این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

مدیریت گواهی‌های معتبر برای S/MIME (پیشرفته)

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Plus؛ Enterprise Plus؛ Education Fundamentals، Education Standard و Education Plus. نسخه خود را مقایسه کنید

رمزگذاری S/MIME میزبانی‌شده و رمزگذاری سمت کلاینت (CSE) از ویژگی‌های Google Workspace هستند که به کاربران شما امکان ارسال و دریافت پیام‌های ایمیل S/MIME را می‌دهند.

گوگل الزامات گواهی و گواهی‌های CA معتبر برای S/MIME ارائه می‌دهد. اگر گواهی‌های شما این الزامات را برآورده نکنند، ممکن است متوجه شوید که پیام‌های خاصی قابل اعتماد نیستند. برای رفع این مشکل، می‌توانید گواهی‌های ریشه دیگری را از مراجع گواهی ریشه (CA) که به آنها اعتماد دارید، بپذیرید.

برای پذیرش یک گواهی ریشه اضافی، آن را در کنسول گوگل ادمین خود اضافه کنید. سپس، حداقل یک دامنه را که گواهی به آن اعمال می‌شود، مشخص کنید. همچنین می‌توانید به صورت اختیاری سطح رمزگذاری و نمایه اعتبارسنجی گواهی را تنظیم کنید.

برای مراحل دقیق فعال کردن S/MIME در Google Workspace، به بخش «فعال کردن S/MIME میزبانی‌شده برای رمزگذاری پیام » مراجعه کنید. برای کسب اطلاعات بیشتر در مورد CSE، به «درباره رمزگذاری سمت کلاینت » مراجعه کنید.

در این صفحه

دستورالعمل‌های گواهی ریشه
دامنه را برای گواهی ریشه تغییر دهید
حذف گواهی ریشه
تبادل پیام‌های S/MIME بین دامنه‌ها
استفاده از گواهی‌های مختلف برای امضا و رمزگذاری
عدم تطابق گواهی را مجاز کنید (توصیه نمی‌شود)
اجازه دادن به SHA-1 (توصیه نمی‌شود)
عیب‌یابی مشکلات آپلود گواهی ریشه

دستورالعمل‌های گواهی ریشه

گواهی‌های ریشه باید این دستورالعمل‌ها را برای استفاده با S/MIME در Google Workspace رعایت کنند:

این گواهی باید با فرمت .pem باشد و فقط شامل یک گواهی ریشه باشد.
زنجیره گواهی باید حداقل شامل یک گواهی واسطه باشد.
هر زنجیره گواهینامه باید یک گواهینامه کاربر نهایی داشته باشد. اگر این گواهینامه وجود نداشته باشد، گوگل حداقل تأیید را انجام می‌دهد.
گواهی کاربر نهایی نباید شامل کلید خصوصی باشد.

مهم : حداقل یک گواهی‌نامه‌ی CA میانی باید در زنجیره وجود داشته باشد. یعنی، ریشه نباید مستقیماً گواهی‌نامه‌های موجودیت نهایی را صادر کند.

دامنه را برای گواهی ریشه تغییر دهید

شما نمی‌توانید تاریخ انقضای گواهی را ویرایش کنید یا گواهی را برای جایگزینی ویرایش کنید. باید گواهی را حذف کرده و یک گواهی جدید آپلود کنید. حذف گواهی ریشه تاثیری بر گواهی‌های کاربر نهایی که قبلاً آپلود شده‌اند، نخواهد داشت.

برای تغییر دامنه برای گواهی ریشه:

در کنسول مدیریت گوگل خود، به تنظیمات S/MIME در تب تنظیمات کاربر بروید.
در جدول گواهی‌های ریشه اضافی، گواهی مورد نظر برای تغییر را انتخاب کنید؛ سپس روی ویرایش کلیک کنید.
دامنه را به‌روزرسانی کنید، سپس روی ذخیره کلیک کنید.

حذف گواهی ریشه

برای حذف گواهی ریشه:

در کنسول مدیریت گوگل خود، به تنظیمات S/MIME در تب تنظیمات کاربر بروید.
در جدول گواهی‌های ریشه اضافی، گواهی مورد نظر برای حذف را انتخاب کرده و روی حذف کلیک کنید.

استفاده از گواهی‌های مختلف برای امضا و رمزگذاری

این ویژگی فقط با CSE در دسترس است. با S/MIME میزبانی‌شده در دسترس نیست.

