התכונה הזו נתמכת במהדורות הבאות: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard ו-Education Plus. השוואה בין מהדורות
הצפנה מתארחת בשיטת S/MIME והצפנה מצד הלקוח (CSE) הן תכונות של Google Workspace שמאפשרות למשתמשים לשלוח ולקבל הודעות אימייל ב-S/MIME.
Google מספקת דרישות לאישורים ואישורים מהימנים של רשויות אישורים ל-S/MIME. אם האישורים שלכם לא עומדים בדרישות האלה, יכול להיות שתבחינו בכך שהודעות מסוימות לא מהימנות. כדי לפתור את הבעיה, אפשר לקבל אישורי בסיס אחרים מרשויות אישורים (CA) שאתם סומכים עליהן.
כדי לאשר אישור בסיס נוסף, מוסיפים אותו במסוף Google Admin. לאחר מכן מציינים לפחות דומיין אחד שהאישור חל עליו. אפשר גם לשנות את רמת ההצפנה של האישור ואת פרופיל האימות.
לשלבים מפורטים להפעלת S/MIME ב-Google Workspace, אפשר לעבור אל הפעלת S/MIME מתארח להצפנה של הודעות. מידע נוסף על הצפנה מצד הלקוח זמין במאמר מידע על הצפנה מצד הלקוח.
הנושאים בדף
- הנחיות לגבי אישור בסיס
- שינוי הדומיין של אישור בסיס
- מחיקת אישור בסיס
- החלפת הודעות S/MIME בין דומיינים
- שימוש באישורים שונים לחתימה ולהצפנה
- התרת אי התאמה של אישורים (לא מומלץ)
- מתן הרשאה לאישורי SHA-1 (לא מומלץ)
- פתרון בעיות בהעלאת אישור בסיס
הנחיות לגבי אישור בסיס
כדי להשתמש באישורי בסיס עם S/MIME ב-Google Workspace, הם צריכים לעמוד בהנחיות הבאות:
- האישור צריך להיות בפורמט .pem ולהכיל רק אישור בסיס אחד.
- שרשרת האישורים חייבת לכלול לפחות אישור ביניים אחד.
- כל שרשרת אישורים צריכה לכלול אישור משתמש קצה. אם הוא לא נכלל, Google מבצעת אימות מינימלי.
- האישור של משתמש הקצה לא צריך לכלול את המפתח הפרטי.
חשוב: בשרשרת צריך להיות לפחות אישור CA ביניים אחד. כלומר, אישור הבסיס לא יכול להנפיק ישירות אישורים של ישויות קצה.
שינוי הדומיין של אישור בסיס
אי אפשר לערוך את תאריך התפוגה של אישור או לערוך כדי להחליף אישור. צריך למחוק את האישור ולהעלות אישור חדש. מחיקה של אישור בסיס לא תשפיע על אישורים של משתמשי קצה שכבר הועלו.
כדי לשנות את הדומיין של אישור בסיס:
- במסוף Google Admin, עוברים להגדרה S/MIME בכרטיסייה הגדרות משתמש.
- בטבלה של אישורי הבסיס הנוספים, בוחרים את האישור שרוצים לשנות ולוחצים על עריכה.
- מעדכנים את הדומיין ולוחצים על שמירה.
מחיקת אישור בסיס
כדי למחוק אישור בסיס:
- במסוף Google Admin, עוברים להגדרה S/MIME בכרטיסייה הגדרות משתמש.
- בטבלה של אישורי הבסיס הנוספים, בוחרים את האישור שרוצים להסיר ולוחצים על מחיקה.
שימוש באישורים שונים לחתימה ולהצפנה
התכונה הזו זמינה רק עם CSE. האפשרות הזו לא זמינה עם S/MIME מתארח.
בדרך כלל, ארגונים משתמשים באישור יחיד לחתימה ולהצפנה של הודעות. עם זאת, אם הארגון שלכם דורש אישורים שונים לחתימה ולהצפנה של הודעות, אתם יכולים להשתמש ב-Gmail CSE API כדי להעלות את האישור הציבורי להצפנה ואת האישור הציבורי לחתימה עבור כל משתמש.
מידע נוסף על שימוש ב-Gmail CSE API לניהול אישורי משתמשים
החלפת הודעות S/MIME בין דומיינים
כדי לאפשר לאנשים בדומיינים שונים להחליף הודעות S/MIME, יכול להיות שתצטרכו לבצע כמה שלבים נוספים במסוף Google Admin. פועלים לפי השלבים המומלצים שמפורטים כאן, בהתאם לאופן שבו מונפקים אישורי המשתמשים בדומיין.
- אישורי המשתמשים בשני הדומיינים הונפקו על ידי רשות אישורים בסיסית מהימנה: אם כל אישורי המשתמשים בשני הדומיינים הונפקו על ידי רשות אישורים בסיסית מהימנה של Google, לא צריך לבצע פעולות נוספות. אישורי CA בסיסיים אלה תמיד מהימנים ב-Gmail.
אישורי המשתמשים בשני הדומיינים הונפקו על ידי אותו CA בסיסי לא מהימן: במקרה הזה, CA בסיסי לא מהימן הנפיק את אישורי המשתמשים בדומיין שלכם ובדומיין שאיתו אתם רוצים להחליף הודעות S/MIME.
מוסיפים את רשות האישורים הבסיסית הלא מהימנה למסוף Google Admin, לפי השלבים שמתוארים במאמר הפעלה של S/MIME מתארח. בתיבה הוספת אישור בסיס, מזינים את הדומיין השני בשדה רשימת כתובות.
