S/MIME (ऐडवांस) के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard, और Education Plus. अपने वर्शन की तुलना करें

होस्ट किया गया S/MIME और क्लाइंट-साइड एन्क्रिप्शन (सीएसई), Google Workspace की सुविधाएं हैं. इनकी मदद से, आपके उपयोगकर्ता S/MIME ईमेल भेज और पा सकते हैं.

Google, S/MIME के लिए सर्टिफ़िकेट से जुड़ी ज़रूरी शर्तें और भरोसेमंद CA सर्टिफ़िकेट उपलब्ध कराता है. अगर आपके सर्टिफ़िकेट इन ज़रूरी शर्तों को पूरा नहीं करते हैं, तो आपको कुछ ऐसे मैसेज दिख सकते हैं जिन पर भरोसा नहीं किया जा सकता. इस समस्या को ठीक करने के लिए, उन रूट सर्टिफ़िकेट अथॉरिटी (सीए) से मिले रूट सर्टिफ़िकेट स्वीकार किए जा सकते हैं जिन पर आपको भरोसा है.

किसी अतिरिक्त रूट सर्टिफ़िकेट को स्वीकार करने के लिए, उसे अपने Google Admin console में जोड़ें. इसके बाद, कम से कम एक ऐसा डोमेन तय करें जिस पर सर्टिफ़िकेट लागू होता है. आपके पास चाहें, तो सर्टिफ़िकेट के एन्क्रिप्शन लेवल और पुष्टि करने वाली प्रोफ़ाइल में भी बदलाव करने का विकल्प होता है.

Google Workspace में S/MIME चालू करने का तरीका जानने के लिए, मैसेज एन्क्रिप्ट करने के लिए, होस्ट किए गए S/MIME को चालू करना पर जाएं. सीएसई के बारे में ज़्यादा जानने के लिए, क्लाइंट-साइड एन्क्रिप्शन के बारे में जानकारी लेख पढ़ें.

इस पेज पर

रूट सर्टिफ़िकेट के लिए दिशा-निर्देश

Google Workspace में S/MIME के साथ इस्तेमाल करने के लिए, रूट सर्टिफ़िकेट को इन दिशा-निर्देशों का पालन करना होगा:

  • सर्टिफ़िकेट .pem फ़ॉर्मैट में होना चाहिए. साथ ही, इसमें सिर्फ़ एक रूट सर्टिफ़िकेट होना चाहिए.
  • सर्टिफ़िकेट चेन में कम से कम एक इंटरमीडिएट सर्टिफ़िकेट शामिल होना चाहिए.
  • हर सर्टिफ़िकेट चेन में, एंड-यूज़र सर्टिफ़िकेट होना चाहिए. अगर यह जानकारी शामिल नहीं है, तो Google कम से कम पुष्टि करता है.
  • एंड यूज़र सर्टिफ़िकेट में निजी पासकोड शामिल नहीं होना चाहिए.

अहम जानकारी: चेन में कम से कम एक इंटरमीडिएट सीए सर्टिफ़िकेट मौजूद होना चाहिए. इसका मतलब है कि रूट को सीधे तौर पर डिजिटल तौर पर साइन किए गए सर्टिफ़िकेट जारी नहीं करने चाहिए.

रूट सर्टिफ़िकेट के लिए डोमेन बदलना

सर्टिफ़िकेट की समयसीमा खत्म होने की तारीख में बदलाव नहीं किया जा सकता. इसके अलावा, किसी सर्टिफ़िकेट को बदलने के लिए भी बदलाव नहीं किया जा सकता. आपको सर्टिफ़िकेट मिटाकर, नया सर्टिफ़िकेट अपलोड करना होगा. रूट सर्टिफ़िकेट मिटाने से, असली उपयोगकर्ता के उन सर्टिफ़िकेट पर कोई असर नहीं पड़ेगा जिन्हें पहले ही अपलोड किया जा चुका है.

