Mengaktifkan S/MIME yang dihosting untuk enkripsi pesan

Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard, dan Education Plus. Bandingkan edisi Anda

Anda dapat menyiapkan Secure/Multipurpose Internet Mail Extensions (S/MIME) yang dihosting di konsol Google Admin untuk membantu melindungi anggota organisasi Anda dari phishing, lampiran berbahaya, dan ancaman email lainnya. S/MIME akan meningkatkan keamanan email dengan mengenkripsi dan menambahkan tanda tangan digital ke pesan. Pesan didekripsi menggunakan kombinasi kunci publik dan kunci pribadi. Jika S/MIME dihosting, organisasi yang menggunakan S/MIME untuk enkripsi akan menyimpan kunci pribadi terkait.

(Opsional) Anda dapat mewajibkan S/MIME untuk pesan keluar atau untuk pesan yang berisi konten tertentu. Pelajari lebih lanjut di Mewajibkan enkripsi S/MIME untuk pesan keluar.

CSE dibandingkan dengan S/MIME

Enkripsi sisi klien (CSE) Google Workspace juga memungkinkan pengguna mengirim dan menerima pesan S/MIME terenkripsi. Namun pada CSE, kunci pribadi akan dikelola layanan kunci enkripsi eksternal untuk perlindungan data dan privasi yang lebih baik. Pelajari CSE lebih lanjut.

Langkah 1: Aktifkan S/MIME yang dihosting di konsol Google Admin Anda

  1. Di konsol Admin Google, buka Menu lalu AplikasilaluGoogle WorkspacelaluGmaillaluSetelan pengguna.

    Memerlukan hak istimewa administrator Setelan Gmail.

  2. Di sebelah kiri, pada bagian Organisasi, pilih domain atau organisasi yang ingin dikonfigurasi.

    Penting: Sebelum dapat menggunakan kontrol S/MIME lanjutan untuk mengupload dan mengelola root certificate, Anda harus mengaktifkan S/MIME pada organisasi tingkat teratas, biasanya domain Anda. Pelajari S/MIME dan root certificate lebih lanjut.

  3. Scroll ke setelan S/MIME, lalu centang kotak Aktifkan enkripsi S/MIME untuk mengirim dan menerima email.

  4. (Opsional) Agar anggota organisasi Anda dapat mengupload sertifikat, centang kotak Izinkan pengguna mengupload sertifikat mereka sendiri.

  5. (Kontrol tambahan opsional) Untuk mengupload dan mengelola root certificate:

    1. Di samping Terima Root Certificate tambahan ini bagi domain tertentu, klik Tambahkan.
    2. Di jendela Tambahkan root certificate, klik Upload Root Certificate.
    3. Jelajahi dan pilih file sertifikat terkait, lalu klik Buka. Pesan verifikasi untuk sertifikat tersebut akan muncul. Pesan ini berisi nama subjek dan masa berlakunya.
    4. Di bagian Tingkat enkripsi,pilih tingkat enkripsi yang akan digunakan dengan sertifikat ini.
    5. Pada bagian Daftar alamat, masukkan minimal satu domain yang akan menggunakan root certificate saat berkomunikasi. Pisahkan penulisan beberapa domain dengan tanda koma. Nama domain dapat berisi karakter pengganti. Untuk mempelajari lebih lanjut penggunaan karakter pengganti dalam nama domain, lihat RFC 6125.

    6. (Opsional) Untuk mengizinkan pasangan kunci CSE berisi sertifikat yang berkaitan dengan alamat email selain alamat email utama pengguna, pilih opsi ketidakcocokan sertifikat (Pada domain ini, izinkan sertifikat berisi alamat email yang tidak cocok dengan alamat email pengguna saat ini).

      Demi alasan keamanan, opsi ini hanya akan direkomendasikan saat diwajibkan oleh organisasi Anda. Fitur ini didukung CSE. Aplikasi ini tidak didukung S/MIME yang dihosting. Untuk mempelajari lebih lanjut ketidakcocokan sertifikat, buka Mengelola sertifikat tepercaya untuk S/MIME.

