התכונה הזו נתמכת במהדורות הבאות: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard ו-Education Plus. השוואה בין מהדורות
הצפנה מתארחת בשיטת S/MIME והצפנה מצד הלקוח (CSE) הן תכונות של Google Workspace שמאפשרות למשתמשים לשלוח ולקבל הודעות אימייל ב-S/MIME.
Google מספקת דרישות לאישורים ואישורי CA מהימנים ל-S/MIME. אם האישורים שלכם לא עומדים בדרישות האלה, יכול להיות שתבחינו בהודעות מסוימות שלא נחשבות מהימנות. כדי לפתור את הבעיה, אפשר לקבל אישורי בסיס אחרים מרשויות אישורים (CA) שאתם סומכים עליהן.
כדי לאשר אישור בסיס נוסף, מוסיפים אותו במסוף Google Admin. לאחר מכן, מציינים לפחות דומיין אחד שהאישור חל עליו. אפשר גם לשנות את רמת ההצפנה של האישור ואת פרופיל האימות.
הוראות מפורטות להפעלת S/MIME ב-Google Workspace מופיעות במאמר הפעלת S/MIME מתארח להצפנה של הודעות. מידע נוסף על CSE זמין במאמר הסבר על הצפנה מצד הלקוח.
הנושאים בדף
- הנחיות לגבי אישור בסיס
- שינוי הדומיין של אישור בסיס
- מחיקת אישור בסיס
- החלפת הודעות S/MIME בין דומיינים
- שימוש באישורים שונים לחתימה ולהצפנה
- אישור אי התאמה של אישורים (לא מומלץ)
- מתן הרשאה לאישורי SHA-1 (לא מומלץ)
- פתרון בעיות בהעלאת אישור בסיס
הנחיות לגבי אישור בסיס
כדי להשתמש באישור בסיס עם S/MIME ב-Google Workspace, הוא צריך לעמוד בהנחיות הבאות:
- האישור צריך להיות בפורמט .pem ולהכיל רק אישור בסיס אחד.
- שרשרת האישורים חייבת לכלול לפחות אישור ביניים אחד.
- כל שרשרת אישורים צריכה לכלול אישור משתמש קצה. אם הוא לא כלול, Google מבצעת אימות מינימלי.
- אישור משתמש הקצה לא צריך לכלול את המפתח הפרטי.
חשוב: בשרשרת צריך להיות לפחות אישור CA ביניים אחד. כלומר, אישור הבסיס לא יכול להנפיק ישירות אישורים של ישויות קצה.
שינוי הדומיין של אישור בסיס
אי אפשר לערוך את תאריך התפוגה של אישור או לערוך כדי להחליף אישור. צריך למחוק את האישור ולהעלות אישור חדש. מחיקה של אישור בסיס לא תשפיע על אישורים של משתמשי קצה שכבר הועלו.
כדי לשנות את הדומיין של אישור בסיס:
- במסוף Google Admin, עוברים להגדרה S/MIME בכרטיסייה הגדרות משתמש.
- בטבלה של אישורי הבסיס הנוספים, בוחרים את האישור שרוצים לשנות ולוחצים על עריכה.
- מעדכנים את הדומיין ולוחצים על שמירה.
מחיקת אישור בסיס
כדי למחוק אישור בסיס:
- במסוף Google Admin, עוברים להגדרה S/MIME בכרטיסייה הגדרות משתמש.
- בטבלה של אישורי בסיס נוספים, בוחרים את האישור שרוצים להסיר ולוחצים על מחיקה.
שימוש באישורים שונים לחתימה ולהצפנה
התכונה הזו זמינה רק עם CSE. היא לא זמינה עם S/MIME מתארח.
בדרך כלל, ארגונים משתמשים באישור יחיד לחתימה ולהצפנה של הודעות. עם זאת, אם הארגון שלכם דורש אישורים שונים לחתימה ולהצפנה של הודעות, צריך להשתמש ב-Gmail CSE API כדי להעלות את האישור הציבורי להצפנה ואת האישור הציבורי לחתימה לכל משתמש.
מידע נוסף על שימוש ב-Gmail CSE API לניהול אישורים של משתמשים
החלפת הודעות S/MIME בין דומיינים
כדי לאפשר לאנשים בדומיינים שונים להחליף הודעות S/MIME, יכול להיות שתצטרכו לבצע כמה שלבים נוספים במסוף Google Admin. פועלים לפי השלבים המומלצים כאן, בהתאם לאופן שבו מונפקים אישורי המשתמשים בדומיין.
- אישורי משתמשים בשני הדומיינים שהונפקו על ידי רשות אישורי בסיס מהימנה: אם כל אישורי המשתמשים בשני הדומיינים הונפקו על ידי רשות אישורי בסיס ש-Google סומכת עליה, לא צריך לבצע פעולות נוספות. אישורי CA בסיסיים אלה תמיד מהימנים ב-Gmail.
אישורי המשתמשים בשני הדומיינים הונפקו על ידי אותו CA בסיסי לא מהימן: במקרה הזה, CA בסיסי לא מהימן הנפיק את אישורי המשתמשים בדומיין שלכם ובדומיין שאיתו אתם רוצים להחליף הודעות S/MIME.
מוסיפים את רשות האישורים הבסיסית הלא מהימנה למסוף Google Admin, לפי השלבים במאמר הפעלה של S/MIME מתארח. בתיבה הוספת אישור בסיס, מזינים את הדומיין השני בשדה רשימת כתובות.
אישורי משתמשים של דומיין אחד שהונפקו על ידי רשות אישורים (CA) בסיסית לא מהימנה: במקרה הזה, אישורי משתמשים של דומיין אחד מונפקים על ידי רשות אישורים (CA) בסיסית לא מהימנה. אישורי המשתמשים בדומיין השני מונפקים על ידי רשות אישורים בסיסית אחרת.
