Bật S/MIME được lưu trữ để mã hoá thư

Các phiên bản hỗ trợ tính năng này: Frontline Plus; Enterprise Plus; Education Fundamentals, Education Standard và Education Plus. So sánh phiên bản của bạn

Bạn có thể thiết lập Phần mở rộng thư Internet an toàn/đa mục đích (S/MIME) được lưu trữ trong Bảng điều khiển dành cho quản trị viên của Google để giúp bảo vệ mọi người trong tổ chức của bạn khỏi các mối đe doạ qua email như tấn công giả mạo, tệp đính kèm gây hại và các mối đe doạ khác. S/MIME giúp cải thiện tính bảo mật của email bằng cách mã hoá và thêm chữ ký số vào thư. Tin nhắn được giải mã bằng cách kết hợp khoá công khai và khoá riêng tư. Khi S/MIME được lưu trữ, tổ chức sử dụng S/MIME để mã hoá sẽ lưu trữ khoá riêng tư.

Bạn có thể tuỳ ý yêu cầu sử dụng S/MIME cho thư gửi đi hoặc cho thư chứa nội dung cụ thể. Tìm hiểu thêm tại phần Yêu cầu mã hoá bằng S/MIME cho thư gửi đi.

So sánh CSE với S/MIME

Tính năng mã hoá phía máy khách (CSE) của Google Workspace cũng cho phép người dùng gửi và nhận thư S/MIME được mã hoá. Tuy nhiên, với CSE, các khoá riêng tư sẽ được một dịch vụ khoá bên ngoài quản lý để tăng cường quyền riêng tư và bảo vệ dữ liệu. Tìm hiểu thêm về CSE.

Bước 1: Bật S/MIME được lưu trữ trong Bảng điều khiển dành cho quản trị viên của Google

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn  Ứng dụngGoogle WorkspaceGmailCài đặt người dùng.

   Chuyển đến phần Cài đặt người dùng

   Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

2. Ở bên trái, trong mục Tổ chức, hãy chọn miền hoặc tổ chức mà bạn muốn định cấu hình.

   Quan trọng: Để sử dụng các chế độ kiểm soát S/MIME nâng cao nhằm tải lên và quản lý chứng chỉ gốc, bạn phải bật S/MIME ở tổ chức cấp cao nhất, thường là miền của bạn. Tìm hiểu thêm về S/MIME và chứng chỉ gốc.

3. Di chuyển đến chế độ cài đặt S/MIME rồi đánh dấu vào ô Bật mã hoá S/MIME để gửi và nhận email.

4. (Không bắt buộc) Để cho phép người dùng trong tổ chức của bạn tải chứng chỉ lên, hãy đánh dấu vào hộp Cho phép người dùng tải chứng chỉ của riêng họ lên.

5. (Các chế độ kiểm soát bổ sung không bắt buộc) Cách tải lên và quản lý chứng chỉ gốc:

   1. Bên cạnh mục Chấp nhận các chứng chỉ gốc bổ sung này cho các miền cụ thể, hãy nhấp vào Thêm.
   2. Trong cửa sổ Thêm chứng chỉ gốc, hãy nhấp vào Tải chứng chỉ gốc lên.
   3. Duyệt tìm để chọn tệp chứng chỉ rồi nhấp vào Mở. Một thông báo xác minh sẽ xuất hiện cho chứng chỉ. Thông báo này bao gồm tên và thời gian hết hạn của chủ đề.
   4. Trong phần Cấp mã hoá,hãy chọn cấp mã hoá để sử dụng với chứng chỉ này.
   5. Trong phần Danh sách địa chỉ, hãy nhập ít nhất một miền sẽ sử dụng chứng chỉ gốc khi giao tiếp. Vui lòng phân tách các miền bằng dấu phẩy. Tên miền có thể chứa ký tự đại diện. Để tìm hiểu thêm về cách sử dụng ký tự đại diện trong tên miền, hãy tham khảo RFC 6125.

   6. (Không bắt buộc) Để cho phép các cặp khoá CSE có chứng chỉ được liên kết với một địa chỉ email khác ngoài địa chỉ email chính của người dùng, hãy chọn chế độ không khớp chứng chỉ (Đối với các miền này, hãy cho phép chứng chỉ có địa chỉ email không trùng khớp với địa chỉ email hiện tại của người dùng).

      Vì lý do bảo mật, bạn chỉ nên sử dụng lựa chọn này khi tổ chức của bạn yêu cầu. Tính năng này được hỗ trợ bằng CSE. Tính năng này không được hỗ trợ đối với S/MIME được lưu trữ. Để tìm hiểu thêm về trường hợp không khớp chứng chỉ, hãy xem bài viết Quản lý chứng chỉ đáng tin cậy cho S/MIME.

