S/MIME (ऐडवांस) के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard, और Education Plus. अपने वर्शन की तुलना करें

होस्ट किया गया S/MIME और क्लाइंट-साइड एन्क्रिप्शन (सीएसई), Google Workspace की सुविधाएं हैं. इनकी मदद से, आपके उपयोगकर्ता S/MIME ईमेल भेज और पा सकते हैं.

Google, S/MIME के लिए सर्टिफ़िकेट की ज़रूरी शर्तें और भरोसेमंद CA सर्टिफ़िकेट उपलब्ध कराता है. अगर आपके सर्टिफ़िकेट इन ज़रूरी शर्तों को पूरा नहीं करते हैं, तो आपको दिख सकता है कि कुछ ईमेल पर भरोसा नहीं किया जा रहा है. इस समस्या को ठीक करने के लिए, उन रूट सर्टिफ़िकेट अथॉरिटी (सीए) के रूट सर्टिफ़िकेट स्वीकार किए जा सकते हैं जिन पर आपको भरोसा है.

किसी अतिरिक्त रूट सर्टिफ़िकेट को स्वीकार करने के लिए, उसे अपने Google Admin console में जोड़ें. इसके बाद, कम से कम एक ऐसा डोमेन तय करें जिस पर सर्टिफ़िकेट लागू होता है. आपके पास यह विकल्प भी होता है कि आप चाहें, तो सर्टिफ़िकेट के एन्क्रिप्शन लेवल और पुष्टि करने वाली प्रोफ़ाइल में बदलाव करें.

Google Workspace में S/MIME चालू करने का तरीका जानने के लिए, मैसेज को एन्क्रिप्ट करने के लिए, होस्ट किए गए S/MIME को चालू करना पर जाएं. सीएसई के बारे में ज़्यादा जानने के लिए, क्लाइंट-साइड एन्क्रिप्शन के बारे में जानकारी पर जाएं.

इस पेज पर मौजूद जानकारी

रूट सर्टिफ़िकेट के लिए दिशा-निर्देश

Google Workspace में S/MIME के साथ इस्तेमाल करने के लिए, रूट सर्टिफ़िकेट को इन दिशा-निर्देशों का पालन करना होगा:

  • सर्टिफ़िकेट .pem फ़ॉर्मैट में होना चाहिए और इसमें सिर्फ़ एक रूट सर्टिफ़िकेट होना चाहिए.
  • सर्टिफ़िकेट चेन में कम से कम एक इंटरमीडिएट सर्टिफ़िकेट शामिल होना चाहिए.
  • हर सर्टिफ़िकेट चेन में, एंड-यूज़र सर्टिफ़िकेट होना चाहिए. अगर यह शामिल नहीं है, तो Google कम से कम पुष्टि करता है.
  • एंड यूज़र सर्टिफ़िकेट में निजी पासकोड शामिल नहीं होना चाहिए.

अहम जानकारी: चेन में कम से कम एक इंटरमीडिएट सीए सर्टिफ़िकेट होना चाहिए. इसका मतलब है कि रूट को सीधे तौर पर डिजिटल तौर पर साइन किए गए सर्टिफ़िकेट जारी नहीं करने चाहिए.

रूट सर्टिफ़िकेट के लिए डोमेन बदलना

सर्टिफ़िकेट की समयसीमा खत्म होने की तारीख में बदलाव नहीं किया जा सकता. साथ ही, किसी सर्टिफ़िकेट को बदलने के लिए भी बदलाव नहीं किया जा सकता. आपको सर्टिफ़िकेट मिटाकर, नया सर्टिफ़िकेट अपलोड करना होगा. रूट सर्टिफ़िकेट मिटाने से, असली उपयोगकर्ता के उन सर्टिफ़िकेट पर कोई असर नहीं पड़ेगा जिन्हें पहले ही अपलोड किया जा चुका है.

रूट सर्टिफ़िकेट के लिए डोमेन बदलने के लिए:

  1. Google Admin console में, उपयोगकर्ता सेटिंग टैब पर जाकर, S/MIME सेटिंग पर जाएं.
  2. अतिरिक्त रूट सर्टिफ़िकेट की टेबल में, वह सर्टिफ़िकेट चुनें जिसमें आपको बदलाव करना है. इसके बाद, बदलाव करें पर क्लिक करें.
  3. डोमेन अपडेट करें. इसके बाद, सेव करें पर क्लिक करें.

