الإصدارات المتوافقة مع هذه الميزة: Frontline Plus وEnterprise Plus وEducation Fundamentals وEducation Standard وEducation Plus مقارنة إصدارك
إنّ ميزتا "S/MIME المُستضاف" "والتشفير من جهة العميل (CSE)" تابعتين لـ Google Workspace والتي تسمح للمستخدمين بإرسال رسائل S/MIME الإلكترونية واستلامها.
توفّر Google متطلبات الشهادات وشهادات CA موثوق بها لمعيار S/MIME. إذا لم تستوفِ شهاداتك هذه المتطلبات، من الممكن أن تكون بعض الرسائل غير موثوق بها. لإصلاح ذلك، يمكنك قبول شهادات جذر أخرى من مراجع التصديق الجذر (CAs) التي تثق بها.
لقبول شهادة جذر إضافية، يمكنك إضافتها في "وحدة تحكُّم المشرف في Google". ثم حدِّد نطاقًا واحدًا على الأقل ينطبق عليه الشهادة. يمكنك أيضًا ضبط مستوى تشفير الشهادة وملف التحقّق اختياريًا.
لمعرفة الخطوات التفصيلية لتفعيل S/MIME في Google Workspace، يُرجى الانتقال إلى تفعيل S/MIME المستضاف لتشفير الرسائل. لمزيد من المعلومات حول ميزة "التشفير من جهة العميل"، يُرجى الانتقال إلى المقالة لمحة حول ميزة "التشفير من جهة العميل".
في هذه الصفحة
- إرشادات شهادة الجذر
- تغيير نطاق شهادة الجذر
- حذف شهادة جذر
- تبادل رسائل S/MIME بين النطاقات
- استخدام الشهادات المختلفة في التوقيع والتشفير
- السماح بعدم تطابق الشهادة (لا يُنصح به)
- السماح بخوارزمية SHA-1 (غير مستحسن)
- تحديد مشاكل تحميل شهادات الجذر وحلّها
إرشادات شهادة الجذر
يجب أن تستوفي شهادات الجذر الإرشادات التالية حى تستخدم مع معيار S/MIME في Google Workspace:
- يجب أن تكون الشهادة بتنسيق .pem وأن تحتوي على شهادة جذر واحدة فقط.
- يجب أن تتضمّن سلسلة الشهادات شهادة وسيطة واحدة على الأقل.
- يجب أن تتضمّن كل سلسلة شهادات شهادة مستخدم نهائي. وإذا لم يتم تضمينها، لن تنفِّذ Google سوى الحد الأدنى من التحقُّق.
- يجب ألا تتضمّن شهادة المستخدم المفتاح الخاص.
ملاحظة مهمة: يجب أن تتوفّر شهادة CA متوسطة واحدة على الأقل في السلسلة. بمعنى أنّه يجب ألا يُصدِر الجذر شهادات الكيان النهائي مباشرةً.
تغيير نطاق شهادة الجذر
لا يمكنك تعديل تاريخ انتهاء صلاحية الشهادة أو تعديلها لاستبدالها بشهادة اخرى. يجب حذف الشهادة وتحميل شهادة جديدة. ولن يؤثر حذف شهادة جذر في أي شهادات للمستخدم قد تم تحميلها من قبل.
لتغيير نطاق شهادة جذر:
- في "وحدة تحكّم المشرف في Google"، انتقِل إلى إعداد S/MIME في علامة التبويب إعدادات المستخدم.
- في جدول شهادات الجذر الإضافية، اختَر الشهادة التي تريد تغييرها، ثم انقر على تعديل.
- عدِّل النطاق، ثم انقر على حفظ.
حذف شهادة جذر
لحذف شهادة جذر، اتّبِع الخطوات التالية:
- في "وحدة تحكّم المشرف في Google"، انتقِل إلى إعداد S/MIME في علامة التبويب إعدادات المستخدم.
- في جدول شهادات الجذر الإضافية، اختَر الشهادة التي تريد إزالتها وانقر على حذف.
استخدام شهادات مختلفة للتوقيع والتشفير
تتوفر هذه الميزة مع ميزة "التشفير من جهة العميل" (CSE) فقط. ولا تتوفّر هذه الميزة مع S/MIME المُستضاف.