מוסיפים את רשות האישורים הבסיסית של הדומיין השני למסוף Google Admin, לפי השלבים שמתוארים במאמר בנושא הפעלה של S/MIME מתארח. בתיבה הוספת אישור בסיס, מזינים את הדומיין השני בשדה רשימת כתובות.
שימוש רק כשצריך
משתמשים באפשרויות האישורים שבקטע הזה רק כשצריך, ומוודאים שמבינים את ההשפעות האפשריות כשמשתמשים בהן.
אפשר שיהיה חוסר התאמה באישורים (לא מומלץ)
לפעמים, כתובת האימייל שמשויכת לאישור של משתמש שונה מכתובת האימייל הראשית שלו. לדוגמה, האישור של ברנדון פאם משתמש בכתובת האימייל b.pham@solarmora.com, אבל ברנדון משתמש בכתובת brandon.pham@solarmora.com ברוב האימיילים שלו בעבודה. הבעיה הזו נקראת אי-התאמה של אישורים.
חשוב: מטעמי אבטחה, Google ממליצה לאפשר אי התאמות של אישורים רק אם הארגון שלכם דורש זאת. כשהאפשרות הזו מופעלת, משתמשים ואדמינים לא מקבלים אזהרה כשיש אי התאמה בין האישורים, שיכולה להיגרם על ידי משתמש לא מורשה או זדוני.
האפשרות התרת חוסר התאמה באישורים זמינה רק עם CSE ולא עם S/MIME מתארח. כדי להגדיר את CSE כך שיאפשר חוסר התאמה באישורים, בוחרים באפשרות של חוסר התאמה באישורים כשמוסיפים אישורי בסיס בהגדרה של S/MIME מתארח. כאן מפורטים השלבים להוספת אישורי בסיס.
כשהאפשרות התאמה לא מדויקת של אישורים מסומנת, הנמענים יכולים לפענח ולקרוא הודעות נכנסות עם אישור לא תואם. אפשר גם לפענח ולקרוא הודעות קודמות עם אישור לא תואם (שהתקבלו לפני שההגדרה הופעלה). עם זאת, כתובת האימייל שמשויכת לאישור של המשתמש לא נשמרת באנשי הקשר של הנמען. כדי לסנכרן ולשמור כתובות אימייל, משתמשים ב-Google Cloud Directory Sync.
האפשרות Allow certificate mismatch (התרת אי התאמה של אישורים) פועלת רק עבור אנשי קשר פנימיים או אנשי קשר שמסונכרנים עם GCDS. התכונה לא פועלת עם אנשי קשר חיצוניים.
אישור השימוש ב-SHA-1 (לא מומלץ)
למרות שחלק מתוכנות האימייל מאפשרות חתימות עם גיבוב SHA-1, החתימות האלה לא נחשבות מהימנות. הסיבה לכך היא שהאלגוריתם SHA-1 הוצא משימוש בגלל בעיות אבטחה.
כשמוסיפים אישור בסיס חדש להגדרה S/MIME, בוחרים באפשרות מתן הרשאה גלובלית לאישורי SHA-1 רק אם:
- הארגון שלכם מתקשר באמצעות פונקציית הגיבוב (hash) הקריפטוגרפית SHA-1 לאבטחת הודעות S/MIME, וגם
- אתם רוצים שהתקשורת הזו תופיע כהודעות מאומתות.
כשהאפשרות הזו נבחרת, מערכת Gmail נותנת אמון לאישורי S/MIME שמצורפים לאימייל נכנס עם SHA-1.
פתרון בעיות בהעלאת אישורים
אם נתקלתם בבעיות בהעלאת אישורים, כדאי לעיין בסיבות האפשריות הבאות ולנסות את הפתרונות המומלצים:
האישור לא עומד בדרישות המינימום למהימנות
מוודאים שהאישור לא נחתם על ידי עצמו, שהוא לא בוטל ואורך המפתח הוא 1, 024 ביט או יותר. לאחר מכן, נסו להעלות שוב.
עורכים את האישור כדי לשנות את הדומיינים ברשימת הכתובות. לדוגמה, אם העליתם אישורים מותאמים אישית וההודעות עדיין מסווגות כלא מהימנות, נסו לערוך את רשימת הדומיינים המותרים של האישור.
החתימה באישור לא תקינה
צריך לוודא שיש לאישור חתימה תקפה ולנסות להעלות אותו שוב.
אישור שתוקפו פג
מוודאים שהתאריך שמופיע באישור נמצא בטווח התאריכים שצוין בשדות Not Before (Date) ו-Not After (Date). לאחר מכן, נסו להעלות שוב.
שרשרת האישורים מכילה לפחות אישור אחד לא תקף.
צריך לוודא שפורמט האישור תקין ולנסות להעלות אותו שוב.
האישור מכיל כמה אישורי בסיס
אי אפשר להעלות אישור שמכיל יותר מאישור בסיס אחד. מוודאים שיש באישור רק אישור בסיס אחד, ואז מנסים להעלות אותו שוב.
לא ניתן לנתח את האישור
צריך לוודא שפורמט האישור תקין ואז לנסות להעלות אותו שוב.
השרת מחזיר תגובה לא ידועה
צריך לוודא שפורמט האישור תקין ואז לנסות להעלות אותו שוב.
לא ניתן להעלות את האישור
יכול להיות שהייתה בעיה בחיבור לשרת. בדרך כלל מדובר בבעיה זמנית. יש להמתין כמה דקות ולנסות שוב לבצע את ההעלאה. אם ההעלאה ממשיכה להיכשל, צריך לוודא שהפורמט של האישור תקין.