אישורי משתמש של דומיין אחד שהונפקו על ידי רשות אישורים בסיסית לא מהימנה: במקרה הזה, אישורי משתמש של דומיין אחד מונפקים על ידי רשות אישורים בסיסית לא מהימנה. אישורי המשתמשים בדומיין השני מונפקים על ידי רשות אישורים בסיסית (root CA) אחרת.
מוסיפים את רשות האישורים הבסיסית של הדומיין השני למסוף Google Admin, לפי השלבים שמתוארים במאמר הפעלה של S/MIME מתארח. בתיבה הוספת אישור בסיס, מזינים את הדומיין השני בשדה רשימת כתובות.
שימוש רק כשצריך
משתמשים באפשרויות של האישורים שבקטע הזה רק כשצריך, ומוודאים שמבינים את ההשפעות האפשריות של השימוש בהן.
אפשר שיהיה חוסר התאמה באישורים (לא מומלץ)
לפעמים, כתובת האימייל שמשויכת לאישור של משתמש שונה מכתובת האימייל הראשית שלו. לדוגמה, האישור של ברנדון פאם משתמש בכתובת האימייל b.pham@solarmora.com, אבל ברנדון משתמש בכתובת brandon.pham@solarmora.com ברוב האימיילים שלו בעבודה. הבעיה הזו נקראת אי-התאמה של אישורים.
חשוב: מטעמי אבטחה, Google ממליצה לאפשר אי התאמות של אישורים רק אם הארגון שלכם דורש זאת. כשהאפשרות הזו מופעלת, משתמשים ואדמינים לא מקבלים אזהרה כשיש אי התאמה בין האישורים, שיכולה להיגרם על ידי משתמש לא מורשה או זדוני.
האפשרות התרת חוסר התאמה באישורים זמינה רק עם CSE ולא עם S/MIME מתארח. כדי להגדיר את CSE כך שיאפשר חוסר התאמה באישורים, בוחרים באפשרות של חוסר התאמה באישורים כשמוסיפים אישורי בסיס בהגדרה של S/MIME מתארח. שלבים מפורטים להוספת אישורי בסיס
כשהאפשרות התאמה לא מדויקת של אישורים מסומנת, הנמענים יכולים לפענח ולקרוא הודעות נכנסות עם אישור לא תואם. אפשר גם לפענח ולקרוא הודעות קודמות עם אישור לא תואם (שהתקבלו לפני שההגדרה הופעלה). עם זאת, כתובת האימייל שמשויכת לאישור של המשתמש לא נשמרת באנשי הקשר של הנמען. כדי לסנכרן ולשמור כתובות אימייל, משתמשים ב-Google Cloud Directory Sync.
האפשרות Allow certificate mismatch (התרת אי התאמה של אישורים) פועלת רק לגבי אנשי קשר פנימיים או אנשי קשר שמסונכרנים עם GCDS. התכונה לא פועלת עבור אנשי קשר חיצוניים.
אישור השימוש ב-SHA-1 (לא מומלץ)
למרות שחלק מתוכנות האימייל מאפשרות חתימות עם גיבוב SHA-1, החתימות האלה לא נחשבות מהימנות. הסיבה לכך היא שהאלגוריתם SHA-1 הוצא משימוש בגלל בעיות אבטחה.
כשמוסיפים אישור בסיס חדש להגדרה S/MIME, בוחרים באפשרות מתן הרשאה גלובלית לאישורי SHA-1 רק אם:
- הארגון שלכם מתקשר באמצעות פונקציית הגיבוב (hash) הקריפטוגרפית SHA-1 לאבטחת הודעות S/MIME, וגם
- אתם רוצים שהתקשורת הזו תופיע כהודעות מאומתות.
כשהאפשרות הזו נבחרת, מערכת Gmail נותנת אמון לאישורי S/MIME שמצורפים לאימייל נכנס עם SHA-1.
פתרון בעיות בהעלאת אישורים
אם נתקלתם בבעיות בהעלאת אישורים, כדאי לעיין בסיבות האפשריות הבאות ולנסות את הפתרונות המומלצים:
האישור לא עומד בדרישות המינימום למהימנות
מוודאים שהאישור לא נחתם בעצמו, שהוא לא בוטל ואורך המפתח הוא 1, 024 ביט או יותר. אחר כך מנסים להעלות שוב.
עורכים את האישור כדי לשנות את הדומיינים ברשימת הכתובות. לדוגמה, אם העליתם אישורים מותאמים אישית וההודעות עדיין נחשבות לא מהימנות, נסו לערוך את רשימת הדומיינים המותרים של האישור.
החתימה באישור לא תקינה
צריך לוודא שיש לאישור חתימה תקפה ולנסות להעלות אותו שוב.
אישור שתוקפו פג
מוודאים שהתאריך בתעודה נמצא בטווח התאריכים שצוין בשדות Not Before (Date) ו-Not After (Date). אחר כך מנסים להעלות שוב.
שרשרת האישורים מכילה לפחות אישור אחד לא תקף.
מוודאים שפורמט האישור תקין ומנסים להעלות אותו שוב.
האישור מכיל כמה אישורי בסיס
אי אפשר להעלות אישור שמכיל יותר מאישור בסיס אחד. מוודאים שיש באישור רק אישור בסיס אחד, ואז מנסים להעלות אותו שוב.
לא ניתן לנתח את האישור
צריך לוודא שפורמט האישור תקין ואז לנסות להעלות אותו שוב.
השרת מחזיר תגובה לא ידועה
צריך לוודא שפורמט האישור תקין ואז לנסות להעלות אותו שוב.
לא ניתן להעלות את האישור
יכול להיות שהייתה בעיה בחיבור לשרת. בדרך כלל מדובר בבעיה זמנית. יש להמתין כמה דקות ולנסות שוב לבצע את ההעלאה. אם ההעלאה ממשיכה להיכשל, צריך לוודא שהפורמט של האישור תקין.