Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard và Education Plus. So sánh phiên bản của bạn
S/MIME được lưu trữ và tính năng mã hoá phía máy khách (CSE) là các tính năng của Google Workspace giúp người dùng gửi và nhận thư email S/MIME.
Google cung cấp các yêu cầu về chứng chỉ và chứng chỉ CA đáng tin cậy cho S/MIME. Nếu chứng chỉ của bạn không đáp ứng các yêu cầu này, bạn có thể nhận thấy rằng một số thông báo không được tin cậy. Để khắc phục vấn đề này, bạn có thể chấp nhận các chứng chỉ gốc khác của các tổ chức phát hành chứng chỉ (CA) gốc mà bạn tin tưởng.
Để chấp nhận một chứng chỉ gốc bổ sung, hãy thêm chứng chỉ đó vào Bảng điều khiển dành cho quản trị viên của Google. Sau đó, hãy chỉ định ít nhất một miền mà chứng chỉ áp dụng. Bạn cũng có thể điều chỉnh mức mã hoá và hồ sơ xác thực của chứng chỉ (không bắt buộc).
Để biết các bước chi tiết về cách bật S/MIME trong Google Workspace, hãy xem bài viết Bật S/MIME được lưu trữ để mã hoá thư. Để tìm hiểu thêm về CSE, hãy xem bài viết Giới thiệu về tính năng mã hoá phía máy khách.
Trên trang này
- Nguyên tắc về chứng chỉ gốc
- Thay đổi miền cho chứng chỉ gốc
- Xoá chứng chỉ gốc
- Trao đổi thư S/MIME giữa các miền
- Sử dụng các chứng chỉ khác nhau để ký và mã hoá
- Cho phép chứng chỉ không khớp (không nên dùng)
- Cho phép SHA-1 (không nên dùng)
- Khắc phục vấn đề khi tải chứng chỉ gốc lên
Nguyên tắc về chứng chỉ gốc
Chứng chỉ gốc phải đáp ứng các nguyên tắc sau để được sử dụng với S/MIME trong Google Workspace:
- Chứng chỉ phải ở định dạng .pem và chỉ chứa một chứng chỉ gốc.
- Chuỗi chứng chỉ phải có ít nhất một chứng chỉ trung gian.
- Mỗi chuỗi chứng chỉ phải có một chứng chỉ người dùng cuối. Nếu không có thông tin này, Google sẽ thực hiện quy trình xác minh tối thiểu.
- Chứng chỉ người dùng cuối không được chứa khoá riêng tư.
Lưu ý quan trọng: Phải có ít nhất một chứng chỉ CA trung gian trong chuỗi. Tức là gốc không được trực tiếp phát hành chứng chỉ thực thể cuối.
Thay đổi miền cho chứng chỉ gốc
Bạn không thể chỉnh sửa ngày hết hạn của chứng chỉ hoặc chỉnh sửa để thay thế chứng chỉ. Bạn phải xoá chứng chỉ đó và tải một chứng chỉ mới lên. Việc xoá chứng chỉ gốc sẽ không ảnh hưởng đến bất kỳ chứng chỉ người dùng cuối nào đã được tải lên.
Cách thay đổi miền cho chứng chỉ gốc:
- Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến chế độ cài đặt S/MIME trên thẻ Cài đặt người dùng.
- Trong bảng các chứng chỉ gốc bổ sung, hãy chọn chứng chỉ mà bạn muốn thay đổi, sau đó nhấp vào Chỉnh sửa.
- Cập nhật miền, sau đó nhấp vào Lưu.
Xoá chứng chỉ gốc
Cách xoá chứng chỉ gốc:
- Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến chế độ cài đặt S/MIME trên thẻ Cài đặt người dùng.
- Trong bảng các chứng chỉ gốc bổ sung, hãy chọn chứng chỉ bạn muốn xoá rồi nhấp vào Xoá.
Sử dụng các chứng chỉ khác nhau để ký và mã hoá
Tính năng này chỉ có trong CSE. Tính năng này không hoạt động với S/MIME được lưu trữ.