रूट सर्टिफ़िकेट मिटाना

रूट सर्टिफ़िकेट मिटाने के लिए:

  1. Google Admin console में, उपयोगकर्ता सेटिंग टैब पर जाकर, S/MIME सेटिंग पर जाएं.
  2. अतिरिक्त रूट सर्टिफ़िकेट की टेबल में, वह सर्टिफ़िकेट चुनें जिसे आपको हटाना है. इसके बाद, मिटाएं पर क्लिक करें.

डिजिटल हस्ताक्षर करने और एन्क्रिप्ट (सुरक्षित) करने के लिए, अलग-अलग सर्टिफ़िकेट इस्तेमाल करना

यह सुविधा सिर्फ़ सीएसई के साथ उपलब्ध है. यह सुविधा, होस्ट किए गए S/MIME के साथ उपलब्ध नहीं है.

आम तौर पर, संगठन मैसेज पर डिजिटल हस्ताक्षर करने और उन्हें एन्क्रिप्ट (सुरक्षित) करने के लिए एक ही सर्टिफ़िकेट का इस्तेमाल करते हैं. हालांकि, अगर आपके संगठन को मैसेज पर हस्ताक्षर करने और उन्हें एन्क्रिप्ट (सुरक्षित) करने के लिए अलग-अलग सर्टिफ़िकेट की ज़रूरत है, तो Gmail CSE API का इस्तेमाल करें. इससे हर उपयोगकर्ता के लिए, एन्क्रिप्शन का सार्वजनिक सर्टिफ़िकेट और हस्ताक्षर का सार्वजनिक सर्टिफ़िकेट अपलोड किया जा सकता है.

उपयोगकर्ता के सर्टिफ़िकेट मैनेज करने के लिए, Gmail CSE API का इस्तेमाल करने के बारे में ज़्यादा जानें.

डोमेन के बीच S/MIME मैसेज का आदान-प्रदान करना

अलग-अलग डोमेन के लोगों को S/MIME मैसेज भेजने और उनसे मैसेज पाने की सुविधा देने के लिए, आपको Google Admin console में कुछ अतिरिक्त कार्रवाइयां करनी पड़ सकती हैं. यहां दिए गए सुझावों के मुताबिक, यह तरीका अपनाएं. यह इस बात पर निर्भर करता है कि डोमेन के लिए उपयोगकर्ता सर्टिफ़िकेट कैसे जारी किए जाते हैं.

  • दोनों डोमेन के उपयोगकर्ता सर्टिफ़िकेट, भरोसेमंद रूट सीए (सर्टिफ़िकेट देने वाली संस्था) ने जारी किए हों: अगर दोनों डोमेन के सभी उपयोगकर्ता सर्टिफ़िकेट, Google के भरोसेमंद रूट सीए ने जारी किए हैं, तो आपको कोई अतिरिक्त कार्रवाई करने की ज़रूरत नहीं है. Gmail, इन रूट CA सर्टिफ़िकेट पर हमेशा भरोसा करता है.

  • दोनों डोमेन के उपयोगकर्ता सर्टिफ़िकेट, एक ही ऐसे रूट CA ने जारी किए हैं जिस पर भरोसा नहीं किया जाता: इस मामले में, किसी ऐसे रूट CA ने उपयोगकर्ता सर्टिफ़िकेट जारी किए हैं जिस पर भरोसा नहीं किया जाता. ये सर्टिफ़िकेट, आपके डोमेन और उस डोमेन के लिए जारी किए गए हैं जिसके साथ आपको S/MIME मैसेज शेयर करने हैं.

    होस्ट किए गए S/MIME को चालू करें में दिए गए चरणों का पालन करके, Google Admin console में ऐसे रूट CA को जोड़ें जिस पर भरोसा नहीं किया जाता. रूट सर्टिफ़िकेट जोड़ें बॉक्स में, पतों की सूची फ़ील्ड में जाकर दूसरा डोमेन डालें.

