শুধুমাত্র Gmail: ক্লায়েন্ট-সাইড এনক্রিপশনের জন্য S/MIME কনফিগার করুন

1. একটি নতুন GCP প্রজেক্ট তৈরি করুন। বিস্তারিত জানতে, প্রজেক্ট তৈরি ও পরিচালনা (Creating and managing projects) অংশে যান।

   প্রজেক্ট আইডিটি নোট করুন: এপিআই-কে ডোমেন-ব্যাপী অ্যাক্সেস দেওয়ার জন্য আপনি এটি ব্যবহার করবেন।

2. Google API কনসোলে যান এবং নতুন প্রজেক্টের জন্য Gmail API সক্রিয় করুন। বিস্তারিত জানতে, আপনার Google Cloud প্রজেক্টে একটি API সক্রিয় করা (Enabling an API in your Google Cloud project) অংশটি দেখুন।

1. গুগল ক্লাউড কনসোলে, সার্ভিস অ্যাকাউন্টস পৃষ্ঠায় যান এবং একটি ডোমেন-ব্যাপী সার্ভিস অ্যাকাউন্ট তৈরি করুন। বিস্তারিত জানতে, সার্ভিস অ্যাকাউন্টস তৈরি ও পরিচালনা (Create and manage service accounts) অংশে যান।
2. একটি সার্ভিস অ্যাকাউন্ট প্রাইভেট কী তৈরি করুন এবং কী-টি আপনার লোকাল সিস্টেমে একটি JSON ফাইলে সেভ করুন, যেমন svc_acct_creds.json । ব্যবহারকারীদের জন্য Gmail সেট আপ করার সময় আপনি এই ক্রেডেনশিয়ালগুলো ব্যবহার করবেন। বিস্তারিত জানতে, "সার্ভিস অ্যাকাউন্ট কী তৈরি এবং পরিচালনা করুন" অংশে যান।

এই ধাপে, আপনার তৈরি করা সার্ভিস অ্যাকাউন্টটি ব্যবহার করে আপনি আপনার সকল ব্যবহারকারীকে Gmail API সম্পাদনার অ্যাক্সেস দেবেন।

1. ডোমেন-ব্যাপী ডেলিগেশনের মাধ্যমে এপিআই অ্যাক্সেস নিয়ন্ত্রণের জন্য নির্দেশাবলী অনুসরণ করুন।
2. নির্দেশিত হলে নিম্নলিখিতগুলি প্রবেশ করান:

   ক্লায়েন্ট আইডি: উপরে ধাপ ২- এ তৈরি করা সার্ভিস অ্যাকাউন্টের ক্লায়েন্ট আইডি।

   OAuth স্কোপ: gmail.settings.readonly এবং gmail.settings.basic অথবা gmail.settings.sharing

যেসব ব্যবহারকারী ইমেল পাঠাতে বা গ্রহণ করতে Gmail CSE ব্যবহার করবেন, তাদের প্রত্যেকের জন্য:

একটি সার্টিফিকেট অথরিটি (CA) ব্যবহার করে, একটি সার্টিফিকেট চেইন সহ একটি S/MIME পাবলিক/প্রাইভেট কী পেয়ার তৈরি করুন। S/MIME লিফ সার্টিফিকেটে সাবজেক্ট নেম বা SAN এক্সটেনশন সাবজেক্ট হিসেবে ব্যবহারকারীর প্রাথমিক Gmail অ্যাড্রেসটি অবশ্যই অন্তর্ভুক্ত থাকতে হবে।

আপনি নিম্নলিখিত কাজগুলোর যেকোনো একটি করতে পারেন:

• Google দ্বারা বিশ্বস্ত একটি CA রুট সার্টিফিকেট ব্যবহার করুন: রুট সার্টিফিকেটের তালিকার জন্য, Gmail for S/MIME-এ বিশ্বস্ত CA সার্টিফিকেটগুলো দেখুন।
• এমন একটি CA ব্যবহার করুন যা Google দ্বারা বিশ্বস্ত নয়: উদাহরণস্বরূপ, আপনার নিজের CA ব্যবহার করতে, আপনি অ্যাডমিন কনসোলে এর রুট সার্টিফিকেটটি যোগ করতে পারেন। বিস্তারিত জানতে, S/MIME-এর জন্য বিশ্বস্ত সার্টিফিকেট পরিচালনা (Manage trusted certificates for S/MIME ) অংশে যান।

  দ্রষ্টব্য: আপনি যদি Google দ্বারা বিশ্বস্ত নয় এমন কোনো CA ব্যবহার করেন এবং ব্যবহারকারীরা আপনার প্রতিষ্ঠানের বাইরে ক্লায়েন্ট-সাইড এনক্রিপ্টেড ইমেল পাঠান, তাহলে প্রাপককেও অবশ্যই সেই CA-কে বিশ্বাস করতে হবে।

আপনার কী এনক্রিপশন পরিষেবা ব্যবহার করে S/MIME প্রাইভেট কী-গুলির মেটাডেটা এনক্রিপ্ট বা 'র‍্যাপ' করুন। এটি করার জন্য আপনার কী পরিষেবার সাথে যোগাযোগ করুন অথবা তাদের দেওয়া নির্দেশাবলী অনুসরণ করুন।