Thông thường, các tổ chức sử dụng một chứng chỉ duy nhất cho cả việc ký và mã hoá thư. Tuy nhiên, nếu tổ chức của bạn yêu cầu các chứng chỉ khác nhau để ký và mã hoá thư, hãy sử dụng API CSE của Gmail để tải chứng chỉ công khai mã hoá và chứng chỉ công khai chữ ký lên cho từng người dùng.
Tìm hiểu thêm về cách sử dụng API CSE của Gmail để quản lý chứng chỉ người dùng.
Trao đổi thư S/MIME giữa các miền
Để cho phép người dùng ở các miền khác nhau trao đổi thư S/MIME, bạn có thể cần thực hiện thêm một số bước trong Bảng điều khiển dành cho quản trị viên của Google. Làm theo các bước được đề xuất tại đây, dựa trên cách chứng chỉ người dùng được cấp cho miền.
- Cả hai chứng chỉ người dùng của miền đều do một CA gốc đáng tin cậy cấp: Khi tất cả chứng chỉ người dùng trong cả hai miền đều do một CA gốc mà Google tin tưởng cấp, bạn không cần thực hiện thêm bước nào. Gmail luôn tin tưởng các chứng chỉ CA gốc này.
Cả hai chứng chỉ người dùng của miền đều do cùng một CA gốc không đáng tin cậy cấp: Trong trường hợp này, một CA gốc không đáng tin cậy đã cấp chứng chỉ người dùng cho miền của bạn và miền mà bạn muốn trao đổi thư S/MIME.
Thêm CA gốc không đáng tin cậy vào Bảng điều khiển dành cho quản trị viên của Google, theo các bước trong phần Bật S/MIME được lưu trữ. Trong hộp Thêm chứng chỉ gốc, hãy nhập miền khác vào trường Danh sách địa chỉ.
Chứng chỉ người dùng của một miền do một CA gốc không đáng tin cậy phát hành: Trong trường hợp này, chứng chỉ người dùng của một miền do một CA gốc không đáng tin cậy phát hành. Chứng chỉ người dùng của miền khác do một CA gốc khác cấp.
Thêm CA gốc của miền kia vào Bảng điều khiển dành cho quản trị viên của Google, theo các bước trong phần Bật S/MIME được lưu trữ. Trong hộp Thêm chứng chỉ gốc, hãy nhập miền khác vào trường Danh sách địa chỉ.
Chỉ sử dụng khi cần thiết
Chỉ sử dụng các lựa chọn về chứng chỉ trong phần này khi cần thiết và đảm bảo bạn hiểu rõ những tác động có thể xảy ra khi sử dụng các lựa chọn đó.
Cho phép chứng chỉ không khớp (không nên làm)
Đôi khi, địa chỉ email liên kết với chứng chỉ của người dùng có thể khác với địa chỉ email chính của người dùng. Ví dụ: Chứng chỉ của Brandon Pham sử dụng địa chỉ email b.pham@solarmora.com, nhưng Brandon sử dụng địa chỉ brandon.pham@solarmora.com cho hầu hết các email công việc của mình. Đây được gọi là lỗi chứng chỉ không khớp.
Quan trọng: Vì lý do bảo mật, Google khuyến nghị bạn chỉ cho phép lỗi không khớp chứng chỉ khi tổ chức của bạn yêu cầu tính năng này. Khi lựa chọn này ở trạng thái bật, người dùng và quản trị viên sẽ không nhận được cảnh báo khi có sự không khớp về chứng chỉ. Điều này có thể là do người dùng trái phép hoặc người dùng độc hại gây ra.
Lựa chọn Cho phép chứng chỉ không khớp chỉ có trong CSE chứ không có trong S/MIME được lưu trữ. Để thiết lập CSE cho phép chứng chỉ không khớp, hãy chọn tuỳ chọn chứng chỉ không khớp khi bạn thêm chứng chỉ gốc trong chế độ cài đặt S/MIME được lưu trữ. Hãy xem các bước chi tiết để thêm chứng chỉ gốc.
