Endast Gmail: Konfigurera S/MIME för kryptering på klientsidan

Utgåvor som stöds för den här funktionen: Frontline Plus; Enterprise Plus; Education Standard och Education Plus. Jämför din utgåva

För att använda S/MIME med klientsideskryptering (CSE) för Gmail måste du aktivera Gmail API och ge det åtkomst till hela organisationen. Sedan måste du för varje användare använda Gmail API för att ladda upp ett S/MIME-certifikat (Secure/Multipurpose Internet Mail Extensions) (offentlig nyckel) och privat nyckelmetadata till Gmail. Om du använder en krypteringsnyckeltjänst måste du också kryptera (eller "slå in") användarnas privata nyckelmetadata med din nyckeltjänst.

Du kan när som helst byta till en annan nyckeltjänst genom att ladda upp nya S/MIME-certifikat och privata nyckelmetadata krypterade av din nya tjänst.

Krav

För att slutföra stegen för att konfigurera S/MIME för användare behöver du:

  • Superadministratörsbehörighet för din organisations Google-konto, som du behöver för att ge domänomfattande åtkomst till Gmail API.
  • Åtkomst till din organisations krypteringsnyckelverktyg eller deras supportpersonal.
  • Erfarenhet av att arbeta med API:er och Python-skript.

Om S/MIME

S/MIME är ett allmänt accepterat branschstandardprotokoll för digital signering och kryptering av e-postmeddelanden för att säkerställa meddelandens integritet och säkerhet. Gmail CSE använder S/MIME 3.2 IETF-standarden för att skicka och ta emot säkra MIME-data. S/MIME kräver att e-postavsändare och -mottagare har sina X.509-certifikat betrodda av Gmail.

Obs! Alternativt kan du använda S/MIME utan det extra krypterings- och sekretesslager som CSE erbjuder. Använd endast detta alternativ om du inte behöver hindra Googles servrar från att dekryptera dina data med CSE. Mer information finns i Aktivera värdbaserad S/MIME för meddelandekryptering .

Innan du börjar

Se till att du har slutfört följande steg:

  1. Välj en nyckeltjänst .
  2. Anslut till din identitetsleverantör (IdP) .
  3. Konfigurera din externa nyckeltjänst eller hårdvarunyckelkryptering .

  4. Tilldela en nyckeltjänst eller hårdvarunyckelkryptering till organisationsenheter eller grupper.

    Om du använder flera nyckeltjänster, se till att de är tilldelade till lämpliga organisationsenheter eller konfigurationsgrupper.

Konfigurera Gmail API

Obs: Användning av API:erna kräver programmeringskunskaper.

Steg 1: Aktivera Gmail API

  1. Skapa ett nytt GCP-projekt. Mer information finns i Skapa och hantera projekt .

    Notera projekt-ID:t: Du kommer att använda det för att bevilja API:et åtkomst för hela domänen.

  2. Gå till Google API-konsolen och aktivera Gmail API för det nya projektet. Mer information finns i Aktivera ett API i ditt Google Cloud-projekt .

Steg 2: Skapa ett domänomfattande tjänstkonto

  1. I Google Cloud-konsolen går du till sidan Tjänstkonton och skapar ett domänomfattande tjänstkonto. Mer information finns i Skapa och hantera tjänstkonton .
  2. Skapa en privat nyckel för ett tjänstkonto och spara nyckeln i en JSON-fil på ditt lokala system, till exempel svc_acct_creds.json . Den här filen innehåller de inloggningsuppgifter du använder när du konfigurerar Gmail för användare. Mer information finns i Skapa och hantera tjänstkontonycklar .

Steg 3: Ge Gmail API åtkomst för hela domänen

I det här steget använder du det tjänstkonto du skapade för att ge alla dina användare redigeringsåtkomst till Gmail API.

  1. Följ instruktionerna för Control API-åtkomst med domänomfattande delegering .
  2. Ange följande när du uppmanas:

    Klient-ID: Klient-ID för det tjänstekonto som skapades i steg 2 ovan.

    OAuth-omfång: gmail.settings.readonly och antingen gmail.settings.basic eller gmail.settings.sharing

Aktivera Gmail CSE för användare

Aktivera CSE för Gmail för organisationsenheterna eller grupperna. Mer information finns i Aktivera eller inaktivera klientsideskryptering .