تستخدم المؤسسات عادةً شهادة واحدة من أجل توقيع الرسائل وتشفيرها. ومع ذلك، في حال كانت مؤسستك تتطلّب شهادات مختلفة من أجل توقيع الرسائل وتشفيرها، يمكنك استخدام واجهة برمجة التطبيقات الخاصة بميزة التشفير من جهة العميل في Gmail CSE API لتحميل الشهادة العلنية للتشفير والشهادة العلنية للتوقيع لكل مستخدم.
تعرَّف على مزيد من المعلومات حول استخدام واجهة برمجة التطبيقات الخاصة بميزة "التشفير من جهة العميل" في Gmail لإدارة شهادات المستخدم.
تبادل رسائل S/MIME بين النطاقات
للسماح للمستخدمين في نطاقات مختلفة بتبادل رسائل S/MIME، قد تحتاج إلى اتخاذ بضع خطوات إضافية في "وحدة تحكّم المشرف في Google". يُرجى اتّباع الخطوات المقترَحة في هذه الصفحة، بناءً على كيفية إصدار شهادات المستخدم للنطاق.
- شهادات المستخدم لكلا النطاقين والتي تم إصدارها من مرجع تصديق جذر موثوق به: عندما يتم إصدار جميع شهادات المستخدم في كلا النطاقين من خلال مرجع تصديق جذر موثوق به من Google، لا يلزم اتخاذ أي خطوات إضافية. تكون شهادات CA الجذر هذه موثوقة دائمًا من خلال Gmail.
شهادات المستخدم لكلا النطاقين الصادرة عن المرجع المصدق الجذري غير الموثوق به: في هذه الحالة، يُصدر مرجع تصديق جذر غير موثوق به شهادات المستخدم لنطاقك والنطاق الذي تريد تبادله/رسائل MIME باستخدام.
أضِف المرجع المصدق الجذري غير الموثوق به إلى "وحدة تحكّم المشرف في Google"، باتّباع الخطوات الواردة في تفعيل S/MIME المستضاف. في المربع إضافة شهادة الجذر، أدخل النطاق الآخر في حقل قائمة العناوين.
مشاكل شهادات مستخدم نطاق واحد من مرجع تصديق جذر غير موثوق به: في هذه الحالة، يتم إصدار شهادات مستخدم نطاق واحد من مرجع تصديق جذر غير موثوق به. يتم إصدار شهادات المستخدم للنطاق الآخر من قِبل مرجع تصديق مختلف الجذر.
أضِف مرجع تصديق جذر النطاق الآخر إلى "وحدة تحكّم المشرف في Google"، باتّباع الخطوات الواردة في تفعيل S/MIME المستضاف. في المربع إضافة شهادة الجذر، أدخل النطاق الآخر في حقل قائمة العناوين.
الاستخدام عند الضرورة فقط
يُرجى عدم استخدام خيارات الشهادات الواردة في هذا القسم إلا عند الضرورة، والحرص على فهم التأثيرات المحتملة عند استخدامها.
السماح بعدم تطابق الشهادة (لا يُنصح به)
في بعض الأحيان يكون عنوان البريد الإلكتروني المرتبط بشهادة المستخدم مختلفًا عن عنوان البريد الإلكتروني الرئيسي الخاص بالمستخدم. على سبيل المثال، تستخدم شهادة "سمير فهمي" عنوان البريد الإلكتروني "s.fahmy@solarmora.com"، بينما يستخدم "سمير" العنوان "Samir.fahmy@solarmora.com" لمعظم رسائل البريد الإلكتروني المتعلقة بالعمل. وهذا ما يُعرف بعدم تطابق الشهادة.
ملاحظة مهمة: لأسباب تتعلق بالأمان، تنصح Google بالسماح بحالات عدم تطابق الشهادات فقط عندما تكون هذه الميزة مطلوبة من قِبل مؤسستك. حيث يؤدي تفعيل هذا الخيار إلى عدم تلقّى المستخدمون والمشرفون تحذيرًا عند عدم تطابق الشهادة، وقد يكون السبب في ذلك هو مستخدم غير مُصرَّح به أو مستخدم ضار.
لا يتوفّر خيار السماح بعدم تطابق الشهادة إلا مع ميزة "التشفير من جهة العميل" وليس مع S/MIME المُستضاف. لإعداد ميزة "التشفير من جهة العميل" للسماح بعدم تطابق الشهادات، يجب تحديد خيار عدم تطابق الشهادات عند إضافة شهادات الجذر في إعدادات S/MIME المُستضاف. يُرجى الاطّلاع على الخطوات التفصيلية لإضافة شهادات الجذر.
