فعال کردن Hosted S/MIME برای رمزگذاری پیام

نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Plus؛ Enterprise Plus؛ Education Fundamentals، Education Standard و Education Plus. نسخه خود را مقایسه کنید

شما می‌توانید افزونه‌های ایمیل اینترنتی امن/چندمنظوره (S/MIME) میزبانی‌شده را در کنسول گوگل ادمین خود تنظیم کنید تا به محافظت از افراد سازمانتان در برابر فیشینگ، پیوست‌های مضر و سایر تهدیدات ایمیلی کمک کنید. S/MIME با رمزگذاری و افزودن امضای دیجیتال به پیام‌ها، امنیت ایمیل را بهبود می‌بخشد. پیام‌ها با استفاده از ترکیبی از کلید عمومی و کلید خصوصی رمزگشایی می‌شوند. هنگامی که S/MIME میزبانی می‌شود، سازمانی که از S/MIME برای رمزگذاری استفاده می‌کند، کلید خصوصی را ذخیره می‌کند.

شما می‌توانید به صورت اختیاری برای پیام‌های خروجی یا پیام‌هایی که حاوی محتوای خاصی هستند، S/MIME را الزامی کنید. برای اطلاعات بیشتر به «الزام رمزگذاری S/MIME برای پیام‌های خروجی» مراجعه کنید.

CSE در مقایسه با S/MIME

رمزگذاری سمت کلاینت (CSE) در فضای کاری گوگل (Google Workspace) نیز به کاربران امکان ارسال و دریافت پیام‌های رمزگذاری شده S/MIME را می‌دهد. اما با CSE، کلیدهای خصوصی توسط یک سرویس کلید خارجی مدیریت می‌شوند تا حریم خصوصی و حفاظت از داده‌ها افزایش یابد. درباره CSE بیشتر بدانید .

مرحله ۱: فعال کردن hosted S/MIME در کنسول گوگل ادمین

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس فضای کاری گوگل و سپس جیمیل و سپس تنظیمات کاربر .

    نیاز به داشتن امتیاز مدیر تنظیمات Gmail دارد.

  2. در سمت چپ، در زیر بخش سازمان‌ها ، دامنه یا سازمانی را که می‌خواهید پیکربندی کنید، انتخاب کنید.

    مهم: برای استفاده از کنترل‌های پیشرفته S/MIME جهت آپلود و مدیریت گواهی‌های ریشه، باید S/MIME را در بالاترین سطح سازمان، معمولاً دامنه خود، فعال کنید. درباره S/MIME و گواهی‌های ریشه بیشتر بدانید .

  3. به تنظیمات S/MIME بروید و کادر فعال کردن رمزگذاری S/MIME برای ارسال و دریافت ایمیل‌ها را علامت بزنید.

  4. (اختیاری) برای اینکه به افراد سازمانتان اجازه دهید گواهی‌ها را آپلود کنند، کادر « به کاربران اجازه دهید گواهی‌های خودشان را آپلود کنند» را علامت بزنید.

  5. (کنترل‌های اضافی اختیاری) برای آپلود و مدیریت گواهی‌های ریشه:

    1. در کنار «پذیرش این گواهی‌های ریشه اضافی برای دامنه‌های خاص» ، روی «افزودن» کلیک کنید.
    2. در پنجره افزودن گواهی ریشه ، روی بارگذاری گواهی ریشه کلیک کنید.
    3. برای انتخاب فایل گواهی، از طریق مرورگر اقدام کنید و روی «باز کردن» کلیک کنید. یک پیام تأیید برای گواهی ظاهر می‌شود. این پیام شامل نام موضوع و تاریخ انقضا است.
    4. در قسمت سطح رمزگذاری، سطح رمزگذاری مورد استفاده با این گواهی را انتخاب کنید.
    5. در زیر فهرست آدرس‌ها ، حداقل یک دامنه که هنگام برقراری ارتباط از گواهی ریشه استفاده خواهد کرد را وارد کنید. چندین دامنه را با کاما از هم جدا کنید. نام دامنه‌ها می‌توانند شامل کاراکترهای عمومی (wildcards) باشند. برای کسب اطلاعات بیشتر در مورد استفاده از کاراکترهای عمومی در نام دامنه، به RFC 6125 مراجعه کنید.

    6. (اختیاری) برای مجاز کردن جفت کلیدهای CSE با گواهی‌های مرتبط با آدرس ایمیلی غیر از آدرس ایمیل اصلی کاربر، گزینه عدم تطابق گواهی را انتخاب کنید ( برای این دامنه‌ها، گواهی‌هایی با آدرس‌های ایمیلی که با آدرس ایمیل فعلی کاربر مطابقت ندارند، مجاز هستند ).

      به دلایل امنیتی، این گزینه فقط در صورت نیاز سازمان شما توصیه می‌شود. این ویژگی با CSE پشتیبانی می‌شود. با S/MIME میزبانی شده پشتیبانی نمی‌شود. برای کسب اطلاعات بیشتر در مورد عدم تطابق گواهی، به مدیریت گواهی‌های معتبر برای S/MIME مراجعه کنید.

