รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard และ Education Plus เปรียบเทียบรุ่นของคุณ
คุณสามารถตั้งค่า Secure/Multipurpose Internet Mail Extensions (S/MIME) ที่โฮสต์ในคอนโซลผู้ดูแลระบบของ Google เพื่อช่วยปกป้องผู้ใช้ในองค์กรจากฟิชชิง ไฟล์แนบที่เป็นอันตราย และภัยคุกคามอื่นๆ ทางอีเมล โดย S/MIME จะเพิ่มความปลอดภัยให้อีเมลด้วยการเข้ารหัสและเพิ่มลายเซ็นดิจิทัลในข้อความ ระบบจะถอดรหัสข้อความโดยใช้การผสมผสานระหว่างคีย์สาธารณะและคีย์ส่วนตัว เมื่อโฮสต์ S/MIME แล้ว องค์กรที่ใช้ S/MIME สำหรับการเข้ารหัสจะจัดเก็บคีย์ส่วนตัว
คุณสามารถเลือกกำหนดให้ใช้ S/MIME สำหรับข้อความขาออกหรือสำหรับข้อความที่มีเนื้อหาเฉพาะได้ ดูข้อมูลเพิ่มเติมได้ที่กำหนดให้ต้องมีการเข้ารหัส S/MIME สำหรับข้อความขาออก
CSE เทียบกับ S/MIME
การเข้ารหัสฝั่งไคลเอ็นต์ (CSE) ของ Google Workspace ยังช่วยให้ผู้ใช้รับส่งข้อความ S/MIME ที่เข้ารหัสได้อีกด้วย แต่เมื่อใช้ CSE คีย์ส่วนตัวจะจัดการโดยบริการจัดการคีย์ภายนอกเพื่อเพิ่มความเป็นส่วนตัวและการคุ้มครองข้อมูล ดูข้อมูลเพิ่มเติมเกี่ยวกับ CSE
ขั้นตอนที่ 1: เปิด S/MIME ที่โฮสต์ในคอนโซลผู้ดูแลระบบของ Google
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
แอปGoogle WorkspaceGmailการตั้งค่าผู้ใช้ เลือกโดเมนหรือองค์กรที่ต้องการกำหนดค่าในส่วนองค์กรทางด้านซ้าย
สำคัญ: หากต้องการใช้การควบคุม S/MIME ขั้นสูงเพื่ออัปโหลดและจัดการใบรับรองรูท คุณต้องเปิดใช้ S/MIME ที่องค์กรระดับบนสุด ซึ่งโดยปกติแล้วจะเป็นโดเมนของคุณ ดูข้อมูลเพิ่มเติมเกี่ยวกับ S/MIME และใบรับรองรูท
เลื่อนไปที่การตั้งค่า S/MIME และเลือกช่องเปิดใช้การเข้ารหัส S/MIME ในการรับส่งอีเมล
(ไม่บังคับ) หากต้องการให้ผู้ใช้ในองค์กรอัปโหลดใบรับรองได้ ให้เลือกช่องอนุญาตให้ผู้ใช้อัปโหลดใบรับรองของตนเอง
(การควบคุมเพิ่มเติม: ไม่บังคับ) หากต้องการอัปโหลดและจัดการใบรับรองรูท ให้ทำดังนี้
- คลิกเพิ่มถัดจากยอมรับใบรับรองรูทเพิ่มเติมเหล่านี้สำหรับเฉพาะโดเมน
- ในหน้าต่างเพิ่มใบรับรองรูท ให้คลิกอัปโหลดใบรับรองรูท
- เรียกดูเพื่อเลือกไฟล์ใบรับรองแล้วคลิกเปิด ข้อความยืนยันสำหรับใบรับรองจะปรากฏขึ้น ข้อความนี้จะระบุชื่อเรื่องและวันหมดอายุ
- เลือกระดับการเข้ารหัสที่จะใช้กับใบรับรองนี้ในส่วนระดับการเข้ารหัส
