एन्क्रिप्शन लेवल और पुष्टि करने वाली प्रोफ़ाइल में बदलाव करने का विकल्प भी होता है.

Google Workspace में S/MIME चालू करने का तरीका जानने के लिए, मैसेज एन्क्रिप्ट करने के लिए, होस्ट किए गए S/MIME को चालू करना पर जाएं. सीएसई के बारे में ज़्यादा जानने के लिए, क्लाइंट-साइड एन्क्रिप्शन के बारे में जानकारी पर जाएं.

इस पेज पर

रूट सर्टिफ़िकेट के लिए दिशा-निर्देश

Google Workspace में S/MIME के साथ इस्तेमाल करने के लिए, रूट सर्टिफ़िकेट को इन दिशा-निर्देशों का पालन करना होगा:

  • सर्टिफ़िकेट .pem फ़ॉर्मैट में होना चाहिए. साथ ही, इसमें सिर्फ़ एक रूट सर्टिफ़िकेट होना चाहिए.
  • सर्टिफ़िकेट चेन में कम से कम एक इंटरमीडिएट सर्टिफ़िकेट शामिल होना चाहिए.
  • हर सर्टिफ़िकेट चेन में, एंड-यूज़र सर्टिफ़िकेट होना चाहिए. अगर यह जानकारी शामिल नहीं है, तो Google कम से कम पुष्टि करता है.
  • एंड यूज़र सर्टिफ़िकेट में निजी पासकोड शामिल नहीं होना चाहिए.

अहम जानकारी: चेन में कम से कम एक इंटरमीडिएट सीए सर्टिफ़िकेट मौजूद होना चाहिए. इसका मतलब है कि रूट को सीधे तौर पर डिजिटल तौर पर साइन किए गए सर्टिफ़िकेट जारी नहीं करने चाहिए.

रूट सर्टिफ़िकेट के लिए डोमेन बदलना

सर्टिफ़िकेट की समयसीमा खत्म होने की तारीख में बदलाव नहीं किया जा सकता. साथ ही, किसी सर्टिफ़िकेट को बदलने के लिए भी बदलाव नहीं किया जा सकता. आपको सर्टिफ़िकेट मिटाकर, नया सर्टिफ़िकेट अपलोड करना होगा. रूट सर्टिफ़िकेट मिटाने से, असली उपयोगकर्ता के उन सर्टिफ़िकेट पर कोई असर नहीं पड़ेगा जिन्हें पहले ही अपलोड किया जा चुका है.

रूट सर्टिफ़िकेट के लिए डोमेन बदलने का तरीका:

  1. Google Admin console में, उपयोगकर्ता सेटिंग टैब पर जाकर, S/MIME सेटिंग पर जाएं.
  2. अतिरिक्त रूट सर्टिफ़िकेट की टेबल में, वह सर्टिफ़िकेट चुनें जिसमें आपको बदलाव करना है. इसके बाद, बदलाव करें पर क्लिक करें.
  3. डोमेन अपडेट करें. इसके बाद, सेव करें पर क्लिक करें.

रूट सर्टिफ़िकेट मिटाना

रूट सर्टिफ़िकेट मिटाने के लिए:

  1. Google Admin console में, उपयोगकर्ता सेटिंग टैब पर जाकर, S/MIME सेटिंग पर जाएं.
  2. अतिरिक्त रूट सर्टिफ़िकेट की टेबल में, वह सर्टिफ़िकेट चुनें जिसे आपको हटाना है. इसके बाद, मिटाएं पर क्लिक करें.

डिजिटल हस्ताक्षर करने और एन्क्रिप्ट (सुरक्षित) करने के लिए, अलग-अलग सर्टिफ़िकेट इस्तेमाल करना

यह सुविधा सिर्फ़ सीएसई के साथ उपलब्ध है. यह सुविधा, होस्ट किए गए S/MIME के साथ उपलब्ध नहीं है.

आम तौर पर, संगठन मैसेज पर डिजिटल हस्ताक्षर करने और उन्हें एन्क्रिप्ट करने, दोनों के लिए एक ही सर्टिफ़िकेट का इस्तेमाल करते हैं. हालांकि, अगर आपकी संस्था को मैसेज पर डिजिटल हस्ताक्षर करने और उन्हें एन्क्रिप्ट (सुरक्षित) करने के लिए अलग-अलग सर्टिफ़िकेट की ज़रूरत है, तो Gmail CSE API का इस्तेमाल करके, हर उपयोगकर्ता के लिए एन्क्रिप्शन का सार्वजनिक सर्टिफ़िकेट और हस्ताक्षर का सार्वजनिक सर्टिफ़िकेट अपलोड करें.

उपयोगकर्ता के सर्टिफ़िकेट मैनेज करने के लिए, Gmail CSE API का इस्तेमाल करने के बारे में ज़्यादा जानें.

डोमेन के बीच S/MIME मैसेज एक्सचेंज करना

अलग-अलग डोमेन के लोगों को S/MIME ईमेल भेजने या उनसे ईमेल पाने की सुविधा देने के लिए, आपको Google Admin console में कुछ और कार्रवाइयां करनी पड़ सकती हैं. डोमेन के लिए उपयोगकर्ता सर्टिफ़िकेट जारी करने के तरीके के आधार पर, यहां दिए गए सुझाए गए चरणों का पालन करें.

  • दोनों डोमेन के उपयोगकर्ता सर्टिफ़िकेट, भरोसेमंद रूट सीए (सर्टिफ़िकेट देने वाली संस्था) ने जारी किए हों: अगर दोनों डोमेन के सभी उपयोगकर्ता सर्टिफ़िकेट, Google के भरोसेमंद रूट सीए (सर्टिफ़िकेट देने वाली संस्था) ने जारी किए हैं, तो आपको कोई अतिरिक्त कार्रवाई करने की ज़रूरत नहीं है. Gmail, इन रूट CA सर्टिफ़िकेट पर हमेशा भरोसा करता है.

  • दोनों डोमेन के उपयोगकर्ता सर्टिफ़िकेट, एक ही ऐसे रूट CA ने जारी किए हैं जिस पर भरोसा नहीं किया जाता: इस मामले में, एक ऐसे रूट CA ने उपयोगकर्ता सर्टिफ़िकेट जारी किए हैं जिस पर भरोसा नहीं किया जाता. ये सर्टिफ़िकेट, आपके डोमेन और उस डोमेन के लिए जारी किए गए हैं जिसके साथ आपको S/MIME मैसेज शेयर करने हैं.

    होस्ट किए गए S/MIME को चालू करें में दिए गए निर्देशों का पालन करके, Google Admin console में ऐसे रूट CA को जोड़ें जिस पर भरोसा नहीं किया जाता. रूट सर्टिफ़िकेट जोड़ें बॉक्स में, पतों की सूची फ़ील्ड में जाकर, दूसरा डोमेन डालें.

  • किसी डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी गैर-भरोसेमंद रूट CA ने जारी किए हैं: इस मामले में, किसी डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी गैर-भरोसेमंद रूट CA ने जारी किए हैं. दूसरे डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी दूसरे रूट CA ने जारी किए हों.

    होस्ट किए गए S/MIME चालू करें में दिए गए चरणों का पालन करके, Google Admin console में दूसरे डोमेन के रूट CA को जोड़ें. रूट सर्टिफ़िकेट जोड़ें बॉक्स में, पतों की सूची फ़ील्ड में जाकर, दूसरा डोमेन डालें.

ज़रूरत होने पर ही इस्तेमाल करें

इस सेक्शन में दिए गए सर्टिफ़िकेट के विकल्पों का इस्तेमाल सिर्फ़ तब करें, जब ज़रूरी हो. साथ ही, यह पक्का करें कि आपको इन विकल्पों का इस्तेमाल करने पर होने वाले संभावित असर के बारे में पता हो.

कभी-कभी, किसी उपयोगकर्ता के सर्टिफ़िकेट से जुड़ा ईमेल पता, उसके मुख्य ईमेल पते से अलग हो सकता है. उदाहरण के लिए, ब्रैंडन फ़ाम के सर्टिफ़िकेट में b.pham@solarmora.com ईमेल पते का इस्तेमाल किया गया है. हालांकि, ब्रैंडन अपने ज़्यादातर काम के ईमेल के लिए, brandon.pham@solarmora.com पते का इस्तेमाल करता है. इसे सर्टिफ़िकेट का मेल न खाना कहते हैं.

अहम जानकारी: सुरक्षा की वजहों से, Google का सुझाव है कि सर्टिफ़िकेट के मेल न खाने की अनुमति सिर्फ़ तब दें, जब आपके संगठन को इस सुविधा की ज़रूरत हो. इस विकल्प के चालू होने पर, उपयोगकर्ताओं और एडमिन को प्रमाणपत्र के मेल न खाने पर चेतावनी नहीं मिलेगी. ऐसा किसी अनधिकृत या दुर्भावनापूर्ण उपयोगकर्ता की वजह से हो सकता है.

सर्टिफ़िकेट के मेल न खाने की अनुमति दें विकल्प, सिर्फ़ सीएसई के साथ उपलब्ध है. यह होस्ट किए गए S/MIME के साथ उपलब्ध नहीं है. सर्टिफ़िकेट से मेल न खाने वाले ईमेल पतों को अनुमति देने के लिए, CSE सेट अप करें. इसके लिए, होस्ट किए गए S/MIME की सेटिंग में रूट सर्टिफ़िकेट जोड़ते समय, सर्टिफ़िकेट से मेल न खाने वाले ईमेल पतों का विकल्प चुनें. रूट सर्टिफ़िकेट जोड़ने का तरीका जानें.

