Добавление и управление ключевыми службами для шифрования на стороне клиента.

Если вы добавляете свою первую ключевую услугу

Появляется сообщение с напоминанием о необходимости назначить службу ключей по умолчанию для вашего организационного подразделения верхнего уровня. Вы можете сделать это в любое время, чтобы обеспечить доступ к шифрованию для всех пользователей, которым необходимо шифровать или расшифровывать контент. Для получения подробной информации перейдите в раздел «Назначение службы ключей по умолчанию для вашей организации» .

Если вы добавляете вторую ключевую услугу

Вам потребуется сделать текущую службу резервным сервисом. Резервная копия шифрует то же содержимое, что и вторая служба ключей, и необходима, если вы хотите перенести зашифрованное содержимое во вторую службу. Подробности см. в разделе «О службе резервного ключа» ниже.

Если у вас уже есть как минимум 2 ключевых сервиса и вы добавляете еще один,

Вам потребуется удалить службу резервного копирования из текущей основной службы, а затем выбрать резервную копию для новой службы. Или вы можете добавить новую службу без резервного копирования. Подробности см. в разделе «Добавление новой ключевой службы, если у другой службы есть резервная копия» ниже.

Рассмотрите возможность использования соглашения об именовании для нескольких ключевых сервисов.

Установите систему именования, чтобы легко идентифицировать ключевые сервисы и определить, для каких сервисов и пользователей они будут применяться. Например, вы можете указать в имени регион, организационное подразделение и ключевой сервис:

• NORTHAM-R&D-Key-service1
• EUROPE-HR-Key-service2

Если вы добавляете в консоль администратора более одной ключевой службы, одна из них должна быть резервной для другой.

Служба резервного копирования используется для переноса контента.

Если вы хотите перенести зашифрованный контент в новую службу ключей — то есть повторно зашифровать контент, зашифрованный вашей текущей службой, — вам необходимо сделать текущую службу ключей резервной для вашей новой службы. Поскольку резервная служба ключей шифрует тот же контент, что и основная служба, она гарантирует доступность контента в случае возникновения проблем во время миграции. Подробную информацию о миграции см. в разделе «Перенос зашифрованного контента в новую службу ключей» .

Важно: одновременно можно использовать только одну службу ключей, используя резервную службу ключей.

Исключение для Gmail CSE

Если вы добавите новую службу ключей и назначите текущую службу резервной с помощью консоли администратора, шифрование электронной почты будет осуществляться только резервной службой, а не новой службой ключей. Для переключения служб ключей для Gmail необходимо использовать API Gmail для загрузки новых сертификатов и метаданных закрытых ключей, упакованных новой службой. Подробную информацию о переключении на другую службу ключей для Gmail см. в разделе «Переключение на другую службу ключей для Gmail CSE» .

1. В консоли администратора Google перейдите в меню. Данные Согласие Шифрование на стороне клиента .

   Перейдите к разделу «Шифрование на стороне клиента».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. В разделе «Шифрование с использованием внешней службы ключей» выполните одно из следующих действий:
   • Если вы добавляете только первую службу ключей, нажмите « Добавить внешнюю службу ключей» .
   • Если вы добавляете дополнительную ключевую услугу, нажмите «Добавить» .
3. Введите следующую информацию из ключевого сервиса, к которому вы подключились (или который создали с помощью API CSE):

   Имя — Введите любое имя по вашему выбору. Это имя отображается в некоторых сообщениях пользователям, если Google Workspace не может получить доступ к вашей внешней службе ключей, чтобы они знали, что проблема связана со службой шифрования, а не со службой Google, которую они используют.

   URL — Этот URL-адрес предоставляется вам вашей ключевой службой. Перед вводом этого URL-адреса убедитесь, что он доступен из интернета.

4. Если вы добавили вторую службу ключей, нажмите «Выбрать резервный ключ» и выберите доступную службу резервного ключа . Это позволит вам перенести зашифрованное содержимое в новую службу ключей.