    7. روی انجام شد کلیک کنید.

    8. برای آپلود زنجیره‌های گواهی بیشتر، این مراحل را تکرار کنید.

  6. اگر دامنه یا سازمان شما باید از الگوریتم درهم‌سازی امن ۱ (SHA-1) استفاده کند، کادر « مجاز کردن SHA-1 به صورت سراسری (توصیه نمی‌شود)» را علامت بزنید. برای کسب اطلاعات بیشتر در مورد استفاده از SHA-1، به «مدیریت گواهی‌های معتبر برای S/MIME» مراجعه کنید.

  7. روی ذخیره کلیک کنید.

تغییرات ممکن است تا ۲۴ ساعت طول بکشد اما معمولاً سریع‌تر اتفاق می‌افتد. اطلاعات بیشتر پیام‌های ارسالی در این مدت رمزگذاری نمی‌شوند.

مرحله ۲: از کاربران خود بخواهید Gmail را دوباره بارگذاری کنند

پس از فعال کردن Hosted S/MIME در کنسول مدیریت گوگل خود، به افراد سازمان خود بگویید که Gmail را مجدداً بارگذاری کنند. وقتی Hosted S/SMIME فعال باشد، یک نماد قفل در خط موضوع پیام‌ها ظاهر می‌شود. اگر پیام با Hosted S/MIME رمزگذاری شده باشد، قفل سبز است.

مرحله ۳: افزودن گواهی‌های S/MIME به Gmail

در مرحله بعد، گواهی‌های S/MIME را به Gmail اضافه کنید. دو راه برای اضافه کردن گواهی‌ها وجود دارد:

  • مدیران با استفاده از Gmail S/MIME API گواهی‌ها را اضافه می‌کنند
  • کاربران گواهی‌ها را در تنظیمات حساب Gmail خود اضافه می‌کنند

توصیه می‌کنیم مدیران، گواهی‌ها را با استفاده از Gmail S/MIME API آپلود کنند.

(کاربران) افزودن گواهی‌ها در تنظیمات حساب Gmail

می‌توانید به افراد سازمان خود دستور دهید که این مراحل را برای افزودن گواهی‌های S/MIME به تنظیمات Gmail خود، در برگه حساب‌ها و وارد کردن یا حساب‌ها ، در بخش ارسال ایمیل به عنوان، دنبال کنند. حساب‌های «ارسال ایمیل به عنوان» گواهی‌های S/MIME را از حساب اصلی Gmail به ارث نمی‌برند، بنابراین باید به صورت دستی یک گواهی S/MIME به حساب «ارسال ایمیل به عنوان» اضافه کنید. برای کسب اطلاعات بیشتر در مورد حساب‌های «ارسال ایمیل به عنوان»، به بخش «ارسال ایمیل از یک آدرس یا نام مستعار دیگر » مراجعه کنید.

مهم:

  • کاربران می‌توانند گواهی‌های S/MIME را فقط با استفاده از Gmail تحت وب به حساب‌های «ارسال ایمیل به عنوان» اضافه کنند. مراحل این بخش در برنامه Gmail پشتیبانی نمی‌شوند.
  • کاربران می‌توانند پیام‌های S/MIME را از حساب‌های «ارسال ایمیل به عنوان» خود و فقط با استفاده از Gmail در وب ارسال کنند.

برای افزودن گواهی‌های S/MIME:

  1. به Gmail در وب بروید.
  2. تنظیمات را انتخاب کنید و سپس مشاهده همه تنظیمات .
  3. برگه حساب‌ها را انتخاب کنید.

  4. در کنار ارسال ایمیل به عنوان ، ویرایش اطلاعات را انتخاب کنید.

    پنجره ویرایش آدرس ایمیل و تنظیمات رمزگذاری ظاهر می‌شود. اگر این گزینه را ندارید، با مدیر خود تماس بگیرید.

  5. روی آپلود گواهی شخصی کلیک کنید.

  6. گواهی را انتخاب کنید و روی «باز کردن» کلیک کنید. از شما خواسته می‌شود رمز عبوری برای گواهی وارد کنید.

  7. رمز عبور را وارد کنید و روی افزودن گواهی کلیک کنید.

  8. روی ذخیره تغییرات کلیک کنید.

الزامات گواهینامه

گواهی‌های مورد استفاده در Gmail باید استانداردهای رمزنگاری فعلی را رعایت کنند و باید در قالب فایل بایگانی «استانداردهای رمزنگاری کلید عمومی (PKCS) شماره ۱۲» باشند.

گوگل این فهرست از گواهی‌های معتبر را که از Gmail برای S/MIME پشتیبانی می‌کنند، نگهداری می‌کند.

مرحله ۴: به کاربران خود کلیدهای تبادل را آموزش دهید

برای شروع تبادل پیام‌های S/MIME، کاربران شما باید کلیدها را با گیرندگان پیام به یکی از روش‌های زیر تبادل کنند:

  • یک پیام امضا شده با S/MIME برای گیرندگان ارسال کنید. این پیام به صورت دیجیتالی امضا شده و شامل کلید عمومی کاربر است. گیرندگان می‌توانند از این کلید عمومی برای رمزگذاری پیام‌هایی که برای کاربر ارسال می‌کنند استفاده کنند.
  • از گیرندگان بخواهید که برایشان پیام ارسال کنند. وقتی پیام را دریافت می‌کنند، با S/MIME امضا می‌شود. کلید به‌طور خودکار ذخیره و در دسترس است. از این به بعد، پیام‌های ارسالی به گیرنده با S/MIME رمزگذاری می‌شوند.

