मैसेज को एन्क्रिप्ट करने के लिए, होस्ट किए गए S/MIME की सुविधा चालू करना

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Plus, Enterprise Plus, Education Fundamentals, Education Standard, और Education Plus. अपने वर्शन की तुलना करें

अपने संगठन के लोगों को फ़िशिंग, नुकसान पहुंचाने वाले अटैचमेंट, और ईमेल से जुड़े अन्य खतरों से बचाने के लिए, Google Admin console में होस्ट किए गए सिक्योर/मल्टीपर्पज़ इंटरनेट मेल एक्सटेंशन (एस/एमआईएमई) सेट अप किए जा सकते हैं. S/MIME, ईमेल को एन्क्रिप्ट (सुरक्षित) करके और मैसेज में डिजिटल हस्ताक्षर जोड़कर, ईमेल की सुरक्षा को बेहतर बनाता है. मैसेज को डिक्रिप्ट करने के लिए, सार्वजनिक और निजी पासकोड का इस्तेमाल किया जाता है. S/MIME को होस्ट करने पर, एन्क्रिप्शन के लिए S/MIME का इस्तेमाल करने वाला संगठन, निजी कुंजी को सेव करता है.

आपके पास यह तय करने का विकल्प होता है कि भेजे जाने वाले मैसेज या किसी खास तरह का कॉन्टेंट शामिल करने वाले मैसेज के लिए, S/MIME का इस्तेमाल करना ज़रूरी है या नहीं. भेजे जाने वाले मैसेज के लिए S/MIME एन्क्रिप्शन ज़रूरी करना लेख में जाकर ज़्यादा जानें.

सीएसई की तुलना में एस/एमआईएमई

Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) की सुविधा का इस्तेमाल करके, उपयोगकर्ता एन्क्रिप्ट (सुरक्षित) किए गए S/MIME मैसेज भेज और पा सकते हैं. हालांकि, सीएसई की मदद से, निजी कुंजियों को बाहरी कुंजी सेवा मैनेज करती है. इससे निजता और डेटा की सुरक्षा बढ़ती है. सीएसई के बारे में ज़्यादा जानें.

पहला चरण: Google Admin console में, होस्ट किए गए S/MIME की सुविधा चालू करना

  1. Google Admin console में, मेन्यू इसके बाद  ऐप्लिकेशन इसके बाद Google Workspace इसके बाद Gmail इसके बाद उपयोगकर्ता की सेटिंग पर जाएं.

    इसके लिए, आपके पास Gmail की सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. बाईं ओर, संगठन में जाकर, वह डोमेन या संगठन चुनें जिसे आपको कॉन्फ़िगर करना है.

    अहम जानकारी: रूट सर्टिफ़िकेट अपलोड और मैनेज करने के लिए, S/MIME के ऐडवांस कंट्रोल का इस्तेमाल करने के लिए, आपको टॉप-लेवल के संगठन के लिए S/MIME की सुविधा चालू करनी होगी. आम तौर पर, यह आपका डोमेन होता है. S/MIME और रूट सर्टिफ़िकेट के बारे में ज़्यादा जानें.

  3. S/MIME सेटिंग पर जाएं और ईमेल भेजने और पाने के लिए S/MIME एन्क्रिप्शन चालू करें बॉक्स पर सही का निशान लगाएं.

  4. (ज़रूरी नहीं) अपने संगठन के लोगों को सर्टिफ़िकेट अपलोड करने की अनुमति देने के लिए, उपयोगकर्ताओं को अपने सर्टिफ़िकेट अपलोड करने की अनुमति दें बॉक्स पर सही का निशान लगाएं.

  5. (वैकल्पिक अतिरिक्त कंट्रोल) रूट सर्टिफ़िकेट अपलोड और मैनेज करने के लिए:

    1. खास डोमेन के लिए इन अतिरिक्त रूट सर्टिफ़िकेट को स्वीकार करें के बगल में मौजूद, जोड़ें पर क्लिक करें.
    2. रूट सर्टिफ़िकेट जोड़ें विंडो में, रूट सर्टिफ़िकेट अपलोड करें पर क्लिक करें.
    3. सर्टिफ़िकेट फ़ाइल चुनने के लिए ब्राउज़ करें और खोलें पर क्लिक करें. सर्टिफ़िकेट के लिए, पुष्टि करने वाला मैसेज दिखता है. इस मैसेज में विषय का नाम और समयसीमा खत्म होने की तारीख शामिल होती है.
    4. सुरक्षित करने के तरीके का लेवल में जाकर,वह लेवल चुनें जिसका इस्तेमाल इस सर्टिफ़िकेट के साथ करना है.
    5. पतों की सूची में जाकर, कम से कम एक ऐसा डोमेन डालें जो कम्यूनिकेट करते समय रूट सर्टिफ़िकेट का इस्तेमाल करेगा. कई डोमेन हों, तो उनके बीच कॉमा लगाएं. डोमेन नेम में वाइल्डकार्ड शामिल किए जा सकते हैं. डोमेन नेम में वाइल्डकार्ड इस्तेमाल करने के बारे में ज़्यादा जानने के लिए, RFC 6125 देखें.