عند تحديد الخيار السماح بعدم تطابق الشهادة، يمكن للمُستلِمين فك تشفير وقراءة الرسائل الواردة التي لا تتضمن شهادة غير متطابقة. يمكن أيضًا فك تشفير وقراءة الرسائل السابقة التي تتضمن شهادة غير متطابقة (المستلمة قبل تفعيل الإعداد). ومع ذلك، لا يُحفظ عنوان البريد الإلكتروني المرتبط بشهادة المستخدم في جهات اتصال المُستلِم. لمزامنة عناوين البريد الإلكتروني وحفظها، يمكنك استخدام أداة مزامنة دليل Google Cloud.
لا يعمل خيار السماح بعدم تطابق الشهادات إلا مع جهات الاتصال الداخلية أو جهات الاتصال التي تمت مزامنتها باستخدام "أداة مزامنة دليل Google Cloud". ولا يعمل مع جهات الاتصال الخارجية.
السماح بخوارزمية SHA-1 (غير مستحسن)
على الرغم من أنّ بعض برامج البريد الإلكتروني تسمح بتوقيعات SHA-1 المجزّأة، إلا أنّ هذه التوقيعات تظهر غير موثوق بها. والسبب في ذلك هو إيقاف خوارزمية SHA-1 نهائيًا بسبب مشاكل متعلقة بالأمان.
عند إضافة شهادة جذر جديدة إلى الإعداد S/MIME، يمكنك تحديد الخيار السماح بخوارزمية SHA-1 بشكلٍ عام فقط في حال:
- تتواصل مؤسستك باستخدام وظيفة التجزئة المشفرة SHA-1 لأمان الرسائل باستخدام S/MIME،
- مع رغبتك في ظهور هذه الرسائل بأنها موثوق بها.
عند تحديد هذا الخيار، يثق Gmail بشهادات S/MIME المرفقة بالبريد الوارد باستخدام خوارزمية SHA-1.
تحديد مشاكل تحميل الشهادات وحلّها
إذا كنت تواجه مشاكل في تحميل الشهادات، يُرجى مراجعة هذه الأسباب المحتملة وتجربة الحلول المُقترَحة:
لا تستوفي الشهادة الحد الأدنى من المتطلبات لتكون موثوقة.
يُرجى التحقُّق من أنّ الشهادة غير موقًّعة ذاتيًا، ولم يتم إبطالها، وأنّ طول المفتاح هو 1024 بت أو أكثر. بعد ذلك، حاوِل التحميل مرة أخرى.
يمكنك تعديل الشهادة لتغيير النطاقات في قائمة العناوين. على سبيل المثال، إذا كنت قد حمَّلت شهادات مخصصة ولا تزال الرسائل يتعامل معها على أنها غير موثوقة، يمكنك محاولة تعديل قائمة النطاقات المسموح بها للشهادة.
توقيع الشهادة غير صالح
يُرجى التحقُّق من أنّ الشهادة تتضمّن توقيعًا صالحًا، ثم إعادة المحاولة.
شهادة منتهية الصلاحية
يُرجى التحقُّق من أنّ التاريخ الوارد في الشهادة يقع ضمن النطاق الزمني المحدَّد في الحقلين ليس قبل (التاريخ) وليس بعد (التاريخ). بعد ذلك، حاوِل التحميل مرة أخرى.
تتضمّن سلسلة الشهادات شهادة غير صالحة واحدة على الأقل.
يُرجى التحقُّق من صحة تنسيق الشهادة، ثم حاول التحميل مرة أخرى.
تحتوي الشهادة على شهادات جذر متعددة
لا يمكنك تحميل شهادة تحتوي على أكثر من شهادة جذر واحدة. يُرجى التحقُّق من أنّ الشهادة تتضمن شهادة جذر واحدة فقط، ثم حاول التحميل مرة أخرى.
تعذُّر تحليل الشهادة
يُرجى التحقُّق من صحة تنسيق الشهادة، ثم حاول التحميل مرة أخرى.
يعرض الخادم استجابة غير معروفة.
يُرجى التحقُّق من صحة تنسيق الشهادة، ثم حاول التحميل مرة أخرى.
يتعذّر تحميل الشهادة
ربما كانت هناك مشكلة في الاتصال بالخادم. وهذه عادةً مشكلة مؤقتة. يُرجى الانتظار بضع دقائق ومحاولة التحميل من جديد. في حال استمرار تعذُّر التحميل، يُرجى التحقُّق من صحة تنسيق الشهادة.