Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard, dan Education Plus. Bandingkan edisi Anda
S/MIME yang dihosting dan Enkripsi sisi klien (CSE) adalah fitur Google Workspace yang memungkinkan pengguna Anda mengirim dan menerima pesan email S/MIME.
Google memberikan persyaratan sertifikat dan Sertifikat CA tepercaya untuk S/MIME. Jika sertifikat Anda tidak memenuhi persyaratan ini, Anda mungkin akan melihat bahwa pesan tertentu tidak tepercaya. Untuk memperbaikinya, Anda dapat menerima root certificate lain, dari root certificate authority (CA) yang Anda percayai.
Untuk menerima root certificate tambahan, tambahkan root certificate di konsol Google Admin Anda. Kemudian, tentukan minimal satu domain tempat sertifikat diterapkan. Anda juga dapat menyesuaikan profil validasi dan tingkat enkripsi sertifikat (opsional).
Untuk melihat detail langkah-langkah mengaktifkan S/MIME di Google Workspace, buka Mengaktifkan S/MIME yang dihosting untuk enkripsi pesan. Untuk mempelajari CSE lebih lanjut, buka Tentang enkripsi sisi klien.
Di halaman ini
- Panduan root certificate
- Mengubah domain root certificate
- Menghapus root certificate
- Bertukar pesan S/MIME antar-domain
- Menggunakan sertifikat yang berbeda untuk pemberian tanda tangan dan enkripsi
- Mengizinkan ketidakcocokan sertifikat (tidak direkomendasikan)
- Mengizinkan SHA-1 (tidak direkomendasikan)
- Memecahkan masalah upload root certificate
Panduan root certificate
Root certificate harus memenuhi panduan berikut agar dapat digunakan dengan S/MIME di Google Workspace:
- Sertifikat harus dalam format .pem dan hanya berisi satu root certificate.
- Rantai sertifikat harus berisi minimal satu intermediate certificate.
- Setiap rantai sertifikat harus memiliki sertifikat pengguna akhir. Jika tidak ada, Google hanya dapat melakukan verifikasi minimum.
- Sertifikat pengguna akhir tidak boleh berisi kunci pribadi.
Penting: Setidaknya satu sertifikat CA perantara harus ada di dalam rantai. Artinya, root tidak boleh menerbitkan sertifikat entitas akhir secara langsung.
Mengubah domain root certificate
Anda tidak dapat mengedit tanggal habis masa berlaku sertifikat maupun mengganti sertifikat terkait. Anda harus menghapus sertifikat dan mengupload yang baru. Menghapus root certificate tidak akan memengaruhi sertifikat pengguna akhir apa pun yang sudah diupload.
Guna mengubah domain untuk root certificate:
- Di konsol Google Admin, buka setelan S/MIME pada tab Setelan Pengguna.
- Di tabel root certificate tambahan, pilih sertifikat yang ingin diubah, lalu klik Edit.
- Perbarui domain, lalu klik Simpan.
Menghapus root certificate
Untuk menghapus root certificate:
- Di konsol Google Admin, buka setelan S/MIME pada tab Setelan Pengguna.
- Di tabel root certificate tambahan, pilih sertifikat yang ingin dihapus, lalu klik Hapus.
Menggunakan sertifikat yang berbeda untuk pemberian tanda tangan dan enkripsi
Fitur ini hanya tersedia dengan CSE. Data ini tidak tersedia dengan S/MIME yang dihosting.
Biasanya, organisasi akan menggunakan satu sertifikat untuk menandatangani dan mengenkripsi pesan. Namun, jika organisasi Anda memerlukan sertifikat lain untuk menandatangani dan mengenkripsi pesan, gunakan Gmail CSE API untuk mengupload sertifikat publik enkripsi dan sertifikat publik tanda tangan bagi setiap pengguna.
Pelajari lebih lanjut cara menggunakan Gmail CSE API untuk mengelola sertifikat pengguna.
Bertukar pesan S/MIME antar-domain
Untuk mengizinkan orang di domain yang berbeda bertukar pesan S/MIME, Anda mungkin perlu melakukan beberapa langkah tambahan di konsol Google Admin Anda. Ikuti langkah-langkah yang direkomendasikan di sini, berdasarkan cara sertifikat pengguna diterbitkan untuk domain.
- Sertifikat pengguna di kedua domain diterbitkan oleh root CA tepercaya: Jika semua sertifikat pengguna di kedua domain diterbitkan oleh root CA tepercaya Google, Anda tidak perlu melakukan langkah tambahan. Sertifikat root CA ini selalu dipercaya oleh Gmail.
Sertifikat pengguna di kedua domain yang diterbitkan oleh root CA yang sama dan tidak tepercaya: Dalam hal ini, root CA yang tidak tepercaya menerbitkan sertifikat pengguna untuk domain Anda dan domain yang ingin Anda gunakan untuk bertukar pesan S/MIME.
Tambahkan root CA yang tidak tepercaya ke konsol Google Admin Anda, dengan mengikuti langkah-langkah di Mengaktifkan S/MIME yang dihosting. Di kotak Tambahkan root certificate, masukkan domain lain di kolom Daftar alamat.
Masalah sertifikat pengguna di satu domain oleh root CA yang tidak tepercaya: Dalam hal ini, sertifikat pengguna di satu domain diterbitkan oleh root CA yang tidak tepercaya. Sertifikat pengguna di domain lain diterbitkan oleh root CA yang berbeda.