    6. (ज़रूरी नहीं) अगर आपको किसी उपयोगकर्ता के मुख्य ईमेल पते के अलावा किसी अन्य ईमेल पते से जुड़े सर्टिफ़िकेट के साथ सीएसई की जोड़ी इस्तेमाल करने की अनुमति देनी है, तो सर्टिफ़िकेट के मेल न खाने का विकल्प चुनें (इन डोमेन के लिए, उन ईमेल पतों के लिए जारी किए गए सर्टिफ़िकेट इस्तेमाल करने की अनुमति दें जो उपयोगकर्ताओं के मौजूदा ईमेल पतों से मेल नहीं खाते हैं).

      सुरक्षा से जुड़ी वजहों से, इस विकल्प का सुझाव सिर्फ़ तब दिया जाता है, जब आपके संगठन को इसकी ज़रूरत हो. यह सुविधा, सीएसई के साथ काम करती है. होस्ट किए गए S/MIME के साथ इसका इस्तेमाल नहीं किया जा सकता. सर्टिफ़िकेट के मेल न खाने के बारे में ज़्यादा जानने के लिए, S/MIME के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करें पर जाएं.

    7. हो गया पर क्लिक करें.

    8. ज़्यादा सर्टिफ़िकेट चेन अपलोड करने के लिए, यह तरीका दोहराएं.

  6. अगर आपके डोमेन या संगठन को Secure Hash Algorithm 1 (SHA-1) का इस्तेमाल करना है, तो एसएचए-1 को हर जगह अनुमति दें (इसका सुझाव नहीं दिया जाता) बॉक्स पर सही का निशान लगाएं. SHA-1 का इस्तेमाल करने के बारे में ज़्यादा जानने के लिए, S/MIME के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना पर जाएं.

  7. सेव करें पर क्लिक करें.

बदलावों को लागू होने में 24 घंटे लग सकते हैं. हालांकि, आम तौर पर ये बदलाव पहले ही दिखने लगते हैं. ज़्यादा जानें इस दौरान भेजे गए मैसेज एन्क्रिप्ट (सुरक्षित) नहीं किए जाते.

दूसरा चरण: अपने उपयोगकर्ताओं से Gmail को फिर से लोड करने के लिए कहें

Google Admin console में होस्ट किया गया S/MIME चालू करने के बाद, अपने संगठन के लोगों से Gmail को फिर से लोड करने के लिए कहें. होस्ट किया गया एस/एसएमआईएमई चालू होने पर, मैसेज की विषय पंक्ति में लॉक आइकॉन दिखता है. अगर मैसेज को होस्ट किए गए S/MIME से एन्क्रिप्ट (सुरक्षित) किया गया है, तो लॉक हरे रंग का होता है.

तीसरा चरण: Gmail में S/MIME सर्टिफ़िकेट जोड़ना

इसके बाद, Gmail में S/MIME सर्टिफ़िकेट जोड़ें. सर्टिफ़िकेट जोड़ने के दो तरीके हैं:

  • एडमिन, Gmail S/MIME API की मदद से सर्टिफ़िकेट जोड़ते हैं
  • उपयोगकर्ता, Gmail खाते की सेटिंग में जाकर सर्टिफ़िकेट जोड़ते हैं

हम एडमिन को Gmail S/MIME API का इस्तेमाल करके सर्टिफ़िकेट अपलोड करने का सुझाव देते हैं.

(उपयोगकर्ता) Gmail खाते की सेटिंग में जाकर, प्रमाणपत्र जोड़ें

अपने संगठन के लोगों को यह तरीका अपनाने के लिए कहें, ताकि वे Gmail की सेटिंग में S/MIME सर्टिफ़िकेट जोड़ सकें. इसके लिए, उन्हें खाते और इंपोर्ट करने की सुविधा या खाते टैब में जाकर, इस पते से ईमेल भेजें सेक्शन में जाना होगा. "इस पते से ईमेल भेजें" के तौर पर इस्तेमाल किए जाने वाले खातों में, मुख्य Gmail खाते के S/MIME सर्टिफ़िकेट नहीं दिखते. इसलिए, आपको "इस पते से ईमेल भेजें" के तौर पर इस्तेमाल किए जाने वाले खाते में, S/MIME सर्टिफ़िकेट को मैन्युअल तरीके से जोड़ना होगा. "इस रूप में ईमेल भेजें" खातों के बारे में ज़्यादा जानने के लिए, किसी दूसरे पते या ईमेल उपनाम से ईमेल भेजना लेख पढ़ें.