معمولاً سازمان‌ها از یک گواهی واحد برای امضا و رمزگذاری پیام‌ها استفاده می‌کنند. با این حال، اگر سازمان شما به گواهی‌های مختلفی برای امضا و رمزگذاری پیام‌ها نیاز دارد، از Gmail CSE API برای آپلود گواهی عمومی رمزگذاری و گواهی عمومی امضا برای هر کاربر استفاده کنید.

درباره استفاده از Gmail CSE API برای مدیریت گواهینامه‌های کاربر بیشتر بدانید.

تبادل پیام‌های S/MIME بین دامنه‌ها

برای اینکه افراد در دامنه‌های مختلف بتوانند پیام‌های S/MIME را رد و بدل کنند، ممکن است لازم باشد چند مرحله اضافی در کنسول مدیریت گوگل خود انجام دهید. مراحل توصیه شده در اینجا را، بر اساس نحوه صدور گواهینامه‌های کاربری برای دامنه، دنبال کنید.

گواهی‌های کاربری هر دو دامنه توسط یک مرکز صدور گواهی ریشه معتبر صادر شده باشد: وقتی همه گواهی‌های کاربری در هر دو دامنه توسط یک مرکز صدور گواهی ریشه معتبر گوگل صادر شده باشند، نیازی به انجام هیچ اقدام اضافی ندارید. این گواهی‌های مرکز صدور گواهی ریشه همیشه مورد اعتماد جیمیل هستند.
گواهی‌های کاربری هر دو دامنه توسط یک مرکز صدور گواهی ریشه نامعتبر صادر شده باشد: در این مورد، یک مرکز صدور گواهی ریشه نامعتبر، گواهی‌های کاربری را برای دامنه شما و دامنه‌ای که می‌خواهید پیام‌های S/MIME را با آن رد و بدل کنید، صادر کرده است.
با دنبال کردن مراحل موجود در بخش «فعال کردن گواهی میزبانی‌شده S/MIME» ، گواهی‌نامه‌ی ریشه‌ی نامعتبر را به کنسول گوگل ادمین خود اضافه کنید. در کادر «افزودن گواهی‌نامه‌ی ریشه» ، دامنه‌ی دیگر را در فیلد « لیست آدرس‌ها» وارد کنید.
صدور گواهینامه‌های کاربری یک دامنه توسط یک مرکز صدور گواهینامه ریشه نامعتبر: در این حالت، گواهینامه‌های کاربری یک دامنه توسط یک مرکز صدور گواهینامه ریشه نامعتبر صادر می‌شود. گواهینامه‌های کاربری دامنه دیگر توسط یک مرکز صدور گواهینامه ریشه متفاوت صادر می‌شود.
با دنبال کردن مراحل موجود در Turn on hosted S/MIME ، گواهی‌نامه‌ی ریشه‌ی دامنه‌ی دیگر را به کنسول گوگل ادمین خود اضافه کنید. در کادر Add root certificate ، دامنه‌ی دیگر را در فیلد Address list وارد کنید.

فقط در مواقع ضروری استفاده شود

از گزینه‌های گواهی‌نامه در این بخش فقط در صورت لزوم استفاده کنید و مطمئن شوید که هنگام استفاده از آنها، تأثیرات احتمالی را درک می‌کنید.

عدم تطابق گواهی را مجاز کنید (توصیه نمی‌شود)

گاهی اوقات، آدرس ایمیل مرتبط با گواهی کاربر ممکن است با آدرس ایمیل اصلی کاربر متفاوت باشد. برای مثال، گواهی برندون فام از آدرس ایمیل b.pham@solarmora.com استفاده می‌کند، اما برندون برای بیشتر ایمیل‌های کاری خود از آدرس brandon.pham@solarmora.com استفاده می‌کند. به این حالت عدم تطابق گواهی می‌گویند.

مهم : به دلایل امنیتی، گوگل توصیه می‌کند که فقط زمانی که سازمان شما به عدم تطابق گواهی نیاز دارد، این ویژگی را فعال کنید. وقتی این گزینه فعال باشد، کاربران و مدیران در صورت عدم تطابق گواهی، که می‌تواند توسط یک کاربر غیرمجاز یا مخرب ایجاد شود، هشداری دریافت نمی‌کنند.