Tambahkan root CA pada domain lain ke konsol Google Admin Anda, dengan mengikuti langkah-langkah di Mengaktifkan S/MIME yang dihosting. Di kotak Tambahkan root certificate, masukkan domain lain di kolom Daftar alamat.
Gunakan hanya jika diperlukan
Gunakan opsi sertifikat di bagian ini hanya jika diperlukan, dan pastikan Anda memahami kemungkinan dampaknya saat menggunakannya.
Mengizinkan ketidakcocokan sertifikat (tidak direkomendasikan)
Terkadang, alamat email yang berkaitan dengan sertifikat pengguna dapat berbeda dari alamat email utama pengguna. Misalnya, sertifikat Budi Raharjo menggunakan alamat email b.raharjo@solarmora.com, tetapi Budi menggunakan alamat budi.raharjo@solarmora.com untuk sebagian besar email kantornya. Hal ini disebut ketidakcocokan sertifikat.
Penting: Demi alasan keamanan, Google merekomendasikan untuk mengizinkan ketidakcocokan sertifikat hanya jika fitur ini diperlukan oleh organisasi Anda. Jika opsi ini aktif, pengguna dan admin tidak akan mendapatkan peringatan saat ada ketidakcocokan sertifikat dari pengguna yang tidak sah atau berniat jahat.
Opsi Izinkan ketidakcocokan sertifikat hanya tersedia dengan CSE, bukan dengan S/MIME yang dihosting. Untuk menyiapkan CSE dan memungkinkan ketidakcocokan sertifikat, pilih opsi ketidakcocokan sertifikat saat menambahkan root certificate di setelan S/MIME yang dihosting. Lihat langkah-langkah mendetail untuk menambahkan root certificate.
Jika opsi Izinkan ketidakcocokan sertifikat dipilih, penerima dapat mendekripsi dan melihat pesan masuk dengan ketidakcocokan sertifikat. Pesan sebelumnya dengan ketidakcocokan sertifikat (yang diterima sebelum setelan diaktifkan) juga dapat didekripsi dan dibaca. Namun, alamat email yang terkait dengan sertifikat pengguna tidak disimpan ke kontak penerima. Untuk menyinkronkan dan menyimpan alamat email, gunakan Google Cloud Directory Sync.
Opsi Izinkan ketidakcocokan sertifikat hanya berfungsi untuk kontak internal atau kontak yang disinkronkan dengan GCDS. Fitur ini tidak berfungsi untuk kontak eksternal.
Izinkan SHA-1 (tidak direkomendasikan)
Meskipun beberapa program email mengizinkan tanda tangan SHA-1 yang di-hash, tanda tangan ini ditampilkan sebagai tidak tepercaya. Hal ini karena SHA-1 tidak digunakan lagi akibat terjadi masalah keamanan.
Saat menambahkan root certificate baru ke setelan S/MIME, pilih opsi Izinkan SHA-1 secara global hanya jika:
- Organisasi Anda berkomunikasi menggunakan fungsi hash kriptografi SHA-1 untuk keamanan pesan S/MIME, dan
- Anda ingin komunikasi ini ditampilkan sebagai tepercaya.
Jika opsi ini dipilih, Gmail akan memercayai sertifikat S/MIME yang dilampirkan ke email masuk dengan SHA-1.
Memecahkan masalah upload sertifikat
Jika Anda mengalami masalah saat mengupload sertifikat, tinjau kemungkinan penyebab ini dan coba solusi yang direkomendasikan:
Sertifikat tidak memenuhi persyaratan minimum untuk dipercaya
Pastikan sertifikat tidak ditandatangani sendiri, tidak dicabut, dan panjang kunci adalah 1024 bit atau lebih. Kemudian, coba upload lagi.
Edit sertifikat untuk mengubah domain di daftar alamat. Misalnya, jika Anda telah mengupload sertifikat kustom dan pesan masih dianggap tidak tepercaya, coba edit daftar domain yang diizinkan di sertifikat.
Tanda tangan sertifikat tidak valid
Pastikan sertifikat memiliki tanda tangan yang valid, lalu coba upload lagi.
Masa berlaku sertifikat habis
Pastikan tanggal pada sertifikat berada dalam rentang tanggal yang ditentukan di kolom Tidak Sebelum (Tanggal) dan Tidak Setelah (Tanggal). Kemudian, coba upload lagi.
Rantai sertifikat memiliki setidaknya satu sertifikat yang tidak valid.
Pastikan sertifikat diformat dengan benar, lalu coba upload lagi.
Sertifikat berisi beberapa root certificate
Anda tidak dapat mengupload sertifikat yang berisi lebih dari satu root certificate. Pastikan sertifikat hanya memiliki satu root certificate, lalu coba upload lagi.
Sertifikat tidak dapat diuraikan
Pastikan sertifikat diformat dengan benar, lalu coba upload lagi.
Server menampilkan respons yang tidak diketahui
Pastikan sertifikat diformat dengan benar, lalu coba upload lagi.
Sertifikat tidak dapat diupload
Mungkin terjadi masalah saat menghubungkan ke server. Masalah ini biasanya bersifat sementara. Tunggu beberapa menit, lalu coba upload lagi. Jika upload terus gagal, pastikan sertifikat diformat dengan benar.