रूट सर्टिफ़िकेट के लिए डोमेन बदलने के लिए:

  1. Google Admin console में, उपयोगकर्ता सेटिंग टैब पर जाकर, S/MIME सेटिंग पर जाएं.
  2. अतिरिक्त रूट सर्टिफ़िकेट की टेबल में, वह सर्टिफ़िकेट चुनें जिसमें आपको बदलाव करना है. इसके बाद, बदलाव करें पर क्लिक करें.
  3. डोमेन अपडेट करें. इसके बाद, सेव करें पर क्लिक करें.

रूट सर्टिफ़िकेट मिटाना

रूट सर्टिफ़िकेट मिटाने के लिए:

  1. Google Admin console में, उपयोगकर्ता सेटिंग टैब पर जाकर, S/MIME सेटिंग पर जाएं.
  2. अतिरिक्त रूट सर्टिफ़िकेट की टेबल में, वह सर्टिफ़िकेट चुनें जिसे आपको हटाना है. इसके बाद, मिटाएं पर क्लिक करें.

डिजिटल हस्ताक्षर करने और एन्क्रिप्ट (सुरक्षित) करने के लिए, अलग-अलग सर्टिफ़िकेट का इस्तेमाल करना

यह सुविधा सिर्फ़ सीएसई के साथ उपलब्ध है. यह सुविधा, होस्ट किए गए S/MIME के साथ उपलब्ध नहीं है.

आम तौर पर, संगठन मैसेज पर डिजिटल हस्ताक्षर करने और उन्हें एन्क्रिप्ट (सुरक्षित) करने के लिए, एक ही सर्टिफ़िकेट का इस्तेमाल करते हैं. हालांकि, अगर आपकी कंपनी को मैसेज पर डिजिटल हस्ताक्षर करने और उन्हें एन्क्रिप्ट करने के लिए अलग-अलग सर्टिफ़िकेट की ज़रूरत है, तो Gmail CSE API का इस्तेमाल करके हर उपयोगकर्ता के लिए, एन्क्रिप्शन का सार्वजनिक सर्टिफ़िकेट और डिजिटल हस्ताक्षर का सार्वजनिक सर्टिफ़िकेट अपलोड करें.

Gmail CSE API का इस्तेमाल करके, उपयोगकर्ता के सर्टिफ़िकेट मैनेज करने के बारे में ज़्यादा जानें.

डोमेन के बीच S/MIME मैसेज शेयर करना

अलग-अलग डोमेन के लोगों को S/MIME ईमेल भेजने या उनसे ईमेल पाने की सुविधा देने के लिए, आपको Google Admin console में कुछ और कार्रवाइयां करनी पड़ सकती हैं. यहां दिए गए सुझाए गए चरणों का पालन करें. ये चरण इस बात पर आधारित हैं कि डोमेन के लिए उपयोगकर्ता सर्टिफ़िकेट कैसे जारी किए जाते हैं.

  • दोनों डोमेन के उपयोगकर्ता सर्टिफ़िकेट, भरोसेमंद रूट सीए (सर्टिफ़िकेट देने वाली संस्था) से जारी किए गए हों: अगर दोनों डोमेन के सभी उपयोगकर्ता सर्टिफ़िकेट, Google के भरोसेमंद रूट सीए (सर्टिफ़िकेट देने वाली संस्था) से जारी किए गए हैं, तो आपको कोई अतिरिक्त कार्रवाई करने की ज़रूरत नहीं है. Gmail, इन रूट CA सर्टिफ़िकेट पर हमेशा भरोसा करता है.

  • दोनों डोमेन के उपयोगकर्ता सर्टिफ़िकेट, एक ही ऐसे रूट CA ने जारी किए हैं जिस पर भरोसा नहीं किया जाता: इस मामले में, एक ऐसे रूट CA ने उपयोगकर्ता सर्टिफ़िकेट जारी किए हैं जिस पर भरोसा नहीं किया जाता. ये सर्टिफ़िकेट, आपके डोमेन और उस डोमेन के लिए जारी किए गए हैं जिसके साथ आपको S/MIME मैसेज शेयर करने हैं.

    होस्ट किए गए S/MIME की सुविधा चालू करें में दिए गए निर्देशों का पालन करके, Google Admin console में ऐसे रूट CA को जोड़ें जिस पर भरोसा नहीं किया जाता. रूट सर्टिफ़िकेट जोड़ें बॉक्स में, पतों की सूची फ़ील्ड में जाकर, दूसरा डोमेन डालें.