- ป้อนโดเมนอย่างน้อย 1 โดเมนที่จะใช้ใบรับรองรูทเมื่อสื่อสารในส่วนรายการที่อยู่ โดยคั่นหลายโดเมนด้วยเครื่องหมายจุลภาค ใส่ไวลด์การ์ดในชื่อโดเมนได้ หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ไวลด์การ์ดในชื่อโดเมน โปรดไปที่ RFC 6125
(ไม่บังคับ) หากต้องการอนุญาตการจับคู่คีย์ CSE กับใบรับรองที่เชื่อมโยงกับอีเมลอื่นนอกเหนือจากอีเมลหลักของผู้ใช้ ให้เลือกตัวเลือกใบรับรองที่ไม่ตรงกัน (สำหรับโดเมนที่อนุญาตให้ใช้ใบรับรองกับอีเมลที่ไม่ตรงกับอีเมลปัจจุบันของผู้ใช้)
ด้วยเหตุผลด้านความปลอดภัย เราขอแนะนำให้ใช้ตัวเลือกนี้เฉพาะเมื่อองค์กรของคุณกำหนดให้ใช้เท่านั้น ฟีเจอร์นี้ใช้ได้กับ CSE แต่จะไม่รองรับ S/MIME ที่โฮสต์ หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับใบรับรองที่ไม่ตรงกัน โปรดไปที่หัวข้อจัดการใบรับรองที่เชื่อถือได้สำหรับ S/MIME
คลิกเสร็จสิ้น
ทำขั้นตอนเหล่านี้ซ้ำเพื่ออัปโหลดชุดใบรับรองเพิ่มเติม
หากโดเมนหรือองค์กรต้องใช้ Secure Hash Algorithm 1 (SHA-1) ให้เลือกช่องอนุญาตให้ใช้ SHA-1 ได้ทั่วไป (ไม่แนะนำ) หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ SHA-1 โปรดไปที่หัวข้อจัดการใบรับรองที่เชื่อถือได้สำหรับ S/MIME
คลิกบันทึก
การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม ระบบจะไม่เข้ารหัสข้อความที่ส่งในระหว่างนี้
ขั้นตอนที่ 2: ให้ผู้ใช้โหลด Gmail อีกครั้ง
หลังจากเปิดใช้ S/MIME ที่โฮสต์ในคอนโซลผู้ดูแลระบบของ Google ให้แจ้งให้ผู้ใช้ในองค์กรโหลด Gmail ซ้ำ เมื่อเปิด S/SMIME ที่โฮสต์ไว้ ไอคอนแม่กุญแจจะปรากฏในบรรทัดเรื่องของข้อความ หากข้อความเข้ารหัสลับด้วย S/MIME ที่โฮสต์ แม่กุญแจจะเป็นสีเขียว
ขั้นตอนที่ 3: เพิ่มใบรับรอง S/MIME ลงใน Gmail
ขั้นตอนถัดไปคือการเพิ่มใบรับรอง S/MIME ลงใน Gmail ซึ่งสามารถเพิ่มใบรับรองได้ 2 วิธีดังนี้
- ผู้ดูแลระบบเพิ่มใบรับรองด้วย API S/MIME ของ Gmail
- ผู้ใช้เพิ่มใบรับรองในการตั้งค่าบัญชี Gmail
(ผู้ดูแลระบบ) เพิ่มใบรับรองด้วย API S/MIME ของ Gmail (แนะนำ)
เราขอแนะนำให้ผู้ดูแลระบบอัปโหลดใบรับรองโดยใช้ API S/MIME ของ Gmail
(ผู้ใช้) เพิ่มใบรับรองในการตั้งค่าบัญชี Gmail
คุณสามารถแจ้งให้ผู้ใช้ในองค์กรทำตามขั้นตอนเหล่านี้เพื่อเพิ่มใบรับรอง S/MIME ลงในการตั้งค่า Gmail ในแท็บบัญชีและการนำเข้าหรือบัญชี ในส่วนส่งอีเมลในชื่อ บัญชี "ส่งอีเมลในชื่อ" จะไม่รับช่วงใบรับรอง S/MIME จากบัญชี Gmail หลัก ดังนั้นคุณต้องเพิ่มใบรับรอง S/MIME ลงในบัญชี "ส่งอีเมลในชื่อ" ด้วยตนเอง ดูข้อมูลเพิ่มเติมเกี่ยวกับบัญชี "ส่งอีเมลในชื่อ" ได้ที่ส่งอีเมลจากอีเมลอื่นหรืออีเมลแทนอื่น