گزینه «اجازه عدم تطابق گواهی» فقط با CSE در دسترس است و با Hosted S/MIME در دسترس نیست. برای تنظیم CSE جهت مجاز کردن عدم تطابق گواهی، هنگام اضافه کردن گواهی‌های ریشه در تنظیمات Hosted S/MIME، گزینه Certificate mismatch را انتخاب کنید. مراحل دقیق اضافه کردن گواهی‌های ریشه را ببینید.

وقتی گزینه «اجازه عدم تطابق گواهی» انتخاب شود، گیرندگان می‌توانند پیام‌های دریافتی با عدم تطابق گواهی را رمزگشایی و بخوانند. پیام‌های قبلی با عدم تطابق گواهی (که قبل از فعال شدن این تنظیم دریافت شده‌اند) نیز می‌توانند رمزگشایی و خوانده شوند. با این حال، آدرس ایمیل مرتبط با گواهی کاربر در مخاطبین گیرنده ذخیره نمی‌شود. برای همگام‌سازی و ذخیره آدرس‌های ایمیل، از Google Cloud Directory Sync استفاده کنید.

گزینه «اجازه عدم تطابق گواهی» فقط برای مخاطبین داخلی یا مخاطبینی که با GCDS هماهنگ شده‌اند، کار می‌کند. این گزینه برای مخاطبین خارجی کار نمی‌کند.

اجازه دادن به SHA-1 (توصیه نمی‌شود)

اگرچه برخی از سرویس‌دهندگان ایمیل امضاهای هش‌شده SHA-1 را مجاز می‌دانند، اما این امضاها غیرقابل اعتماد به نظر می‌رسند. دلیل این امر آن است که SHA-1 به دلیل مشکلات امنیتی منسوخ شده است.

وقتی یک گواهی ریشه جدید به تنظیمات S/MIME اضافه می‌کنید، گزینه Allow SHA-1 globally را فقط در صورت وجود شرایط زیر انتخاب کنید:

سازمان شما با استفاده از تابع هش رمزنگاری SHA-1 برای امنیت پیام S/MIME ارتباط برقرار می‌کند، و
شما می‌خواهید این ارتباطات به عنوان ارتباطات قابل اعتماد به نظر برسند.

وقتی این گزینه انتخاب شود، جیمیل به گواهی‌های S/MIME که با SHA-1 به ایمیل‌های ورودی متصل شده‌اند، اعتماد می‌کند.

عیب‌یابی مشکلات آپلود گواهی

اگر در آپلود گواهینامه‌ها مشکل دارید، این دلایل احتمالی را بررسی کنید و راه‌حل‌های پیشنهادی را امتحان کنید:

گواهی حداقل الزامات مورد اعتماد بودن را برآورده نمی‌کند

تأیید کنید که گواهی خودامضا نیست، لغو نشده است و طول کلید 1024 بیت یا بیشتر است. سپس دوباره آپلود را امتحان کنید.

برای تغییر دامنه‌های موجود در فهرست آدرس‌ها، گواهی را ویرایش کنید. برای مثال، اگر گواهی‌های سفارشی آپلود کرده‌اید و پیام‌ها هنوز به عنوان غیرقابل اعتماد در نظر گرفته می‌شوند، فهرست دامنه‌های مجاز گواهی را ویرایش کنید.

امضای گواهی نامعتبر است

تأیید کنید که گواهی امضای معتبری دارد و دوباره آپلود را امتحان کنید.

گواهی منقضی شده

تأیید کنید که تاریخ روی گواهی در محدوده تاریخ مشخص شده در فیلدهای «قبل از تاریخ» و «بعد از تاریخ » باشد. سپس دوباره آپلود را امتحان کنید.

زنجیره گواهی حداقل یک گواهی نامعتبر دارد.

تأیید کنید که گواهی به درستی قالب‌بندی شده است و دوباره آپلود را امتحان کنید.

گواهی شامل چندین گواهی ریشه است

شما نمی‌توانید گواهی‌نامه‌ای را که حاوی بیش از یک گواهی ریشه است آپلود کنید. تأیید کنید که گواهی‌نامه فقط یک گواهی ریشه دارد و سپس دوباره سعی کنید آن را آپلود کنید.

گواهی قابل تجزیه نبود

تأیید کنید که گواهی به درستی قالب‌بندی شده است و سپس دوباره آپلود را امتحان کنید.

سرور پاسخ ناشناخته‌ای را برمی‌گرداند