   Подробную информацию о переносе контента в новую службу ключей см. в разделе «Назначение служб ключей для шифрования на стороне клиента» .

5. Если у вас уже есть как минимум 2 ключевых сервиса, и вы добавили еще один, выберите, следует ли добавлять новый ключевой сервис без резервной копии. Подробную информацию о доступных параметрах см. в разделе «Добавление нового ключевого сервиса при наличии резервной копии у другого сервиса» ниже.

   Или, чтобы закрыть диалоговое окно «Добавить службу внешнего ключа», не выбирая ни один из вариантов, нажмите «Отмена» .

6. Чтобы убедиться, что Google Workspace может взаимодействовать с внешней службой ключей, нажмите «Проверить соединение» .
7. Если соединение установлено успешно, в правом нижнем углу страницы нажмите «Добавить» или «Добавить услугу».

Если это первая добавленная вами ключевая служба:

• Появляется сообщение с напоминанием о необходимости назначить службу ключей по умолчанию для вашего организационного подразделения верхнего уровня. Вы можете сделать это в любое время, чтобы обеспечить доступ к шифрованию для всех пользователей, которым необходимо шифровать или расшифровывать контент. Для получения подробной информации перейдите в раздел «Назначение службы ключей по умолчанию для вашей организации» .
• Убедитесь, что вы подключили Google Workspace к своему поставщику идентификационных данных (IdP) для шифрования на стороне клиента.

Если вы уже добавили как минимум 2 ключевых сервиса в консоль администратора, один сервис будет резервной копией для другого. Если вы добавите еще один ключевой сервис, вы не сможете выбрать для него резервный сервис, поскольку резервная копия может быть только у одного ключевого сервиса одновременно. Поэтому при добавлении нового ключевого сервиса вам необходимо выбрать опцию в зависимости от того, как вы хотите использовать этот ключевой сервис.

Чтобы перейти от использования существующей службы ключей к новой

При добавлении новой службы ключей выберите опцию «Удалить резервную копию из службы ключей» , а затем нажмите «Удалить резервную копию» .

Теперь вы можете добавить новую службу ключей и выбрать службу резервного копирования. После этого вы можете перенести зашифрованное содержимое в новую службу ключей. Подробности см. в разделе «Перенос зашифрованного содержимого в новую службу ключей» .

Рекомендация: Выбирайте этот вариант только в том случае, если у текущей службы ключей нет проблем с шифрованием контента. Кроме того, если резервная служба ключей используется для переноса контента на вашу текущую основную службу, убедитесь, что перенос завершен — после удаления резервной копии перенос немедленно остановится. Подробности см. в разделе «Перенос зашифрованного контента на новую службу ключей» .

Чтобы использовать новую службу ключей без переноса зашифрованных данных.

При добавлении новой службы ключей выберите опцию «Добавить службу ключей без резервного копирования» , затем нажмите «Добавить службу» .

Рекомендация: Выбирайте этот вариант только в том случае, если вы хотите использовать эту службу ключей для организационного подразделения или группы, контент которых еще не зашифрован с помощью другой службы ключей. Если контент уже зашифрован, вам необходимо сохранить существующую службу ключей, чтобы обеспечить доступ к зашифрованному контенту.

1. В консоли администратора Google перейдите в меню. Данные Согласие Шифрование на стороне клиента .

   Перейдите к разделу «Шифрование на стороне клиента».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. В разделе «Внешняя служба ключей» щелкните имя службы ключей, которую хотите изменить.
3. Измените название ключевой службы.
4. Нажмите «Продолжить» .

Если у ваших пользователей возникают проблемы с доступом к контенту, зашифрованному службой ключей, запросите у службы ключей новый URL-адрес для шифрования. Затем замените предыдущий URL-адрес новым в консоли администратора, чтобы пользователи могли восстановить свой контент.

Если пользователи не могут зашифровать новый контент с помощью службы ключей, вы можете попробовать назначить другую службу ключей организациям или группам, у которых возникают проблемы.