تنظیمات S/MIME زیرسازمان را نادیده بگیرید

به طور پیش‌فرض، واحدهای سازمانی تنظیمات S/MIME را از واحد سازمانی سطح بالا به ارث می‌برند. شما می‌توانید به صورت اختیاری تنظیمات S/MIME به ارث رسیده را برای واحدهای سازمانی لغو کنید. این ویژگی برای غیرفعال کردن یا سفارشی‌سازی تنظیمات S/MIME برای واحدهای سازمانی مفید است.

برای لغو تنظیمات S/MIME:

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس فضای کاری گوگل و سپس جیمیل و سپس تنظیمات کاربر .

    نیاز به داشتن امتیاز مدیر تنظیمات Gmail دارد.

  2. در سمت چپ، در زیر بخش سازمان‌ها ، واحد سازمانی مورد نظر برای پیکربندی را انتخاب کنید.

  3. به تنظیمات S/MIME بروید و برای باز کردن آن کلیک کنید.

    برچسب زیر برچسب تنظیم S/MIME یا « به ارث رسیده از ( سازمان یا نام دامنه یا «بازنویسی شده» را نشان می‌دهد.

  4. برای ذخیره تغییرات در زیرسازمانی که تنظیمات S/MIME را به ارث می‌برد، روی لغو (Override) کلیک کنید.

    پس از ذخیره تنظیمات زیرسازمان، عبارت Overridden در زیر برچسب تنظیمات S/MIME نمایش داده می‌شود. همچنین یک نقطه در کنار زیرسازمان‌های Overriding در درخت ساختار واحد سازمانی در سمت چپ ظاهر می‌شود.

نکته: اگر زیرسازمان شما تنظیمات یک سازمان سطح بالاتر را لغو کرده است، می‌توانید از دکمه‌ی «به ارث بردن» برای به ارث بردن تنظیمات از سازمان سطح بالاتر استفاده کنید.

عیب‌یابی: زیرسازمان‌ها تنظیمات S/MIME را به ارث نمی‌برند

مشکل: واحدهای سازمانی فرزند، تنظیمات S/MIME را از واحد سازمانی ریشه به ارث نمی‌برند.

علت: شایع‌ترین علت این مشکل این است که S/MIME برای کل سازمان شما (در سطح ریشه) غیرفعال شده یا تغییر یافته است، پس از اینکه یک یا چند واحد سازمانی تنظیمات S/MIME را با استفاده از ویژگی لغو تنظیمات اضافه کردند. درباره ویژگی لغو تنظیمات S/MIME بیشتر بدانید

این مشکل همچنین می‌تواند زمانی رخ دهد که این گزینه‌های S/MIME در سطح سازمانی فرزند با ویژگی لغو تنظیم شده باشند: فعال کردن S/MIME.اجازه به کاربران برای آپلود گواهی‌های خودشان ، یا مجاز کردن SHA-1 به صورت سراسری . دلیل این امر این است که این تغییرات، تنظیمات گواهی را برای سطح ریشه لغو می‌کنند.

راه حل: برای رفع مشکل و اعمال وراثت S/MIME به یک واحد سازمانی فرزند:

  1. در تنظیمات S/MIME ، نام واحد سازمانی فرزند را در سمت چپ، زیر برچسب تنظیمات S/MIME انتخاب کنید.
  2. برای اعمال تنظیمات S/MIME ریشه به واحد سازمانی فرزند، روی Inherit کلیک کنید.
  3. تنظیمات واحد سازمانی فرزند را دوباره اعمال کنید:
    1. واحد سازمانی فرزند را در سمت چپ، زیر برچسب تنظیمات S/MIME، انتخاب شده نگه دارید.
    2. تنظیمات S/MIME مربوط به واحد سازمانی فرزند را به‌روزرسانی کنید: فعال کردن S/MIME.. ، اجازه به کاربران برای آپلود گواهی‌های خودشان ، یا اجازه دادن به SHA-1 به صورت سراسری .
    3. روی لغو (Override) کلیک کنید. این کار تنظیمات خاص فرزند را ذخیره می‌کند و در عین حال تضمین می‌کند که فرزند هرگونه تغییر قبلی در گواهی‌های ریشه یا تنظیمات S/MIME سطح ریشه را به ارث می‌برد.

این مراحل را برای هر واحد سازمانی کودک آسیب‌دیده تکرار کنید.

مهم: هر بار که یک گواهی ریشه اضافه یا حذف می‌کنید، باید این مراحل را برای همه واحدهای سازمانی فرزند که می‌خواهید این تغییرات در آنها اعمال شود، تکرار کنید.

مدیریت گواهی‌های معتبر برای S/MIME (پیشرفته)