  • किसी डोमेन के उपयोगकर्ता के सर्टिफ़िकेट, किसी गैर-भरोसेमंद रूट सीए ने जारी किए हैं: इस मामले में, किसी डोमेन के उपयोगकर्ता के सर्टिफ़िकेट, किसी गैर-भरोसेमंद रूट सीए ने जारी किए हैं. दूसरे डोमेन के उपयोगकर्ता सर्टिफ़िकेट, किसी दूसरे रूट CA ने जारी किए हैं.

    होस्ट किए गए S/MIME की सुविधा चालू करना में दिए गए चरणों का पालन करके, दूसरे डोमेन के रूट सीए को अपने Google Admin console में जोड़ें. रूट सर्टिफ़िकेट जोड़ें बॉक्स में, पतों की सूची फ़ील्ड में जाकर दूसरा डोमेन डालें.

ज़रूरत होने पर ही इस्तेमाल करें

इस सेक्शन में दिए गए सर्टिफ़िकेट के विकल्पों का इस्तेमाल सिर्फ़ तब करें, जब ज़रूरी हो. साथ ही, यह पक्का करें कि आपको इन विकल्पों का इस्तेमाल करने पर पड़ने वाले संभावित असर के बारे में पता हो.

कभी-कभी, किसी उपयोगकर्ता के सर्टिफ़िकेट से जुड़ा ईमेल पता, उसके मुख्य ईमेल पते से अलग हो सकता है. उदाहरण के लिए, ब्रैंडन फ़ाम के सर्टिफ़िकेट में ईमेल पता b.pham@solarmora.com का इस्तेमाल किया गया है. हालांकि, ब्रैंडन अपने ज़्यादातर काम के ईमेल के लिए, brandon.pham@solarmora.com पते का इस्तेमाल करता है. इसे सर्टिफ़िकेट का मेल न खाना कहते हैं.

अहम जानकारी: सुरक्षा की वजहों से, Google का सुझाव है कि सर्टिफ़िकेट के मेल न खाने की अनुमति सिर्फ़ तब दें, जब आपके संगठन को इस सुविधा की ज़रूरत हो. इस विकल्प के चालू होने पर, उपयोगकर्ताओं और एडमिन को प्रमाणपत्र के मेल न खाने पर चेतावनी नहीं मिलेगी. ऐसा किसी अनधिकृत या दुर्भावनापूर्ण उपयोगकर्ता की वजह से हो सकता है.

सर्टिफ़िकेट के मेल न खाने की अनुमति दें विकल्प सिर्फ़ सीएसई के साथ उपलब्ध है. यह होस्ट किए गए S/MIME के साथ उपलब्ध नहीं है. सर्टिफ़िकेट से मेल न खाने वाले ईमेल पतों को अनुमति देने के लिए, CSE को सेट अप करने के लिए, होस्ट किए गए S/MIME की सेटिंग में रूट सर्टिफ़िकेट जोड़ते समय, सर्टिफ़िकेट से मेल न खाने वाले ईमेल पतों का विकल्प चुनें. रूट सर्टिफ़िकेट जोड़ने का तरीका जानें.

सर्टिफ़िकेट के मेल न खाने की अनुमति दें विकल्प चुनने पर, ईमेल पाने वाले लोग, सर्टिफ़िकेट के मेल न खाने की समस्या वाले ईमेल को डिक्रिप्ट करके पढ़ सकते हैं. सर्टिफ़िकेट के मेल न खाने वाले पिछले मैसेज (सेटिंग चालू होने से पहले मिले मैसेज) को भी डिक्रिप्ट और पढ़ा जा सकता है. हालांकि, उपयोगकर्ता के सर्टिफ़िकेट से जुड़ा ईमेल पता, ईमेल पाने वाले के संपर्कों में सेव नहीं किया जाता. ईमेल पतों को सिंक करने और सेव करने के लिए, Google Cloud Directory Sync का इस्तेमाल करें.

सर्टिफ़िकेट के न मिलने पर भी अनुमति दें विकल्प, सिर्फ़ संगठन के संपर्कों या GCDS के साथ सिंक किए गए संपर्कों के लिए काम करता है. यह बाहरी संपर्कों के लिए काम नहीं करता.