  • किसी डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी गैर-भरोसेमंद रूट CA ने जारी किए हों: इस मामले में, किसी डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी गैर-भरोसेमंद रूट CA ने जारी किए होते हैं. दूसरे डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी दूसरे रूट CA ने जारी किए हों.

    होस्ट किए गए S/MIME की सुविधा चालू करें में दिए गए चरणों का पालन करके, Google Admin console में दूसरे डोमेन के रूट सीए को जोड़ें. रूट सर्टिफ़िकेट जोड़ें बॉक्स में, पतों की सूची फ़ील्ड में जाकर, दूसरा डोमेन डालें.

ज़रूरत होने पर ही इस्तेमाल करें

इस सेक्शन में दिए गए सर्टिफ़िकेट के विकल्पों का इस्तेमाल सिर्फ़ तब करें, जब ज़रूरी हो. साथ ही, यह पक्का करें कि आपको इन विकल्पों का इस्तेमाल करने पर होने वाले संभावित असर के बारे में पता हो.

कभी-कभी, किसी उपयोगकर्ता के सर्टिफ़िकेट से जुड़ा ईमेल पता, उसके मुख्य ईमेल पते से अलग हो सकता है. उदाहरण के लिए, ब्रैंडन फ़ाम के सर्टिफ़िकेट में ईमेल पता b.pham@solarmora.com का इस्तेमाल किया गया है. हालांकि, ब्रैंडन अपने ज़्यादातर काम के ईमेल के लिए, brandon.pham@solarmora.com पते का इस्तेमाल करता है. इसे सर्टिफ़िकेट का मेल न खाना कहते हैं.

अहम जानकारी: सुरक्षा की वजहों से, Google का सुझाव है कि सर्टिफ़िकेट के मेल न खाने की अनुमति सिर्फ़ तब दें, जब आपके संगठन को इस सुविधा की ज़रूरत हो. इस विकल्प के चालू होने पर, उपयोगकर्ताओं और एडमिन को प्रमाणपत्र के मेल न खाने पर चेतावनी नहीं मिलेगी. ऐसा किसी अनधिकृत या दुर्भावनापूर्ण उपयोगकर्ता की वजह से हो सकता है.

सर्टिफ़िकेट के मेल न खाने पर भी ईमेल भेजने की अनुमति दें विकल्प, सिर्फ़ सीएसई के साथ उपलब्ध है. यह होस्ट किए गए S/MIME के साथ उपलब्ध नहीं है. सर्टिफ़िकेट के मेल न खाने की अनुमति देने के लिए, CSE को सेट अप करने के लिए, होस्ट किए गए S/MIME की सेटिंग में रूट सर्टिफ़िकेट जोड़ते समय, सर्टिफ़िकेट के मेल न खाने का विकल्प चुनें. रूट सर्टिफ़िकेट जोड़ने का तरीका देखें.

सर्टिफ़िकेट के मेल न खाने की अनुमति दें विकल्प चुनने पर, ईमेल पाने वाले लोग, सर्टिफ़िकेट के मेल न खाने की समस्या वाले ईमेल को डिक्रिप्ट करके पढ़ सकते हैं. सर्टिफ़िकेट के मेल न खाने वाले पिछले मैसेज (सेटिंग चालू होने से पहले मिले मैसेज) को भी डिक्रिप्ट और पढ़ा जा सकता है. हालांकि, उपयोगकर्ता के सर्टिफ़िकेट से जुड़ा ईमेल पता, ईमेल पाने वाले के संपर्कों में सेव नहीं किया जाता. ईमेल पतों को सिंक और सेव करने के लिए, Google Cloud Directory Sync का इस्तेमाल करें.

सर्टिफ़िकेट के न मिलने पर भी अनुमति दें विकल्प, सिर्फ़ संगठन के संपर्कों या GCDS के साथ सिंक किए गए संपर्कों के लिए काम करता है. यह सुविधा, बाहरी संपर्कों के लिए काम नहीं करती.