สำคัญ
- ผู้ใช้จะเพิ่มใบรับรอง S/MIME ลงในบัญชี "ส่งอีเมลในชื่อ" ได้โดยใช้ Gmail บนเว็บเท่านั้น แอป Gmail ไม่รองรับขั้นตอนในส่วนนี้
- ผู้ใช้จะส่งข้อความ S/MIME จากบัญชี "ส่งอีเมลในชื่อ" ได้โดยใช้ Gmail บนเว็บเท่านั้น
วิธีเพิ่มใบรับรอง S/MIME
- ไปที่ Gmail บนเว็บ
- เลือกการตั้งค่า
ดูการตั้งค่าทั้งหมด - เลือกแท็บบัญชี
เลือกแก้ไขข้อมูลข้างส่งอีเมลในชื่อ
หน้าต่างแก้ไขอีเมลและการตั้งค่าการเข้ารหัสจะปรากฏขึ้น หากไม่มีตัวเลือกนี้ โปรดติดต่อผู้ดูแลระบบ
คลิกอัปโหลดใบรับรองส่วนตัว
เลือกใบรับรองและคลิกเปิด จากนั้นระบบจะแจ้งให้คุณป้อนรหัสผ่านสำหรับใบรับรอง
ป้อนรหัสผ่านและคลิกเพิ่มใบรับรอง
คลิกบันทึกการเปลี่ยนแปลง
ข้อกำหนดของใบรับรอง
ใบรับรองที่ใช้กับ Gmail ต้องเป็นไปตามมาตรฐานวิทยาการเข้ารหัสปัจจุบันและต้องอยู่ในรูปแบบไฟล์ที่เก็บถาวรมาตรฐานวิทยาการเข้ารหัสคีย์สาธารณะ (PKCS) #12
Google ดูแลรายการใบรับรองที่เชื่อถือได้นี้ซึ่งรองรับ Gmail สำหรับ S/MIME
ขั้นตอนที่ 4: แจ้งให้ผู้ใช้แลกเปลี่ยนคีย์
หากต้องการเริ่มแลกเปลี่ยนข้อความ S/MIME ผู้ใช้ต้องแลกเปลี่ยนคีย์กับผู้รับข้อความโดยใช้วิธีใดวิธีหนึ่งต่อไปนี้
- ส่งข้อความที่เซ็นชื่อด้วย S/MIME ถึงผู้รับ ระบบจะเซ็นชื่อข้อความแบบดิจิทัลและรวมคีย์สาธารณะของผู้ใช้ไว้ ซึ่งผู้รับใช้คีย์สาธารณะนี้ในการเข้ารหัสข้อความที่ส่งถึงตัวผู้ใช้ได้
- ขอให้ผู้รับส่งข้อความมาให้ เมื่อได้รับข้อความแล้ว ระบบจะเซ็นชื่อด้วย S/MIME โดยระบบจะจัดเก็บคีย์และคีย์จะพร้อมใช้งานโดยอัตโนมัติ ต่อจากนี้ ข้อความที่ส่งถึงผู้รับจะได้รับการเข้ารหัสด้วย S/MIME
ลบล้างการตั้งค่า S/MIME ขององค์กรย่อย
โดยค่าเริ่มต้น หน่วยขององค์กรจะรับการตั้งค่า S/MIME จากหน่วยขององค์กรระดับบนสุด คุณสามารถเลือกลบล้างการตั้งค่า S/MIME ที่รับค่ามาสำหรับหน่วยขององค์กรได้ ฟีเจอร์นี้มีประโยชน์สำหรับการปิดใช้หรือปรับแต่งการตั้งค่า S/MIME สำหรับหน่วยขององค์กร
วิธีลบล้างการตั้งค่า S/MIME
-
ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู
แอปGoogle WorkspaceGmailการตั้งค่าผู้ใช้ - ทางด้านซ้ายในส่วนองค์กร ให้เลือกหน่วยขององค์กรที่ต้องการกำหนดค่า