   7. Nhấp vào Xong.

   8. Lặp lại các bước này để tải thêm các chuỗi chứng chỉ lên.

6. Nếu miền hoặc tổ chức của bạn phải sử dụng Thuật toán băm an toàn 1 (SHA-1), hãy đánh dấu vào ô Cho phép SHA-1 trên toàn cầu (không nên). Để tìm hiểu thêm về cách sử dụng SHA-1, hãy xem bài viết Quản lý chứng chỉ đáng tin cậy cho S/MIME.

7. Nhấp vào Lưu.

Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm Tin nhắn được gửi trong thời gian này sẽ không được mã hoá.

Bước 2: Yêu cầu người dùng tải lại Gmail

Sau khi bạn bật S/MIME được lưu trữ trong Bảng điều khiển dành cho quản trị viên của Google, hãy yêu cầu mọi người trong tổ chức của bạn tải lại Gmail. Khi S/SMIME được lưu trữ ở trạng thái bật, biểu tượng khoá sẽ xuất hiện trong dòng tiêu đề của thư. Nếu thư được mã hoá bằng S/MIME được lưu trữ, thì ổ khoá sẽ có màu xanh lục.

Bước 3: Thêm chứng chỉ S/MIME vào Gmail

Tiếp theo, hãy thêm chứng chỉ S/MIME vào Gmail. Có 2 cách để thêm chứng chỉ:

• Quản trị viên thêm chứng chỉ bằng API S/MIME của Gmail
• Người dùng thêm chứng chỉ trong phần cài đặt tài khoản Gmail

(Quản trị viên) Thêm chứng chỉ bằng API S/MIME của Gmail (nên dùng)

Quản trị viên nên tải chứng chỉ lên bằng API S/MIME của Gmail.

(Người dùng) Thêm chứng chỉ trong phần cài đặt tài khoản Gmail

Bạn có thể hướng dẫn mọi người trong tổ chức làm theo các bước sau để thêm chứng chỉ S/MIME vào chế độ cài đặt Gmail của họ, trên thẻ Tài khoản và nhập hoặc Tài khoản, trong mục Gửi thư dưới tên. Các tài khoản "Gửi thư bằng địa chỉ" không kế thừa chứng chỉ S/MIME từ tài khoản Gmail chính, vì vậy, bạn phải thêm chứng chỉ S/MIME vào tài khoản "Gửi thư bằng địa chỉ" theo cách thủ công. Để tìm hiểu thêm về tài khoản "Gửi thư bằng địa chỉ", hãy truy cập vào bài viết Gửi email từ một địa chỉ hoặc email đại diện khác.

Quan trọng:

• Người dùng chỉ có thể thêm chứng chỉ S/MIME vào tài khoản "Gửi thư dưới tên" bằng Gmail trên web. Ứng dụng Gmail không hỗ trợ các bước trong phần này.
• Người dùng chỉ có thể gửi thư S/MIME từ tài khoản "Gửi thư dưới tên" bằng Gmail trên web.

Cách thêm chứng chỉ S/MIME:

1. Truy cập vào Gmail trên web.
2. Chọn Cài đặt Xem tất cả chế độ cài đặt.
3. Chọn thẻ Tài khoản.

4. Bên cạnh mục Gửi thư bằng địa chỉ, hãy chọn Chỉnh sửa thông tin.

   Cửa sổ Chỉnh sửa địa chỉ email và chế độ cài đặt mã hoá sẽ xuất hiện. Nếu bạn không thấy lựa chọn này, hãy liên hệ với quản trị viên.

5. Nhấp vào Tải lên chứng chỉ cá nhân.

6. Chọn chứng chỉ rồi nhấp vào Mở. Bạn sẽ được nhắc nhập mật khẩu cho chứng chỉ.

7. Nhập mật khẩu rồi nhấp vào Thêm chứng chỉ.

8. Nhấp vào Lưu thay đổi.

Yêu cầu về chứng chỉ

Chứng chỉ dùng với Gmail phải đáp ứng các tiêu chuẩn mật mã hiện tại và phải ở định dạng tệp lưu trữ Tiêu chuẩn mã hoá khoá công khai (PKCS) #12.

Google duy trì danh sách các chứng chỉ đáng tin cậy hỗ trợ Gmail cho S/MIME.

Bước 4: Hướng dẫn người dùng trao đổi khoá

Để bắt đầu trao đổi thư S/MIME, người dùng cần trao đổi khoá với người nhận thư theo một trong những cách sau:

• Gửi thư đã ký bằng S/MIME cho người nhận. Tin nhắn được ký bằng chữ ký số và có khoá công khai của người dùng. Người nhận có thể sử dụng khoá công khai này để mã hoá thư mà họ gửi cho người dùng.
• Yêu cầu người nhận gửi tin nhắn cho họ. Khi nhận được thư, thư đó sẽ được ký bằng S/MIME. Khoá này sẽ tự động được lưu trữ và có sẵn. Từ nay về sau, thư gửi cho người nhận sẽ được mã hoá bằng S/MIME.