Obs! För organisationsenheter kan du ställa in all e-post (skriv, svara och vidarebefordra) så att den krypteras som standard. Användaren kan fortfarande inaktivera kryptering vid behov. Kräver att du har tillägget Assured Controls eller Assured Controls Plus .

Konfigurera CSE S/MIME-certifikat för användare

När du har konfigurerat Gmail API och aktiverat Gmail CSE för användare i administratörskonsolen kan du konfigurera CSE S/MIME-certifikat och metadata för privata nycklar för dina användare.

Steg 1: Förbered S/MIME-certifikat och metadata för privata nycklar

För varje användare som ska använda Gmail CSE för att antingen skicka eller ta emot e-post:

Generera ett offentligt/privat S/MIME-nyckelpar med en certifikatkedja med hjälp av en certifikatutfärdare (CA). S/MIME-bladcertifikatet måste innehålla användarens primära Gmail-adress som ämnesnamn eller SAN-tilläggsämne.

Du kan göra något av följande:

  • Använd ett CA-rotcertifikat som är betrott av Google: För en lista över rotcertifikat, gå till CA-certifikat som är betrodda av Gmail för S/MIME .
  • Använd en certifikatutfärdare som inte är betrodd av Google: Om du till exempel vill använda din egen certifikatutfärdare kan du lägga till dess rotcertifikat i administratörskonsolen. Mer information finns i Hantera betrodda certifikat för S/MIME .

    Obs! Om du använder en CA som inte är betrodd av Google, och användare skickar krypterad e-post på klientsidan utanför din organisation, måste mottagaren också lita på CA:n.

Steg 2: Slå in certifikat och metadata för privata nycklar

Använd din nyckelkrypteringstjänst för att kryptera, eller "omsluta", metadata för de privata S/MIME-nycklarna. Kontakta din nyckeltjänst för att göra detta eller följ instruktionerna de tillhandahåller.

Om du använder hårdvarunyckelkryptering — Se till att hoppa över det här steget och inte slå in privata nyckelmetadata för användare som kommer att använda hårdvarunyckelkryptering. I det här fallet behövs inte inslagning av metadata eftersom användarnas privata nycklar för Gmail finns på deras smartkort. Kräver att du har tillägget Assured Controls eller Assured Controls Plus .

Steg 3: Ladda upp användarnas S/MIME-certifikat och metadata för privata nycklar till Gmail

Använd Gmail API för att ladda upp varje användares offentliga nyckel S/MIME-certifikatkedja och privata nyckelmetadata till Gmail och ställ in dem som föredragna nycklar för användarna genom att skapa en identitet.

Obs! Du måste använda Gmail API för att ladda upp certifikat, inte Gmail-klienten. Observera också att möjligheten att ladda upp certifikat från Gmail-klienten inaktiveras när du aktiverar CSE för Gmail.

Utför följande steg för varje användare med hjälp av den privata nyckelfil du laddade ner när du skapade ett domänomfattande tjänstkonto för autentisering:

  1. Ladda upp certifikatkedjan och metadata för den privata nyckeln med hjälp av Gmail API-anropet keypairs.create .
  2. Aktivera nyckelparet för användarens primära e-postadress med hjälp av Gmail API-anropet identities.create .

    Anropet identities.create kräver det nyckelpar-ID som returneras i svarstexten för keypairs.create -anropet.

    Obs! Aktivera nyckelparet för en användares e-postadress:

    • Skapar en CSE-identitet som är behörig att skicka e-post från användarens konto.
    • Konfigurerar Gmail för att använda metadata för privat nyckel för att signera utgående CSE-e-post.
    • Publicerar certifikatet till en delad domänomfattande databas så att andra ASM-användare i din organisation kan kryptera meddelanden som skickas till den här användaren.

För att slutföra dessa steg, använd ett skript som samverkar med Gmail API. Du kan göra något av följande:

  • Skriv ditt eget manus.
  • Använd Python-exempelskriptet som Google tillhandahåller. För instruktioner, gå till Använd Googles Python-skript för att ladda upp användarcertifikat och inslagna nycklar till Gmail senare på den här sidan.