अहम जानकारी:

  • उपयोगकर्ता, "इस पते से ईमेल भेजें" खातों में S/MIME सर्टिफ़िकेट सिर्फ़ Gmail के वेब वर्शन पर जोड़ सकते हैं. इस सेक्शन में दिए गए चरण, Gmail ऐप्लिकेशन पर काम नहीं करते.
  • उपयोगकर्ता, "इस पते से ईमेल भेजें" के तौर पर सेट किए गए खातों से S/MIME मैसेज भेज सकते हैं. इसके लिए, उन्हें सिर्फ़ Gmail के वेब वर्शन का इस्तेमाल करना होगा.

S/MIME सर्टिफ़िकेट जोड़ने के लिए:

  1. वेब पर Gmail पर जाएं.
  2. सेटिंग इसके बाद सभी सेटिंग देखें को चुनें.
  3. खाते टैब को चुनें.

  4. इस रूप में मेल भेजें के बगल में, जानकारी में बदलाव करें को चुनें.

    आपको ईमेल पते और एन्क्रिप्शन सेटिंग में बदलाव करें विंडो दिखेगी. अगर आपको यह विकल्प नहीं दिखता है, तो अपने एडमिन से संपर्क करें.

  5. कोई निजी सर्टिफ़िकेट अपलोड करें पर क्लिक करें.

  6. सर्टिफ़िकेट चुनें और खोलें पर क्लिक करें. अब आपको सर्टिफ़िकेट के लिए पासवर्ड डालने के लिए कहा जाएगा.

  7. पासवर्ड डालें और सर्टिफ़िकेट जोड़ें पर क्लिक करें.

  8. बदलाव सेव करें पर क्लिक करें.

सर्टिफ़िकेट से जुड़ी ज़रूरी शर्तें

Gmail के साथ इस्तेमाल किए जाने वाले सर्टिफ़िकेट, क्रिप्टोग्राफ़िक के मौजूदा मानकों के मुताबिक होने चाहिए. साथ ही, वे [Public-Key Cryptography Standards (PKCS)

12](https://datatracker.ietf.org/doc/rfc7292/) फ़ाइल फ़ॉर्मैट में सेव की गई हो.

Google, भरोसेमंद सर्टिफ़िकेट की इस सूची को बनाए रखता है. ये सर्टिफ़िकेट, S/MIME के लिए Gmail के साथ काम करते हैं.

चौथा चरण: अपने उपयोगकर्ताओं को कुंजियां बदलने के लिए निर्देश देना

S/MIME मैसेज भेजने और पाने के लिए, आपके उपयोगकर्ताओं को मैसेज पाने वालों के साथ इन तरीकों में से किसी एक तरीके से कुंजियां शेयर करनी होंगी:

  • लोगों को S/MIME से साइन किया गया मैसेज भेजें. मैसेज पर डिजिटल हस्ताक्षर किया गया है और इसमें उपयोगकर्ता की सार्वजनिक कुंजी शामिल है. ईमेल पाने वाले लोग, इस सार्वजनिक पासकोड का इस्तेमाल करके, उपयोगकर्ता को भेजे जाने वाले ईमेल को एन्क्रिप्ट कर सकते हैं.
  • मैसेज पाने वाले लोगों से, उन्हें मैसेज भेजने के लिए कहें. जब उन्हें मैसेज मिलता है, तो उस पर S/MIME से हस्ताक्षर किया जाता है. कुंजी अपने-आप सेव हो जाती है और उपलब्ध होती है. इसके बाद, मैसेज पाने वाले व्यक्ति को भेजे गए ईमेल, S/MIME की मदद से एन्क्रिप्ट (सुरक्षित) किए जाते हैं.

उप-संगठन की S/MIME सेटिंग बदलना

डिफ़ॉल्ट रूप से, संगठन की इकाइयों में टॉप-लेवल की संगठन इकाई की S/MIME सेटिंग लागू होती हैं. संगठन की इकाइयों के लिए, इनहेरिट की गई S/MIME सेटिंग को बदला जा सकता है. यह सुविधा, संगठन की इकाइयों के लिए S/MIME सेटिंग बंद करने या उन्हें पसंद के मुताबिक बनाने के लिए काम आती है.

S/MIME सेटिंग बदलने के लिए:

  1. Google Admin console में, मेन्यू इसके बाद  ऐप्लिकेशन इसके बाद Google Workspace इसके बाद Gmail इसके बाद उपयोगकर्ता की सेटिंग पर जाएं.