Ghi đè chế độ cài đặt S/MIME của tổ chức con

Theo mặc định, các đơn vị tổ chức sẽ kế thừa chế độ cài đặt S/MIME của đơn vị tổ chức cấp cao nhất. Bạn có thể tuỳ ý ghi đè các chế độ cài đặt S/MIME được kế thừa cho các đơn vị tổ chức. Tính năng này hữu ích khi bạn cần tắt hoặc tuỳ chỉnh chế độ cài đặt S/MIME cho các đơn vị tổ chức.

Cách ghi đè chế độ cài đặt S/MIME:

1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn  Ứng dụngGoogle WorkspaceGmailCài đặt người dùng.

   Chuyển đến phần Cài đặt người dùng

   Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

2. Ở bên trái, trong mục Tổ chức, hãy chọn đơn vị tổ chức mà bạn muốn định cấu hình.

3. Di chuyển đến chế độ cài đặt S/MIME rồi nhấp để mở rộng.

   Nhãn trong phần cài đặt S/MIME sẽ cho biết Kế thừa từ (tên tổ chức hoặc tên miền) hoặc Bị ghi đè.

4. Nhấp vào Ghi đè để lưu các thay đổi đối với tổ chức con kế thừa chế độ cài đặt S/MIME.

   Sau khi bạn lưu chế độ cài đặt của tổ chức con, trạng thái Bị ghi đè sẽ xuất hiện bên dưới nhãn chế độ cài đặt S/MIME. Một dấu chấm cũng xuất hiện bên cạnh các tổ chức con ghi đè trong cây cấu trúc Đơn vị tổ chức ở bên trái.

Lưu ý: Nếu tổ chức cấp dưới của bạn đã ghi đè các chế độ cài đặt của tổ chức cấp cao hơn, thì bạn có thể dùng nút Kế thừa để kế thừa các chế độ cài đặt của tổ chức cấp cao hơn.

Khắc phục sự cố: Các tổ chức con không kế thừa chế độ cài đặt S/MIME

Vấn đề: Các đơn vị tổ chức con không kế thừa chế độ cài đặt S/MIME của đơn vị tổ chức gốc.

Nguyên nhân: Nguyên nhân phổ biến nhất của vấn đề này là do S/MIME đã bị tắt hoặc sửa đổi cho toàn bộ tổ chức của bạn (ở cấp gốc) sau khi một hoặc nhiều đơn vị tổ chức thêm chế độ cài đặt S/MIME bằng tính năng ghi đè. Tìm hiểu thêm về tính năng ghi đè chế độ cài đặt S/MIME

Vấn đề này cũng có thể xảy ra khi các lựa chọn S/MIME này được đặt ở cấp tổ chức con bằng tính năng ghi đè: Bật S/MIME. Cho phép người dùng tải chứng chỉ của riêng họ lên hoặc Cho phép SHA-1 trên toàn cầu. Lý do là vì những thay đổi này sẽ ghi đè chế độ cài đặt chứng chỉ cho cấp gốc.

Giải pháp: Để khắc phục vấn đề và áp dụng tính năng kế thừa S/MIME cho một đơn vị tổ chức con, hãy làm như sau:

1. Trong phần cài đặt S/MIME, hãy chọn tên đơn vị tổ chức con ở bên trái, trong nhãn chế độ cài đặt S/MIME.
2. Nhấp vào Kế thừa để áp dụng chế độ cài đặt S/MIME gốc cho đơn vị tổ chức con
3. Áp dụng lại các chế độ cài đặt của đơn vị tổ chức con:
   1. Giữ nguyên đơn vị tổ chức con đã chọn ở bên trái, trong nhãn chế độ cài đặt S/MIME.
   2. Cập nhật chế độ cài đặt S/MIME có liên quan cho đơn vị tổ chức con: Bật S/MIME..., Cho phép người dùng tải chứng chỉ của riêng họ lên hoặc Cho phép SHA-1 trên toàn cầu.
   3. Nhấp vào Ghi đè. Thao tác này sẽ lưu các chế độ cài đặt dành riêng cho trẻ, đồng thời đảm bảo trẻ kế thừa mọi thay đổi trước đây đối với chứng chỉ gốc hoặc chế độ cài đặt S/MIME ở cấp gốc.

Lặp lại các bước này cho từng đơn vị tổ chức con chịu ảnh hưởng.

Lưu ý quan trọng: Mỗi khi thêm hoặc xoá một chứng chỉ gốc, bạn phải lặp lại các bước này cho tất cả các đơn vị tổ chức con mà bạn muốn áp dụng những thay đổi đó.

Chủ đề có liên quan

Quản lý chứng chỉ đáng tin cậy cho S/MIME (nâng cao)