Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard và Education Plus. So sánh phiên bản của bạn
S/MIME được lưu trữ và tính năng mã hoá phía máy khách (CSE) là các tính năng của Google Workspace cho phép người dùng gửi và nhận thư S/MIME.
Google cung cấp các yêu cầu về chứng chỉ và chứng chỉ CA đáng tin cậy cho S/MIME. Nếu chứng chỉ của bạn không đáp ứng các yêu cầu này, bạn có thể nhận thấy rằng một số thư không được tin cậy. Để khắc phục vấn đề này, bạn có thể chấp nhận các chứng chỉ gốc khác từ các tổ chức phát hành chứng chỉ gốc (CA) mà bạn tin cậy.
Để chấp nhận một chứng chỉ gốc bổ sung, hãy thêm chứng chỉ đó trong Bảng điều khiển dành cho quản trị viên của Google. Sau đó, hãy chỉ định ít nhất một miền mà chứng chỉ áp dụng. Bạn cũng có thể điều chỉnh mức mã hoá và hồ sơ xác thực của chứng chỉ (không bắt buộc).
Để biết các bước chi tiết về cách bật S/MIME trong Google Workspace, hãy xem bài viết Bật S/MIME được lưu trữ để mã hoá thư. Để tìm hiểu thêm về CSE, hãy xem bài viết Giới thiệu về tính năng mã hoá phía máy khách.
Trên trang này
- Nguyên tắc về chứng chỉ gốc
- Thay đổi miền cho chứng chỉ gốc
- Xoá chứng chỉ gốc
- Trao đổi thư S/MIME giữa các miền
- Sử dụng các chứng chỉ khác nhau để ký và mã hoá
- Cho phép chứng chỉ không khớp (không nên dùng)
- Cho phép SHA-1 (không nên dùng)
- Khắc phục sự cố khi tải chứng chỉ gốc lên
Nguyên tắc về chứng chỉ gốc
Chứng chỉ gốc phải đáp ứng các nguyên tắc sau để được sử dụng với S/MIME trong Google Workspace:
- Chứng chỉ phải ở định dạng .pem và chỉ chứa một chứng chỉ gốc.
- Chuỗi chứng chỉ phải có ít nhất một chứng chỉ trung gian.
- Mỗi chuỗi chứng chỉ phải có một chứng chỉ người dùng cuối. Nếu không có chứng chỉ này, Google sẽ thực hiện quy trình xác minh tối thiểu.
- Chứng chỉ người dùng cuối không được chứa khoá riêng tư.
Quan trọng: Phải có ít nhất một chứng chỉ CA trung gian trong chuỗi. Tức là gốc không được trực tiếp phát hành chứng chỉ thực thể cuối.
Thay đổi miền cho chứng chỉ gốc
Bạn không thể chỉnh sửa ngày hết hạn của chứng chỉ hoặc chỉnh sửa để thay thế chứng chỉ. Bạn phải xoá chứng chỉ đó rồi tải một chứng chỉ mới lên. Việc xoá chứng chỉ gốc sẽ không ảnh hưởng đến bất kỳ chứng chỉ người dùng cuối nào đã được tải lên.
Cách thay đổi miền cho chứng chỉ gốc:
- Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến chế độ cài đặt S/MIME trên thẻ Cài đặt người dùng.
- Trong bảng chứng chỉ gốc bổ sung, hãy chọn chứng chỉ bạn muốn thay đổi, sau đó nhấp vào Chỉnh sửa.
- Cập nhật miền, sau đó nhấp vào Lưu.
Xoá chứng chỉ gốc
Cách xoá chứng chỉ gốc:
- Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến chế độ cài đặt S/MIME trên thẻ Cài đặt người dùng.
- Trong bảng chứng chỉ gốc bổ sung, hãy chọn chứng chỉ bạn muốn xoá rồi nhấp vào Xoá.
Sử dụng các chứng chỉ khác nhau để ký và mã hoá
Tính năng này chỉ có trong CSE. Tính năng này không có trong S/MIME được lưu trữ.
Thông thường, các tổ chức sử dụng một chứng chỉ duy nhất để ký và mã hoá thư. Tuy nhiên, nếu tổ chức của bạn yêu cầu các chứng chỉ khác nhau để ký và mã hoá thư, hãy sử dụng API CSE của Gmail để tải chứng chỉ công khai mã hoá và chứng chỉ công khai chữ ký cho từng người dùng.
Tìm hiểu thêm về cách sử dụng API CSE của Gmail để quản lý chứng chỉ người dùng.
Trao đổi thư S/MIME giữa các miền
Để cho phép người dùng ở các miền khác nhau trao đổi thư S/MIME, bạn có thể cần thực hiện thêm một vài bước trong Bảng điều khiển dành cho quản trị viên của Google. Hãy làm theo các bước được đề xuất tại đây, dựa trên cách phát hành chứng chỉ người dùng cho miền.
- Chứng chỉ người dùng của cả hai miền do một CA gốc đáng tin cậy phát hành: Khi tất cả chứng chỉ người dùng trong cả hai miền đều do một CA gốc mà Google tin cậy phát hành, bạn không cần thực hiện thêm bước nào. Gmail luôn tin cậy các chứng chỉ CA gốc này.
Chứng chỉ người dùng của cả hai miền do cùng một CA gốc không đáng tin cậy phát hành: Trong trường hợp này, một CA gốc không đáng tin cậy đã phát hành chứng chỉ người dùng cho miền của bạn và miền mà bạn muốn trao đổi thư S/MIME.
Thêm CA gốc không đáng tin cậy vào Bảng điều khiển dành cho quản trị viên của Google, làm theo các bước trong Bật S/MIME được lưu trữ. Trong hộp Thêm chứng chỉ gốc, hãy nhập miền khác vào trường Danh sách địa chỉ.
Chứng chỉ người dùng của một miền do một CA gốc không đáng tin cậy phát hành: Trong trường hợp này, chứng chỉ người dùng của một miền do một CA gốc không đáng tin cậy phát hành. Chứng chỉ người dùng của miền còn lại do một CA gốc khác phát hành.
Thêm CA gốc của miền còn lại vào Bảng điều khiển dành cho quản trị viên của Google, làm theo các bước trong bài viết Bật S/MIME được lưu trữ. Trong hộp Thêm chứng chỉ gốc, hãy nhập miền khác vào trường Danh sách địa chỉ.
Chỉ sử dụng khi cần thiết
Chỉ sử dụng các lựa chọn về chứng chỉ trong phần này khi cần thiết và đảm bảo bạn hiểu rõ những tác động có thể xảy ra khi sử dụng các lựa chọn đó.
Cho phép chứng chỉ không khớp (không nên dùng)
Đôi khi, địa chỉ email được liên kết với chứng chỉ của người dùng có thể khác với địa chỉ email chính của người dùng. Ví dụ: Chứng chỉ của Brandon Pham sử dụng địa chỉ email b.pham@solarmora.com, nhưng Brandon sử dụng địa chỉ brandon.pham@solarmora.com cho hầu hết các email công việc của mình. Trường hợp này được gọi là chứng chỉ không khớp.
Quan trọng: Vì lý do bảo mật, Google chỉ khuyên bạn cho phép chứng chỉ không khớp khi tổ chức của bạn yêu cầu tính năng này. Khi lựa chọn này được bật, người dùng và quản trị viên sẽ không nhận được cảnh báo khi có chứng chỉ không khớp. Nguyên nhân có thể là do người dùng trái phép hoặc người dùng độc hại.
Lựa chọn Cho phép chứng chỉ không khớp chỉ có trong CSE chứ không có trong S/MIME được lưu trữ. Để thiết lập CSE cho phép chứng chỉ không khớp, hãy chọn lựa chọn chứng chỉ không khớp khi bạn thêm chứng chỉ gốc trong chế độ cài đặt S/MIME được lưu trữ. Xem các bước chi tiết để thêm chứng chỉ gốc.
Khi lựa chọn Cho phép chứng chỉ không khớp được chọn, người nhận có thể giải mã và đọc thư đến có chứng chỉ không khớp. Các thư trước đó có chứng chỉ không khớp (nhận được trước khi bật chế độ cài đặt) cũng có thể được giải mã và đọc. Tuy nhiên, địa chỉ email được liên kết với chứng chỉ của người dùng sẽ không được lưu vào danh bạ của người nhận. Để đồng bộ hoá và lưu địa chỉ email, hãy sử dụng Google Cloud Directory Sync.
Lựa chọn Cho phép chứng chỉ không khớp chỉ hoạt động đối với danh bạ nội bộ hoặc danh bạ được đồng bộ hoá với GCDS. Lựa chọn này không hoạt động đối với danh bạ bên ngoài.
Cho phép SHA-1 (không nên dùng)
Mặc dù một số chương trình email cho phép chữ ký băm SHA-1, nhưng các chữ ký này xuất hiện dưới dạng không đáng tin cậy. Nguyên nhân là do SHA-1 đã bị ngừng sử dụng vì các vấn đề về bảo mật.
Khi bạn thêm một chứng chỉ gốc mới vào chế độ cài đặt S/MIME, chỉ chọn lựa chọn Cho phép SHA-1 trên toàn cầu nếu:
- Tổ chức của bạn giao tiếp bằng hàm băm mật mã SHA-1 để bảo mật thư S/MIME và
- Bạn muốn các thông tin liên lạc này xuất hiện dưới dạng đáng tin cậy.
Khi lựa chọn này được chọn, Gmail sẽ tin cậy các chứng chỉ S/MIME được đính kèm vào thư đến bằng SHA-1.
Khắc phục sự cố khi tải chứng chỉ lên
Nếu bạn gặp vấn đề khi tải chứng chỉ lên, hãy xem xét các nguyên nhân có thể xảy ra sau đây và thử các giải pháp được đề xuất:
Chứng chỉ không đáp ứng các yêu cầu tối thiểu để được tin cậy
Xác minh rằng chứng chỉ không phải là chứng chỉ tự ký, chưa bị thu hồi và độ dài khoá là 1024 bit trở lên. Sau đó, hãy thử tải lên lại.
Chỉnh sửa chứng chỉ để thay đổi các miền trong danh sách địa chỉ. Ví dụ: nếu bạn đã tải chứng chỉ tuỳ chỉnh lên và thư vẫn được coi là không đáng tin cậy, hãy thử chỉnh sửa danh sách các miền được phép của chứng chỉ.
Chữ ký của chứng chỉ không hợp lệ
Xác minh rằng chứng chỉ có chữ ký hợp lệ rồi thử tải lên lại.
Chứng chỉ hết hạn
Xác minh rằng ngày trên chứng chỉ nằm trong phạm vi ngày được chỉ định trong các trường Không trước (Ngày) và Không sau (Ngày). Sau đó, hãy thử tải lên lại.
Chuỗi chứng chỉ có ít nhất một chứng chỉ không hợp lệ.
Xác minh rằng chứng chỉ được định dạng đúng rồi thử tải lên lại.
Chứng chỉ chứa nhiều chứng chỉ gốc
Bạn không thể tải chứng chỉ chứa nhiều chứng chỉ gốc lên. Xác minh rằng chứng chỉ chỉ có một chứng chỉ gốc, sau đó thử tải lên lại.
Không phân tích cú pháp được chứng chỉ
Xác minh rằng chứng chỉ được định dạng đúng, sau đó thử tải lên lại.
Máy chủ trả về phản hồi không xác định
Xác minh rằng chứng chỉ được định dạng đúng, sau đó thử tải lên lại.
Không tải được chứng chỉ lên
Có thể đã xảy ra sự cố khi kết nối với máy chủ. Đây thường là một vấn đề tạm thời. Hãy đợi vài phút rồi thử tải lên lại. Nếu vẫn không tải lên được, hãy xác minh rằng chứng chỉ được định dạng đúng cách.