    इसके लिए, आपके पास Gmail की सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

  2. बाईं ओर, संगठन में जाकर, संगठन की वह इकाई चुनें जिसे आपको कॉन्फ़िगर करना है.

  3. S/MIME सेटिंग तक स्क्रोल करें और उसे बड़ा करने के लिए क्लिक करें.

    S/MIME सेटिंग के लेबल के नीचे मौजूद लेबल से पता चलेगा कि सेटिंग (संगठन या डोमेन का नाम) से इनहेरिट की गई है या बदली गई है.

  4. S/MIME सेटिंग इनहेरिट करने वाले उप-संगठन में बदलावों को सेव करने के लिए, बदलाव लागू करें पर क्लिक करें.

    उप-संगठन की सेटिंग सेव होने के बाद, S/MIME सेटिंग के लेबल में बदली गई दिखता है. बाईं ओर मौजूद संगठन की इकाई के स्ट्रक्चर ट्री में, ओवरराइड करने वाले उप-संगठनों के बगल में भी एक बिंदु दिखता है.

अहम जानकारी: अगर आपके उप-संगठन ने किसी बड़े संगठन की सेटिंग में बदलाव किया है, तो इनहेरिट करें बटन का इस्तेमाल करके, बड़े संगठन की सेटिंग इनहेरिट की जा सकती हैं.

समस्या हल करना: उप-संगठनों को S/MIME सेटिंग नहीं मिलती हैं

समस्या: संगठन की उप-इकाइयों में, रूट संगठन की इकाई की S/MIME सेटिंग लागू नहीं होती हैं.

वजह: इस समस्या की सबसे आम वजह यह है कि आपके पूरे संगठन (रूट लेवल पर) के लिए S/MIME की सुविधा बंद कर दी गई थी या उसमें बदलाव किया गया था. ऐसा तब हुआ, जब संगठन की एक या उससे ज़्यादा इकाइयों ने ओवरराइड करने की सुविधा का इस्तेमाल करके S/MIME सेटिंग जोड़ी थीं. S/MIME सेटिंग को बदलने की सुविधा के बारे में ज़्यादा जानें

यह समस्या तब भी हो सकती है, जब एस/एमआईएमई के इन विकल्पों को चाइल्ड संगठन के लेवल पर, ओवरराइड करने की सुविधा के साथ सेट किया गया हो: एस/एमआईएमई चालू करें.., लोगों को अपने सर्टिफ़िकेट अपलोड करने की अनुमति दें या एसएचए-1 को हर जगह अनुमति दें. ऐसा इसलिए होता है, क्योंकि ये बदलाव रूट लेवल के लिए, सर्टिफ़िकेट की सेटिंग को ओवरराइड कर देते हैं.

समाधान: इस समस्या को ठीक करने और S/MIME इनहेरिटेंस को किसी चाइल्ड संगठन की इकाई पर लागू करने के लिए:

  1. S/MIME सेटिंग में जाकर, बाईं ओर मौजूद S/MIME सेटिंग के लेबल में जाकर, संगठन की उप-इकाई का नाम चुनें.
  2. रूट एस/एमआईएमई सेटिंग को संगठन की उप-इकाई पर लागू करने के लिए, इनहेरिट करें पर क्लिक करें
  3. संगठन की उप-इकाई की सेटिंग फिर से लागू करें:
    1. बाईं ओर, S/MIME सेटिंग लेबल में जाकर, संगठन की उप-इकाई को चुना हुआ रहने दें.
    2. बच्चे की संगठन इकाई के लिए, S/MIME से जुड़ी सेटिंग अपडेट करें: S/MIME चालू करें.., उपयोगकर्ताओं को अपने सर्टिफ़िकेट अपलोड करने की अनुमति दें या SHA-1 को दुनिया भर में इस्तेमाल करने की अनुमति दें.
    3. बदलें पर क्लिक करें. इससे बच्चे के लिए तय की गई सेटिंग सेव हो जाती हैं. साथ ही, यह भी पक्का हो जाता है कि बच्चे को रूट सर्टिफ़िकेट या रूट-लेवल की S/MIME सेटिंग में किए गए पिछले बदलावों का ऐक्सेस मिल जाए.

हर उस बच्चे के लिए यह तरीका दोहराएं जिस पर संगठन की इकाई का असर पड़ा है.

अहम जानकारी: हर बार रूट सर्टिफ़िकेट जोड़ने या हटाने पर, आपको उन सभी चाइल्ड इकाइयों के लिए यह तरीका दोहराना होगा जहां आपको ये बदलाव लागू करने हैं.

S/MIME (ऐडवांस) के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना