איך מפעילים S/MIME מתארח להצפנה של הודעות

התכונה הזו נתמכת במהדורות הבאות: Frontline Plus,‏ Enterprise Plus,‏ Education Fundamentals,‏ Education Standard ו-Education Plus. השוואה בין מהדורות

כדי להגן על האנשים בארגון שלכם מפני פישינג, קבצים מצורפים מזיקים ואיומי אימייל אחרים, אתם יכולים להגדיר במסוף Google Admin פרוטוקול מאובטח/רב תכליתי להצפנה ואימות של אימיילים (S/MIME). הפרוטוקול הזה מצפין הודעות אימייל ומוסיף להן חתימה דיגיטלית כדי לשפר את האבטחה שלהן. כדי לפענח את ההודעות נדרש שילוב של מפתח ציבורי ומפתח פרטי. כשה-S/MIME מתארח, המפתח הפרטי נמצא בבעלות הארגון שמשתמש ב-S/MIME להצפנה.

יש לכם אפשרות לדרוש הצפנה ב-S/MIME בכל ההודעות היוצאות או בהודעות שמכילות תוכן מסוים. מידע נוסף זמין במאמר איך לדרוש הצפנת S/MIME להודעות יוצאות.

הצפנת CSE לעומת S/MIME

אפשר לשלוח ולקבל הודעות מוצפנות ב-S/MIME גם עם הצפנה מצד הלקוח (CSE) ב-Google Workspace. אבל במקרה כזה המפתחות הפרטיים מנוהלים על ידי שירות חיצוני למפתחות הצפנה. הניהול החיצוני הזה דרוש כדי לחזק את הפרטיות ולשפר את ההגנה על נתונים. מידע נוסף על CSE

שלב 1: הפעלה של S/MIME מתארח במסוף Google Admin

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותand thenGoogle Workspaceand thenGmailואזהגדרות משתמש.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות של Gmail.

  2. בצד ימין, בקטע ארגונים, בוחרים את הדומיין או את הארגון שרוצים להגדיר.

    חשוב לדעת: אם אתם רוצים להשתמש באמצעי בקרה מתקדמים של S/MIME כדי להעלות ולנהל אישורי בסיס, אתם צריכים להפעיל S/MIME בארגון ברמה העליונה – בדרך כלל זהו הדומיין שלכם. מידע נוסף על S/MIME ואישורים בסיסיים

  3. גוללים להגדרת ה-S/MIME ומסמנים את התיבה הצפנה באמצעות S/MIME לשליחה וקבלה של אימיילים.

  4. (אופציונלי) כדי לאפשר לאנשים בארגון להעלות אישורים, מסמנים את התיבה משתמשים יכולים להעלות אישורים משלהם.

  5. (אמצעי בקרה אופציונליים נוספים) כדי להעלות ולנהל אישורים בסיסיים:

    1. לצד קבלת אישורי הבסיס הנוספים האלה לדומיינים ספציפיים, לוחצים על הוספה.
    2. בחלון הוספת אישור בסיס, לוחצים על העלאת אישור בסיס.
    3. מחפשים ובוחרים את הקובץ של האישור ולוחצים על פתיחה. מופיעה הודעת אימות עם שם הבעלים ותאריך התפוגה של האישור.
    4. בקטע רמת הצפנה,בוחרים את רמת ההצפנה של האישור.
    5. בקטע רשימת כתובות, מזינים לפחות דומיין אחד שישתמש באישור הבסיס בתקשורת שלו. יש להפריד בין הדומיינים באמצעות פסיקים. שמות הדומיינים יכולים לכלול תווים כלליים לחיפוש. למידע נוסף על השימוש בתווים כלליים לחיפוש בשמות הדומיינים, עיינו ב-RFC 6125.

    6. (אופציונלי) אם אישורים מסוימים משויכים לכתובת אימייל שהיא לא הכתובת הראשית של המשתמש, אתם יכולים לאפשר בהם שימוש בזוגות של מפתחות CSE. לשם כך בוחרים באפשרות של חוסר התאמה באישורים. האפשרות הזו מופיעה בממשק בתור לגבי הדומיינים האלה, אני רוצה לאפשר אישורים עם כתובות אימייל שלא זהות לכתובות האימייל הנוכחיות של המשתמשים.

      מטעמי אבטחה, מומלץ להשתמש באפשרות הזו רק אם זו הדרישה של הארגון. אפשר להשתמש בתכונה הזו עם CSE. אי אפשר להשתמש בה עם S/MIME מתארח. למידע נוסף על חוסר התאמה באישורים, אפשר לעבור למאמר בנושא ניהול אישורים מהימנים ב-S/MIME.

    7. לוחצים על סיום.

    8. אפשר לחזור על השלבים האלה כדי להעלות עוד אישורים אחד אחרי השני.

  6. אם בדומיין או בארגון שלכם חובה להשתמש באלגוריתם הגיבוב המאובטח SHA-1, סמנו את התיבה של מתן הרשאה גלובלית לאישורי SHA-1 (לא מומלץ). למידע נוסף על השימוש ב-SHA-1, אפשר לעבור למאמר בנושא ניהול אישורים מהימנים ב-S/MIME.

  7. לוחצים על שמירה.

יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף הודעות שנשלחות בזמן הזה לא מוצפנות.

שלב 2: הנחיה למשתמשים לטעון מחדש את Gmail

אחרי שמפעילים S/MIME מתארח במסוף Google Admin, צריך לבקש מהמשתמשים בארגון לטעון מחדש את Gmail. כש-S/MIME מתארח פועל, יופיע סמל נעילה בשורת הנושא של ההודעות שתשלחו למשתמשים. אם תשתמשו ב-S/MIME מתארח כדי להצפין את ההודעה, המנעול יהיה ירוק.

שלב 3: הוספת אישורי ה-S/MIME ל-Gmail

עכשיו צריך להוסיף את אישורי ה-S/MIME ל-Gmail. אפשר להוסיף אישורים באחת מ-2 דרכים:

  • אדמינים מוסיפים אישורים באמצעות Gmail S/MIME API
  • משתמשים מוסיפים אישורים בהגדרות החשבון שלהם ב-Gmail

מומלץ שאדמינים יעלו אישורים באמצעות Gmail S/MIME API.

‫(משתמשים) הוספת אישורים בהגדרות החשבון ב-Gmail

אתם יכולים להנחות את המשתמשים בארגון לבצע את השלבים הבאים כדי להוסיף אישורי S/MIME להגדרות Gmail שלהם, בכרטיסייה חשבונות וייבוא או בכרטיסייה חשבונות, בקטע שליחת אימייל בשם. חשבונות שמוגדרים ל"שליחת מייל בשם" לא יורשים אישורי S/MIME מחשבון ה-Gmail הראשי שלהם, ולכן חייבים להוסיף ידנית אישורי S/MIME לחשבונות כאלה. מידע נוסף על חשבונות שמוגדרים ל "שליחת מייל בשם" זמין במאמר שליחת אימייל מכתובת שונה או מכינוי שונה.

חשוב לדעת:

  • משתמשים יכולים להוסיף אישורי S/MIME לחשבונות שמוגדרים ל "שליחת מייל בשם" רק באמצעות Gmail במחשב. אי אפשר לבצע את השלבים שמפורטים כאן דרך אפליקציית Gmail.
  • משתמשים יכולים לשלוח הודעות שמוצפנות ב-S/MIME מהחשבונות שלהם שמוגדרים ל "שליחת אימייל בשם" רק דרך Gmail במחשב.

כדי להוסיף אישורי S/MIME:

  1. נכנסים אל Gmail בדפדפן.
  2. בוחרים באפשרות הגדרות ואז הצגת כל ההגדרות.
  3. לוחצים על הכרטיסייה חשבונות.

  4. לצד שליחת אימייל בשם, לוחצים על עריכת הפרטים.

    מופיע החלון עריכת כתובות אימייל והגדרות הצפנה. אם האפשרות הזו לא מופיעה אצלכם, פנו לאדמין.

  5. לוחצים על העלאת אישור פרטי.

  6. בוחרים את האישור ולוחצים על פתיחה. תתבקשו להזין סיסמה לאישור.

  7. מזינים את הסיסמה ולוחצים על הוספת האישור.

  8. לוחצים על שמירת השינויים.

דרישות לאישורים

אישורים בשימוש ב-Gmail חייבים לעמוד בתקני הקריפטוגרפיה העדכניים וחייבים להיות בפורמט של קובץ ארכיון לפי Public-Key Cryptography Standards (PKCS) #12.

ל-Google יש רשימה של אישורים מהימנים שתומכים ב-S/MIME ב-Gmail.

שלב 4: מנחים את המשתמשים לשתף את המפתחות עם הנמענים

כדי שהמשתמשים שלכם יוכלו להתחיל לשלוח ולקבל הודעות שמוצפנות ב-S/MIME, הם צריכים לשתף את המפתחות שלהם עם הנמענים. הם יכולים לעשות את זה באחת מהדרכים הבאות:

  • לשלוח לנמענים הודעה עם חתימת S/MIME. ההודעה הזו חתומה בחתימה דיגיטלית וכוללת את המפתח הציבורי של המשתמש. הנמענים יכולים להשתמש במפתח הציבורי הזה כדי להצפין הודעות שהם שולחים למשתמש.
  • לבקש מהנמענים לשלוח להם הודעות. כשהם מקבלים את ההודעה, היא חתומה באמצעות S/MIME. המפתח הזה מאוחסן אוטומטית וזמין לשימוש. מעכשיו ההודעות שהם ישלחו לנמען יהיו מוצפנות באמצעות S/MIME.

ביטול הגדרות S/MIME שנקבעו כברירת מחדל בארגון משנה

כברירת מחדל, יחידות ארגוניות יורשות את הגדרות ה-S/MIME מהיחידה הארגונית ברמה העליונה. יש לכם אפשרות לשנות את הגדרות ה-S/MIME שהיחידה הארגונית ירשה. התכונה הזו שימושית כשרוצים להשבית או להתאים אישית את הגדרות ה-S/MIME של יחידות ארגוניות.

כדי לשנות את ההגדרות שהיחידה ירשה:

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותand thenGoogle Workspaceand thenGmailואזהגדרות משתמש.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות של Gmail.

  2. בצד ימין, בקטע ארגונים, בוחרים את היחידה הארגונית שרוצים להגדיר.

  3. גוללים להגדרת ה-S/MIME ולוחצים כדי להרחיב אותה.

    מתחת לתווית של הגדרת ה-S/MIME מופיעה עוד תווית שמציינת אם ההגדרה עברה בירושה מ (שם הארגון או הדומיין) או אם היא בוטלה.

  4. לוחצים על שינוי מברירת המחדל כדי לשמור את השינויים בהגדרות ה-S/MIME שארגון המשנה ירש.

    אחרי ששומרים את ההגדרות של ארגון המשנה, נכתב בוטלה מתחת לתווית של הגדרות ה-S/MIME. בצד ימין, בעץ של מבנה היחידה הארגונית, מופיעה נקודה לצד ארגוני המשנה שבהם ההגדרות השתנו מברירת המחדל.

טיפ: אם ארגון המשנה שלכם ביטל הגדרות שהוא קיבל מארגון ברמה גבוהה יותר, ואתם רוצים שהוא יירש אותן שוב, השתמשו בכפתור ירושה.

פתרון בעיות: ארגוני משנה לא יורשים הגדרות S/MIME

הבעיה: יחידות בת ארגוניות לא יורשות את הגדרות ה-S/MIME מהיחידה הארגונית שבראש ההיררכיה.

הסיבה: בדרך כלל זה קורה כי ה-S/MIME הושבת או השתנה בכל הארגון (ברמת היחידה שבראש ההיררכיה) אחרי שיחידה ארגונית אחת או יותר שינו את הגדרות ברירת המחדל והוסיפו הגדרות S/MIME חדשות. מידע נוסף על תכונת השינוי מברירת המחדל של הגדרות ה-S/MIME

הבעיה הזו גם יכולה לקרות כשהגדרות ברירות המחדל משתנות ברמה של יחידות הצאצא הארגוניות, ואפשרויות ה-S/MIME הבאות מוגדרות: הפעלת S/MIME, המשתמשים יכולים להעלות אישורים משלהם או מתן הרשאה גלובלית לאישורי SHA-1. הסיבה היא שהשינויים האלה מבטלים את הגדרות האישורים ברמה של היחידה הארגונית שבראש ההיררכיה.

הפתרון: כדי לפתור את הבעיה ולגרום ליחידת בת ארגונית לרשת את הגדרות ה-S/MIME:

  1. בהגדרות ה-S/MIME, בוחרים את השם של יחידת הבת הארגונית בצד ימין, מתחת לתווית של הגדרת ה-S/MIME.
  2. לוחצים על ירושה כדי להעביר ליחידת הבת הארגונית את הגדרות ה-S/MIME של היחידה הארגונית שבראש ההיררכיה.
  3. מחילים מחדש את ההגדרות של יחידת הבת הארגונית:
    1. משאירים את הבחירה של יחידת הבת הארגונית בצד ימין, מתחת לתווית של הגדרת ה-S/MIME.
    2. מעדכנים את הגדרות ה-S/MIME הרלוונטיות ליחידת הבת הארגונית: הפעלת S/MIME, המשתמשים יכולים להעלות אישורים משלהם או מתן הרשאה גלובלית לאישורי SHA-1.
    3. לוחצים על שינוי מברירת המחדל. כך שומרים את ההגדרות הספציפיות ליחידת הבת הארגונית. הפעולה הזו גם מוודאת שהיחידה הזו תירש שינויים קודמים באישור הבסיס או בהגדרות ה-S/MIME ברמה של היחידה שבראש ההיררכיה.

חוזרים על השלבים האלה לכל יחידת בת ארגונית רלוונטית.

חשוב לדעת: בכל פעם שאתם מוסיפים או מסירים אישור בסיס, אתם צריכים לחזור על השלבים האלה לכל יחידת בת ארגונית שאתם רוצים לכלול בשינויים האלה.

ניהול אישורים מהימנים עבור S/MIME (הגדרות מתקדמות)