    7. Klik Selesai.

    8. Ulangi langkah-langkah ini untuk mengupload rantai sertifikat lainnya.

  6. Jika domain atau organisasi Anda perlu menggunakan Secure Hash Algorithm 1 (SHA-1), centang kotak Izinkan SHA-1 secara global (tidak direkomendasikan). Untuk mempelajari lebih lanjut cara menggunakan SHA-1, buka Mengelola sertifikat tepercaya untuk S/MIME.

  7. Klik Simpan.

Perubahan dapat membutuhkan waktu hingga 24 jam, tetapi biasanya berlangsung lebih cepat. Pelajari lebih lanjut Pesan yang dikirim selama jangka waktu ini tidak dienkripsi.

Langkah 2: Minta pengguna Anda memuat ulang Gmail

Setelah Anda mengaktifkan S/MIME yang dihosting di konsol Google Admin, beri tahu pengguna di organisasi Anda untuk memuat ulang Gmail. Jika S/SMIME yang dihosting aktif, ikon gembok akan muncul di baris subjek pesan. Jika pesan dienkripsi dengan S/MIME yang dihosting, ikon gemboknya berwarna hijau.

Langkah 3: Tambahkan sertifikat S/MIME ke Gmail

Selanjutnya, tambahkan sertifikat S/MIME ke Gmail. Ada 2 cara untuk menambahkan sertifikat:

  • Admin menambahkan sertifikat dengan Gmail S/MIME API
  • Pengguna menambahkan sertifikat di setelan akun Gmail mereka

Sebaiknya admin mengupload sertifikat menggunakan Gmail S/MIME API.

(Pengguna) Menambahkan sertifikat di setelan akun Gmail

Anda dapat menginstruksikan pengguna di organisasi Anda untuk mengikuti langkah-langkah berikut guna menambahkan sertifikat S/MIME ke setelan Gmail mereka, di tab Akun dan impor atau Akun, di bagian Kirim email sebagai. Akun "Kirim email sebagai" tidak mewarisi sertifikat S/MIME dari akun Gmail utama, jadi Anda harus menambahkan sertifikat S/MIME secara manual ke akun "Kirim email sebagai". Untuk mempelajari lebih lanjut akun "Kirim email sebagai", buka Mengirim email dari alamat atau alias yang berbeda.

Penting:

  • Pengguna hanya dapat menambahkan sertifikat S/MIME ke akun "Kirim email sebagai" menggunakan Gmail di web. Langkah-langkah di bagian ini tidak didukung di aplikasi Gmail.
  • Pengguna hanya dapat mengirim pesan S/MIME dari akun "Kirim email sebagai" menggunakan Gmail di web.

Untuk menambahkan sertifikat S/MIME:

  1. Buka Gmail di web.
  2. Pilih Setelan lalu Lihat semua setelan.
  3. Pilih tab Akun.

  4. Di samping Kirim email sebagai, pilih Edit info.

    Jendela Edit setelan alamat email dan enkripsi akan muncul. Jika Anda tidak memiliki opsi ini, hubungi administrator Anda.

  5. Klik Upload sertifikat pribadi.

  6. Pilih sertifikat, lalu klik Buka. Anda akan diminta memasukkan sandi untuk sertifikat.

  7. Masukkan sandi, lalu klik Tambahkan sertifikat.

  8. Klik Simpan perubahan.

Persyaratan sertifikat

Sertifikat yang digunakan dengan Gmail harus memenuhi standar kriptografi terbaru dan harus dalam format file arsip Public-Key Cryptography Standards (PKCS) #12.

Google mengelola daftar sertifikat tepercaya yang mendukung Gmail untuk S/MIME ini.

Langkah 4: Instruksikan pengguna Anda untuk bertukar kunci

Untuk mulai bertukar pesan S/MIME, pengguna Anda perlu bertukar kunci dengan penerima pesan menggunakan salah satu cara berikut:

  • Mengirim pesan yang ditandatangani S/MIME ke penerima. Pesan ditandatangani secara digital dan menyertakan kunci publik pengguna. Penerima dapat menggunakan kunci publik ini untuk mengenkripsi pesan yang mereka kirim kepada pengguna.
  • Meminta penerima mengirim pesan ke pengguna Anda. Saat diterima, pesan akan ditandatangani dengan S/MIME. Kunci akan otomatis disimpan dan tersedia. Ke depannya, pesan yang dikirim kepada penerima akan dienkripsi dengan S/MIME.