    Obs! Det här skriptet gäller endast för användare som använder en nyckeltjänst för att kryptera Gmail-innehåll. För alla användare som använder hårdvarunyckelkryptering måste du skapa ett annat skript för att ladda upp deras oöppnade privata nyckelmetadata.

När du har laddat upp certifikaten kan det ta upp till 24 timmar innan de är tillgängliga i Gmail, men det sker vanligtvis mycket snabbare.

(Valfritt) Använd Googles Python-exempelskript för att ladda upp användarcertifikat och inslagna privata nycklar till Gmail

För att slutföra steg 3 ovan kan du använda Python-skriptet som Google tillhandahåller istället för att skriva ditt eget skript.

Obs! Det här skriptet frågar efter de tre omfången du kan använda för att bevilja Gmail API-åtkomst för hela domänen ( listade tidigare på den här sidan ): gmail.settings.readonly , gmail.settings.basic och gmail.settings.sharing . För att använda skriptet kan du antingen aktivera alla tre omfången eller ta bort det omfång du inte använder från skriptet.

Ladda ner skriptet

Ladda ner Python-skriptpaketet (.zip) till din dator (Mac, Linux eller Windows) och extrahera filerna till din arbetskatalog.

Skapa en virtuell miljö och installera moduler

Använd en kommandorad från din arbetskatalog och ange följande kommandon:

Anropa skriptet

Ladda upp användarcertifikat och nycklar

Steg 1: Skapa en katalog för att lagra alla inslagna privata nycklar

  • Du kan till exempel skapa katalogen $root/wrapped_keys .
  • Filnamnet för varje inlindad privat nyckel måste vara användarens fullständiga e-postadress med tillägget .wrap . Till exempel: $root/wrapped_keys/user1@example.com.wrap
  • Se till att den inslagna privata nyckelfilen har ett JSON-objekt med två obligatoriska fält:

Steg 2: Skapa en katalog för att lagra alla certifikat

  • Certifikat måste vara i P7 PEM-format, så du kan skapa katalogen $root/p7pem_certs .
  • Se till att certifikatfilen innehåller hela kedjan till rotcertifikatutfärdaren (CA).
  • Filnamnet för varje certifikat måste vara användarens fullständiga e-postadress med filändelsen .p7pem . Till exempel: $root/p7pem_certs/user1@example.com.p7pem

Om du har en P7B-fil: Du kan använda följande openssl-kommentar för att konvertera den till P7 PEM-formatet:

Steg 3: Ladda upp användarnas nyckelpar och identiteter

För det här steget behöver du JSON-filen som innehåller inloggningsuppgifterna för tjänstkontot, som du sparade på din dator i steg 2: Skapa ett tjänstkonto ovan.

Det enklaste sättet att ladda upp användares nyckelpar och identiteter är att köra kommandot insert . Observera att varje kommando måste ha ett argument – ​​till exempel:

Alternativt kan du göra följande för varje användare:

  1. Kör insert_keypair och anteckna nyckelparets ID.
  2. Kör insert_identity med det nyckelpars-ID:t.

Du kan också hämta nyckelpars-ID:t genom att köra kommandot list_keypair .

Steg 4: Verifiera att användarna har CSE-nyckelpar och identiteter

Se till att användarna har giltiga nyckelpar och identiteter i Gmail genom att köra följande kommandon för varje användare:

list_keypair

list_identity

Så här byter du till en annan nyckeltjänst för Gmail CSE

Om du vill byta till en annan nyckeltjänst för Gmail CSE, upprepa steg 2 och 3 under Konfigurera CSE S/MIME-certifikat för användare ovan och använd din nya nyckeltjänst för att omsluta de privata nycklarna.

Obs! Att ladda upp nya certifikat för användare migrerar inte innehåll till den nya nyckeltjänsten. Användare kan dock fortsätta att få åtkomst till e-post som är krypterad med de tidigare certifikaten och metadata för privata nycklar som omslutits av den gamla nyckeltjänsten.

Migrera meddelanden till Gmail som krypterad e-post på klientsidan

Nu när Gmail CSE har konfigurerats kan du valfritt importera meddelanden. Mer information finns i Migrera meddelanden till Gmail som krypterad e-post på klientsidan .