Khi bạn chọn chế độ Cho phép chứng chỉ không khớp, người nhận có thể giải mã và đọc thư đến có chứng chỉ không khớp. Bạn cũng có thể giải mã và đọc những thư trước đây có chứng chỉ không khớp (nhận được trước khi bạn bật chế độ cài đặt này). Tuy nhiên, địa chỉ email liên kết với chứng chỉ của người dùng sẽ không được lưu vào danh bạ của người nhận. Để đồng bộ hoá và lưu địa chỉ email, hãy dùng Google Cloud Directory Sync.
Lựa chọn Cho phép không khớp chứng chỉ chỉ hoạt động đối với người liên hệ nội bộ hoặc người liên hệ được đồng bộ hoá với GCDS. Tính năng này không hoạt động đối với người liên hệ bên ngoài.
Cho phép SHA-1 (không nên)
Mặc dù một số ứng dụng email cho phép sử dụng chữ ký băm SHA-1, nhưng những chữ ký này có vẻ không đáng tin cậy. Lý do là vì SHA-1 đã ngừng hoạt động do các vấn đề về bảo mật.
Khi bạn thêm một chứng chỉ gốc mới vào chế độ cài đặt S/MIME, chỉ chọn tuỳ chọn Cho phép SHA-1 trên toàn cầu nếu:
- Tổ chức của bạn giao tiếp bằng hàm băm mật mã SHA-1 để bảo mật thư S/MIME, và
- Bạn muốn những thông tin liên lạc này xuất hiện dưới dạng thông tin đáng tin cậy.
Khi bạn chọn chế độ này, Gmail sẽ tin tưởng các chứng chỉ S/MIME được đính kèm vào thư đến bằng SHA-1.
Khắc phục sự cố khi tải chứng chỉ lên
Nếu bạn gặp vấn đề khi tải chứng chỉ lên, hãy xem xét các nguyên nhân có thể xảy ra và thử các giải pháp được đề xuất sau:
Chứng chỉ không đáp ứng yêu cầu tối thiểu để được tin cậy
Xác minh rằng chứng chỉ không phải là chứng chỉ tự ký, chưa bị thu hồi và độ dài khoá từ 1024 bit trở lên. Sau đó, hãy thử tải lên lại.
Chỉnh sửa chứng chỉ để thay đổi miền trong danh sách địa chỉ. Ví dụ: nếu bạn đã tải chứng chỉ tuỳ chỉnh lên và thư vẫn bị coi là không đáng tin cậy, hãy thử chỉnh sửa danh sách các miền được phép của chứng chỉ.
Chữ ký của chứng chỉ không hợp lệ
Xác minh rằng chứng chỉ có chữ ký hợp lệ rồi thử tải lên lại.
Chứng chỉ đã hết hạn
Xác minh rằng ngày trên chứng chỉ nằm trong phạm vi ngày được chỉ định trong các trường Không được cấp trước (Ngày) và Không được cấp sau (Ngày). Sau đó, hãy thử tải lên lại.
Chuỗi chứng chỉ có ít nhất một chứng chỉ không hợp lệ.
Xác minh rằng chứng chỉ được định dạng đúng cách rồi thử tải lên lại.
Chứng chỉ chứa nhiều chứng chỉ gốc
Bạn không thể tải chứng chỉ có chứa nhiều chứng chỉ gốc lên. Xác minh rằng chứng chỉ chỉ có một chứng chỉ gốc, rồi thử tải lên lại.
Không phân tích cú pháp được chứng chỉ
Xác minh rằng chứng chỉ được định dạng đúng, rồi thử tải lên lại.
Máy chủ trả về một phản hồi không xác định
Xác minh rằng chứng chỉ được định dạng đúng, rồi thử tải lên lại.
Không tải được chứng chỉ lên
Có thể đã xảy ra sự cố khi kết nối với máy chủ. Đây thường là vấn đề tạm thời. Hãy chờ vài phút rồi thử tải lên lại. Nếu quá trình tải lên tiếp tục không thành công, hãy xác minh rằng chứng chỉ được định dạng đúng cách.