सर्टिफ़िकेट के मेल न खाने की अनुमति दें विकल्प चुनने पर, ईमेल पाने वाले लोग, सर्टिफ़िकेट के मेल न खाने की समस्या वाले ईमेल को डिक्रिप्ट करके पढ़ सकते हैं. सर्टिफ़िकेट के मेल न खाने वाले पिछले मैसेज (सेटिंग चालू होने से पहले मिले मैसेज) को भी डिक्रिप्ट और पढ़ा जा सकता है. हालांकि, उपयोगकर्ता के सर्टिफ़िकेट से जुड़ा ईमेल पता, ईमेल पाने वाले के संपर्कों में सेव नहीं किया जाता. ईमेल पतों को सिंक करने और सेव करने के लिए, Google Cloud Directory Sync का इस्तेमाल करें.

सर्टिफ़िकेट के न मिलने पर भी अनुमति दें विकल्प, सिर्फ़ संगठन के संपर्कों या GCDS के साथ सिंक किए गए संपर्कों के लिए काम करता है. यह बाहरी संपर्कों के लिए काम नहीं करता.

कुछ ईमेल क्लाइंट, SHA-1 हैश किए गए सिग्नेचर की अनुमति देते हैं. हालांकि, ये सिग्नेचर भरोसेमंद नहीं माने जाते. ऐसा इसलिए है, क्योंकि सुरक्षा से जुड़ी समस्याओं की वजह से SHA-1 को बंद कर दिया गया है.

S/MIME सेटिंग में नया रूट सर्टिफ़िकेट जोड़ते समय, SHA-1 को सभी के लिए अनुमति दें विकल्प सिर्फ़ तब चुनें, जब:

  • आपका संगठन, एस/एमआईएमई मैसेज की सुरक्षा के लिए SHA-1 क्रिप्टोग्राफ़िक हैश फ़ंक्शन का इस्तेमाल करता है और
  • आपको इन कम्यूनिकेशन को भरोसेमंद के तौर पर दिखाना है.

इस विकल्प को चुनने पर, Gmail उन S/MIME सर्टिफ़िकेट पर भरोसा करता है जो SHA-1 का इस्तेमाल करके, आने वाले ईमेल से अटैच किए गए हैं.

सर्टिफ़िकेट अपलोड करने से जुड़ी समस्याओं को हल करना

अगर आपको सर्टिफ़िकेट अपलोड करने में समस्याएं आ रही हैं, तो इसकी ये संभावित वजहें देखें. साथ ही, सुझाई गई कार्रवाइयां करके देखें:

यह सर्टिफ़िकेट, भरोसेमंद होने की ज़रूरी शर्तें पूरी नहीं करता

पुष्टि करें कि सर्टिफ़िकेट पर खुद के हस्ताक्षर न हों, उसे रद्द न किया गया हो, और कुंजी की लंबाई 1024 बिट या इससे ज़्यादा हो. इसके बाद, फिर से अपलोड करने की कोशिश करें.

पते की सूची में डोमेन बदलने के लिए, सर्टिफ़िकेट में बदलाव करें. उदाहरण के लिए, अगर आपने कस्टम सर्टिफ़िकेट अपलोड किए हैं और मैसेज को अब भी भरोसेमंद नहीं माना जा रहा है, तो अनुमति वाले डोमेन की सूची में बदलाव करके देखें.

सर्टिफ़िकेट का हस्ताक्षर अमान्य है

पुष्टि करें कि सर्टिफ़िकेट पर मान्य हस्ताक्षर है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट की समयसीमा खत्म हो गई है

पुष्टि करें कि सर्टिफ़िकेट पर दी गई तारीख, इस तारीख से पहले मान्य नहीं है (तारीख) और इस तारीख के बाद मान्य नहीं है (तारीख) फ़ील्ड में दी गई तारीख की सीमा के अंदर हो. इसके बाद, फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट चेन में कम से कम एक अमान्य सर्टिफ़िकेट मौजूद है.

पुष्टि करें कि प्रमाणपत्र सही तरीके से फ़ॉर्मैट किया गया है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट में एक से ज़्यादा रूट सर्टिफ़िकेट शामिल हैं

एक से ज़्यादा रूट सर्टिफ़िकेट वाला सर्टिफ़िकेट अपलोड नहीं किया जा सकता. पुष्टि करें कि सर्टिफ़िकेट में सिर्फ़ एक रूट सर्टिफ़िकेट है. इसके बाद, इसे फिर से अपलोड करें.

सर्टिफ़िकेट को पार्स नहीं किया जा सका

पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही हो. इसके बाद, उसे फिर से अपलोड करने की कोशिश करें.

सर्वर से कोई अनजान जवाब मिला

पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही हो. इसके बाद, उसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट अपलोड नहीं किया जा सका

सर्वर से कनेक्ट करने में कोई समस्या हो सकती है. आम तौर पर, यह समस्या कुछ समय के लिए होती है. कुछ मिनट इंतज़ार करने के बाद, वीडियो को फिर से अपलोड करने की कोशिश करें. अगर प्रमाणपत्र अपलोड नहीं हो पाता है, तो पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही है.

मैसेज को एन्क्रिप्ट (सुरक्षित) करने के लिए, होस्ट किए गए एस/एमआईएमई की सुविधा चालू करना