Чтобы изменить URL-адрес ключевого сервиса:

1. В консоли администратора Google перейдите в меню. Данные Согласие Шифрование на стороне клиента .

   Перейдите к разделу «Шифрование на стороне клиента».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. В разделе «Внешняя служба ключей» щелкните имя службы ключей, для которой вы хотите изменить URL-адрес.
3. Возникли проблемы? Добавить новый URL .
4. Чтобы убедиться, что Google Workspace может взаимодействовать с внешней службой ключей, нажмите «Проверить соединение» .
5. Если соединение установлено успешно, в правом нижнем углу страницы нажмите «Продолжить».

Возможно, вам потребуется удалить службу резервного копирования ключей из другой службы ключей, если:

• Для переноса контента он больше не нужен.
• Вы хотите добавить еще одну ключевую службу и вам нужно выбрать службу резервного копирования, чтобы перенести зашифрованный контент в новую службу.

Подробную информацию о миграции контента см. в разделе «Миграция зашифрованного контента в новую службу ключей» .

Чтобы удалить службу резервного копирования ключей:

1. В консоли администратора Google перейдите в меню. Данные Согласие Шифрование на стороне клиента .

   Перейдите к разделу «Шифрование на стороне клиента».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. В разделе «Внешняя служба ключей» щелкните имя службы ключей, для которой вы хотите удалить резервную копию.
3. Нажмите « Удалить резервную копию» .
4. Поставьте галочки в разделе « Чтобы удалить резервную копию, подтвердите, что вы понимаете следующее» .
5. Нажмите « Удалить резервную копию» .

Вы можете отключить службу ключей, если ей назначена резервная служба ключей. Например, вы можете захотеть отключить службу ключей и использовать ее резервную копию, если у пользователей возникают проблемы с доступом к зашифрованному содержимому или с шифрованием нового содержимого. Поскольку у службы ключей, которую вы хотите отключить, есть резервная копия, доступ к зашифрованному содержимому на стороне клиента останется.

Чтобы отключить службу ключей и использовать вместо неё её резервную копию:

1. В консоли администратора Google перейдите в меню. Данные Согласие Шифрование на стороне клиента .

   Перейдите к разделу «Шифрование на стороне клиента».

   Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

2. В разделе «Внешняя служба ключей» щелкните имя службы ключей, для которой вы хотите удалить резервную копию.
3. Нажмите «Отключить и использовать резервную копию» .
4. Поставьте галочки в поле «Отключая, я понимаю следующее» .
5. Нажмите «Отключить и использовать резервную копию» .

Возможно, возникла проблема с ключом, используемым для расшифровки содержимого. Свяжитесь со службой ключей, чтобы запросить новый URL-адрес. Подробную информацию об изменении URL-адреса службы ключей см. в разделе «Изменение URL-адреса службы ключей» выше.

Или, если служба ключей имеет службу резервного копирования, попробуйте использовать резервную копию. Подробности см. в разделе «Отключение службы ключей с резервным копированием» выше.

Возможно, проблема связана с ключом, используемым для шифрования содержимого. Свяжитесь со службой, предоставляющей вам ключи, чтобы запросить новый URL-адрес. Подробную информацию об изменении URL-адреса службы, предоставляющей ключи, см. в разделе «Изменение URL-адреса службы, предоставляющей ключи» выше.

В качестве альтернативы вы можете попробовать следующее:

• Замените текущую службу ключей другой службой ключей. Перейдите в раздел «Перенос зашифрованного контента в новую службу ключей» .
• Если служба ключей имеет службу резервного копирования, попробуйте использовать резервную копию. Подробности см. в разделе «Отключение службы ключей с резервным копированием» выше.

Попробуйте использовать службу резервного копирования ключей. Подробности см. в разделе «Отключение службы ключей с резервным копированием» выше.

Если пользователи по-прежнему не могут получить доступ к зашифрованному контенту или зашифровать новый контент, значит, проблема с резервным ключом. Обратитесь за помощью в службу поддержки ключей.