कुछ ईमेल क्लाइंट, SHA-1 हैश किए गए सिग्नेचर की अनुमति देते हैं. हालांकि, ये सिग्नेचर भरोसेमंद नहीं माने जाते. ऐसा इसलिए है, क्योंकि सुरक्षा से जुड़ी समस्याओं की वजह से SHA-1 को बंद कर दिया गया है.

S/MIME सेटिंग में नया रूट सर्टिफ़िकेट जोड़ते समय, SHA-1 को सभी के लिए अनुमति दें विकल्प सिर्फ़ तब चुनें, जब:

  • आपका संगठन, S/MIME मैसेज की सुरक्षा के लिए SHA-1 क्रिप्टोग्राफ़िक हैश फ़ंक्शन का इस्तेमाल करता है. साथ ही,
  • आपको इन कम्यूनिकेशन को भरोसेमंद के तौर पर दिखाना है.

इस विकल्प को चुनने पर, Gmail उन S/MIME सर्टिफ़िकेट पर भरोसा करता है जो SHA-1 का इस्तेमाल करके, इनबाउंड ईमेल से अटैच किए गए हैं.

सर्टिफ़िकेट अपलोड करने से जुड़ी समस्याओं को हल करना

अगर आपको सर्टिफ़िकेट अपलोड करने में समस्याएं आ रही हैं, तो इसकी ये संभावित वजहें देखें. साथ ही, सुझाई गई कार्रवाइयां करके देखें:

यह सर्टिफ़िकेट, भरोसेमंद होने की ज़रूरी शर्तें पूरी नहीं करता

पुष्टि करें कि सर्टिफ़िकेट पर खुद के हस्ताक्षर न हों, उसे रद्द न किया गया हो, और कुंजी की लंबाई 1024 बिट या इससे ज़्यादा हो. इसके बाद, फिर से अपलोड करने की कोशिश करें.

पते की सूची में डोमेन बदलने के लिए, सर्टिफ़िकेट में बदलाव करें. उदाहरण के लिए, अगर आपने कस्टम सर्टिफ़िकेट अपलोड किए हैं और मैसेज को अब भी भरोसेमंद नहीं माना जा रहा है, तो अनुमति वाले डोमेन की सूची में बदलाव करके देखें.

सर्टिफ़िकेट का हस्ताक्षर अमान्य है

पुष्टि करें कि सर्टिफ़िकेट पर मान्य हस्ताक्षर है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट की समयसीमा खत्म हो गई है

पुष्टि करें कि सर्टिफ़िकेट पर दी गई तारीख, इससे पहले की तारीख (तारीख) और इसके बाद की तारीख (तारीख) फ़ील्ड में दी गई तारीख की सीमा के अंदर हो. इसके बाद, फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट चेन में कम से कम एक अमान्य सर्टिफ़िकेट मौजूद है.

पुष्टि करें कि प्रमाणपत्र सही तरीके से फ़ॉर्मैट किया गया हो. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट में एक से ज़्यादा रूट सर्टिफ़िकेट शामिल हैं

एक से ज़्यादा रूट सर्टिफ़िकेट वाला सर्टिफ़िकेट अपलोड नहीं किया जा सकता. पुष्टि करें कि सर्टिफ़िकेट में सिर्फ़ एक रूट सर्टिफ़िकेट है. इसके बाद, इसे फिर से अपलोड करें.

सर्टिफ़िकेट को पार्स नहीं किया जा सका

पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही हो. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्वर से कोई अनजान जवाब मिला

पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही हो. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट अपलोड नहीं किया जा सका

सर्वर से कनेक्ट करने में कोई समस्या हो सकती है. आम तौर पर, यह एक अस्थायी समस्या होती है. कुछ मिनट इंतज़ार करने के बाद, वीडियो को फिर से अपलोड करने की कोशिश करें. अगर प्रमाणपत्र अपलोड नहीं हो पाता है, तो पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही है.

मैसेज को एन्क्रिप्ट (सुरक्षित) करने के लिए, होस्ट किए गए S/MIME की सुविधा चालू करना