Mengganti setelan S/MIME suborganisasi

Secara default, unit organisasi mewarisi setelan S/MIME dari unit organisasi tingkat teratas. Anda juga dapat mengganti setelan S/MIME yang diwariskan untuk unit organisasi. Fitur ini berguna untuk menonaktifkan atau menyesuaikan setelan S/MIME untuk unit organisasi.

Untuk mengganti setelan S/MIME:

  1. Di konsol Admin Google, buka Menu lalu AplikasilaluGoogle WorkspacelaluGmaillaluSetelan pengguna.

    Memerlukan hak istimewa administrator Setelan Gmail.

  2. Di sebelah kiri, pada bagian Organisasi, pilih unit organisasi yang ingin dikonfigurasi.

  3. Scroll ke setelan S/MIME, lalu klik untuk meluaskannya.

    Label di bawah label setelan S/MIME akan menunjukkan opsi Diwarisi dari (nama domain atau organisasi), atau Diganti.

  4. Klik Ganti untuk menyimpan perubahan ke suborganisasi yang mewarisi setelan S/MIME.

    Setelah setelan suborganisasi disimpan, opsi Diganti akan ditampilkan pada label setelan S/MIME. Titik juga muncul di samping suborganisasi pengganti dalam struktur Unit Organisasi di sebelah kiri.

Tips: Jika suborganisasi Anda telah mengganti setelan organisasi tingkat yang lebih tinggi, Anda dapat menggunakan tombol Warisi untuk mewarisi setelan dari organisasi dengan tingkat yang lebih tinggi.

Memecahkan masalah: Suborganisasi tidak mewarisi setelan S/MIME

Masalah: Unit organisasi turunan tidak mewarisi setelan S/MIME dari unit organisasi tingkat teratas.

Penyebab: Penyebab paling umum dari masalah ini adalah S/MIME dinonaktifkan atau diubah untuk seluruh organisasi Anda (di tingkat root) setelah satu atau beberapa unit organisasi menambahkan setelan S/MIME menggunakan fitur penggantian. Pelajari lebih lanjut fitur penggantian setelan S/MIME

Masalah ini juga dapat terjadi jika opsi S/MIME ini ditetapkan di tingkat organisasi turunan dengan fitur penggantian: Aktifkan S/MIME.. Izinkan pengguna mengupload sertifikat mereka sendiri, atau Izinkan SHA-1 secara global. Hal ini karena perubahan ini mengganti setelan sertifikat untuk tingkat root.

Solusi: Untuk memperbaiki masalah dan menerapkan pewarisan S/MIME ke unit organisasi turunan:

  1. Di setelan S/MIME, pilih nama unit organisasi turunan di sebelah kiri, pada label setelan S/MIME.
  2. Klik Warisi untuk menerapkan setelan S/MIME root ke unit organisasi turunan
  3. Terapkan kembali setelan unit organisasi turunan:
    1. Biarkan unit organisasi turunan dipilih di sebelah kiri, pada label setelan S/MIME.
    2. Perbarui setelan S/MIME yang relevan untuk unit organisasi turunan: Aktifkan S/MIME.., Izinkan pengguna mengupload sertifikat mereka sendiri, atau Izinkan SHA-1 secara global.
    3. Klik Ganti. Tindakan ini akan menyimpan setelan khusus turunan sekaligus memastikan turunan mewarisi perubahan sebelumnya pada root certificate atau setelan S/MIME tingkat root.

Ulangi langkah-langkah ini untuk setiap unit organisasi turunan yang terpengaruh.

Penting: Setiap kali Anda menambahkan atau menghapus sertifikat root, Anda harus mengulangi langkah-langkah ini untuk semua unit organisasi turunan tempat Anda ingin perubahan tersebut diterapkan.

Mengelola sertifikat tepercaya untuk S/MIME (lanjutan)