เลื่อนไปที่การตั้งค่า S/MIME และคลิกเพื่อขยาย
ป้ายกำกับภายใต้ป้ายกำกับการตั้งค่า S/MIME จะระบุว่ารับค่าจาก (องค์กรหรือชื่อโดเมน) หรือลบล้าง
คลิกลบล้างเพื่อบันทึกการเปลี่ยนแปลงในองค์กรย่อยที่รับการตั้งค่า S/MIME
เมื่อบันทึกการตั้งค่าขององค์กรย่อยแล้ว ระบบจะแสดงคำว่าลบล้างใต้ป้ายกำกับการตั้งค่า S/MIME และเครื่องหมาย "จุด" จะปรากฏถัดจากองค์กรย่อยที่ลบล้างในโครงสร้างหน่วยขององค์กรทางด้านซ้าย
เคล็ดลับ: หากองค์กรย่อยลบล้างการตั้งค่าขององค์กรระดับสูงกว่า คุณจะใช้ปุ่มรับค่าเพื่อรับการตั้งค่าจากองค์กรระดับสูงได้
แก้ปัญหา: องค์กรย่อยไม่รับการตั้งค่า S/MIME
ปัญหา: หน่วยขององค์กรย่อยไม่รับการตั้งค่า S/MIME จากหน่วยขององค์กรระดับสูงสุด
สาเหตุ: สาเหตุที่พบบ่อยที่สุดของปัญหานี้คือการปิดหรือแก้ไข S/MIME สำหรับทั้งองค์กร (ที่ระดับรูท) หลังจากหน่วยขององค์กรอย่างน้อย 1 หน่วยเพิ่มการตั้งค่า S/MIME โดยใช้ฟีเจอร์การลบล้าง ดูข้อมูลเพิ่มเติมเกี่ยวกับฟีเจอร์การลบล้างการตั้งค่า S/MIME
ปัญหานี้ยังอาจเกิดขึ้นได้เมื่อตั้งค่าตัวเลือก S/MIME เหล่านี้ที่ระดับองค์กรย่อยด้วยฟีเจอร์ลบล้าง: เปิดใช้ S/MIME อนุญาตให้ผู้ใช้อัปโหลดใบรับรองของตนเอง หรืออนุญาตให้ใช้ SHA-1 ได้ทั่วไป เนื่องจากการเปลี่ยนแปลงเหล่านี้จะลบล้างการตั้งค่าใบรับรองสำหรับระดับรูท
วิธีแก้ปัญหา: วิธีแก้ไขปัญหาและทำให้ S/MIME ได้รับการรับค่าไปยังหน่วยขององค์กรย่อยมีดังนี้
- ในการตั้งค่า S/MIME ให้เลือกชื่อหน่วยขององค์กรย่อยทางด้านซ้ายใต้ป้ายกำกับการตั้งค่า S/MIME
- คลิกรับค่าเพื่อใช้การตั้งค่า S/MIME ระดับรูทกับหน่วยขององค์กรย่อย
- ใช้การตั้งค่าของหน่วยขององค์กรย่อยอีกครั้งโดยทำดังนี้
- เก็บหน่วยขององค์กรย่อยที่เลือกไว้ทางด้านซ้ายไว้ใต้ป้ายกำกับการตั้งค่า S/MIME
- อัปเดตการตั้งค่า S/MIME ที่เกี่ยวข้องสำหรับหน่วยขององค์กรย่อย: เปิดใช้ S/MIME อนุญาตให้ผู้ใช้อัปโหลดใบรับรองของตนเอง หรืออนุญาตให้ใช้ SHA-1 ได้ทั่วไป
- คลิกลบล้าง ซึ่งจะบันทึกการตั้งค่าเฉพาะขององค์กรย่อย และช่วยให้ได้รับค่าการเปลี่ยนแปลงที่ผ่านมาของใบรับรองรูทหรือการตั้งค่า S/MIME ระดับรูท
ทำขั้นตอนเหล่านี้ซ้ำสำหรับหน่วยขององค์กรย่อยที่ได้รับผลกระทบแต่ละหน่วย
สำคัญ: ทุกครั้งที่เพิ่มหรือนำใบรับรองรูทออก คุณต้องทำขั้นตอนเหล่านี้ซ้ำสำหรับหน่วยขององค์กรย่อยทั้งหมดที่ต้องการให้มีการเปลี่ยนแปลงเหล่านั้น