कुछ ईमेल क्लाइंट, SHA-1 हैश किए गए सिग्नेचर की अनुमति देते हैं. हालांकि, ये सिग्नेचर भरोसेमंद नहीं माने जाते. ऐसा इसलिए है, क्योंकि सुरक्षा से जुड़ी समस्याओं की वजह से SHA-1 को बंद कर दिया गया है.

S/MIME सेटिंग में नया रूट सर्टिफ़िकेट जोड़ते समय, SHA-1 को सभी के लिए अनुमति दें विकल्प सिर्फ़ तब चुनें, जब:

  • आपका संगठन, S/MIME मैसेज की सुरक्षा के लिए SHA-1 क्रिप्टोग्राफ़िक हैश फ़ंक्शन का इस्तेमाल करता है और
  • आपको इन कम्यूनिकेशन को भरोसेमंद के तौर पर दिखाना है.

इस विकल्प को चुनने पर, Gmail, SHA-1 के साथ आने वाले ईमेल से जुड़े S/MIME सर्टिफ़िकेट पर भरोसा करता है.

सर्टिफ़िकेट अपलोड करने से जुड़ी समस्याओं को हल करना

अगर आपको सर्टिफ़िकेट अपलोड करने में समस्याएं आ रही हैं, तो इसकी संभावित वजहें देखें और सुझाई गई कार्रवाइयां करके देखें:

यह सर्टिफ़िकेट, भरोसेमंद होने की ज़रूरी शर्तें पूरी नहीं करता

पुष्टि करें कि सर्टिफ़िकेट पर खुद के हस्ताक्षर न हों, उसे रद्द न किया गया हो, और कुंजी की लंबाई 1024 बिट या उससे ज़्यादा हो. इसके बाद, फिर से अपलोड करने की कोशिश करें.

पते की सूची में डोमेन बदलने के लिए, सर्टिफ़िकेट में बदलाव करें. उदाहरण के लिए, अगर आपने कस्टम सर्टिफ़िकेट अपलोड किए हैं और ईमेल को अब भी भरोसेमंद नहीं माना जा रहा है, तो मंज़ूरी वाले डोमेन की सूची में बदलाव करके देखें.

सर्टिफ़िकेट का हस्ताक्षर अमान्य है

पुष्टि करें कि सर्टिफ़िकेट पर मान्य हस्ताक्षर है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट की समयसीमा खत्म हो गई है

पुष्टि करें कि सर्टिफ़िकेट पर दी गई तारीख, इस तारीख से पहले मान्य नहीं है (तारीख) और इस तारीख के बाद मान्य नहीं है (तारीख) फ़ील्ड में दी गई तारीख की सीमा के अंदर हो. इसके बाद, फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट चेन में कम से कम एक अमान्य सर्टिफ़िकेट मौजूद है.

पुष्टि करें कि प्रमाणपत्र सही तरीके से फ़ॉर्मैट किया गया है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट में एक से ज़्यादा रूट सर्टिफ़िकेट शामिल हैं

एक से ज़्यादा रूट सर्टिफ़िकेट वाला सर्टिफ़िकेट अपलोड नहीं किया जा सकता. पुष्टि करें कि सर्टिफ़िकेट में सिर्फ़ एक रूट सर्टिफ़िकेट है. इसके बाद, इसे फिर से अपलोड करें.

सर्टिफ़िकेट को पार्स नहीं किया जा सका

पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्वर से कोई अनजान जवाब मिला

पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही है. इसके बाद, इसे फिर से अपलोड करने की कोशिश करें.

सर्टिफ़िकेट अपलोड नहीं किया जा सका

सर्वर से कनेक्ट करने में कोई समस्या हो सकती है. आम तौर पर, यह समस्या कुछ समय के लिए होती है. कुछ मिनट इंतज़ार करने के बाद, वीडियो को फिर से अपलोड करने की कोशिश करें. अगर अब भी प्रमाणपत्र अपलोड नहीं हो रहा है, तो पुष्टि करें कि प्रमाणपत्र का फ़ॉर्मैट सही है.

मैसेज को एन्क्रिप्ट (सुरक्षित) करने के लिए, होस्ट किए गए S/MIME की सुविधा चालू करना