আপনি যদি হার্ডওয়্যার কী এনক্রিপশন ব্যবহার করেন — তাহলে এই ধাপটি এড়িয়ে যান এবং যেসব ব্যবহারকারী হার্ডওয়্যার কী এনক্রিপশন ব্যবহার করবেন, তাদের প্রাইভেট কী মেটাডেটা র‍্যাপ করবেন না । এক্ষেত্রে মেটাডেটা র‍্যাপ করার প্রয়োজন নেই, কারণ ব্যবহারকারীদের জিমেইলের প্রাইভেট কীগুলো তাদের স্মার্ট কার্ডে থাকে। এর জন্য অ্যাসিওরড কন্ট্রোলস অথবা অ্যাসিওরড কন্ট্রোলস প্লাস অ্যাড-অন থাকা আবশ্যক।

একটি আইডেন্টিটি তৈরি করার মাধ্যমে, Gmail API ব্যবহার করে প্রতিটি ব্যবহারকারীর পাবলিক কী S/MIME সার্টিফিকেট চেইন এবং প্রাইভেট কী মেটাডেটা Gmail-এ আপলোড করুন এবং সেগুলোকে ব্যবহারকারীদের জন্য পছন্দের কী হিসেবে সেট করুন।

দ্রষ্টব্য: সার্টিফিকেট আপলোড করার জন্য আপনাকে Gmail ক্লায়েন্ট নয় , Gmail API ব্যবহার করতে হবে। আরও মনে রাখবেন যে, আপনি যখন Gmail-এর জন্য CSE চালু করবেন, তখন Gmail ক্লায়েন্ট থেকে সার্টিফিকেট আপলোড করার সুবিধাটি নিষ্ক্রিয় হয়ে যাবে।

প্রমাণীকরণের জন্য ডোমেন-ব্যাপী পরিষেবা অ্যাকাউন্ট তৈরি করার সময় আপনি যে প্রাইভেট কী ফাইলটি ডাউনলোড করেছিলেন, সেটি ব্যবহার করে প্রতিটি ব্যবহারকারীর জন্য নিম্নলিখিত ধাপগুলি সম্পন্ন করুন:

1. Gmail API কল keypairs.create ব্যবহার করে সার্টিফিকেট চেইন এবং প্রাইভেট কী মেটাডেটা আপলোড করুন ।
2. Gmail API কল identities.create ব্যবহার করে ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানার জন্য কীপেয়ারটি সক্রিয় করুন ।

   identities.create কলটির জন্য সেই কী পেয়ার আইডি-টি প্রয়োজন হয়, যা keypairs.create কলের রেসপন্স বডিতে ফেরত আসে।

   দ্রষ্টব্য: একজন ব্যবহারকারীর ইমেল ঠিকানার জন্য কী পেয়ার সক্রিয় করা:

   • একটি সিএসই আইডেন্টিটি তৈরি করে যা ব্যবহারকারীর অ্যাকাউন্ট থেকে ইমেল পাঠানোর জন্য অনুমোদিত।
   • বহির্গামী CSE মেইলে স্বাক্ষর করার জন্য প্রাইভেট কী মেটাডেটা ব্যবহার করতে Gmail-কে কনফিগার করে।
   • সার্টিফিকেটটি একটি শেয়ার্ড ডোমেন-ব্যাপী রিপোজিটরিতে প্রকাশ করে, যাতে আপনার প্রতিষ্ঠানের অন্যান্য CSE ব্যবহারকারীরা এই ব্যবহারকারীকে পাঠানো বার্তা এনক্রিপ্ট করতে পারে।

এই ধাপগুলো সম্পন্ন করতে, জিমেইল এপিআই (Gmail API)-এর সাথে ইন্টারফেস করে এমন একটি স্ক্রিপ্ট ব্যবহার করুন। আপনি নিম্নলিখিত দুটি পদ্ধতির যেকোনো একটি অনুসরণ করতে পারেন:

• আপনার নিজের চিত্রনাট্য লিখুন।
• গুগলের দেওয়া পাইথন নমুনা স্ক্রিপ্টটি ব্যবহার করুন। নির্দেশাবলীর জন্য, এই পৃষ্ঠার পরবর্তী অংশে থাকা ‘Use Google's Python script to upload users' certificates and wrapped keys to Gmail’ অংশটি দেখুন।

  দ্রষ্টব্য: এই স্ক্রিপ্টটি শুধুমাত্র সেইসব ব্যবহারকারীদের জন্য প্রযোজ্য যারা জিমেইল কন্টেন্ট এনক্রিপ্ট করার জন্য একটি কী সার্ভিস ব্যবহার করবেন । যেসব ব্যবহারকারী হার্ডওয়্যার কী এনক্রিপশন ব্যবহার করবেন, তাদের আনর‍্যাপড প্রাইভেট কী মেটাডেটা আপলোড করার জন্য আপনাকে একটি ভিন্ন স্ক্রিপ্ট তৈরি করতে হবে।

সার্টিফিকেটগুলো আপলোড করার পর জিমেইলে সেগুলো পাওয়া যেতে ২৪ ঘণ্টা পর্যন্ত সময় লাগতে পারে, যদিও সাধারণত এর চেয়ে অনেক দ্রুতই হয়ে যায়।

উপরের ধাপ ৩ সম্পন্ন করতে, আপনি নিজের স্ক্রিপ্ট লেখার পরিবর্তে গুগলের দেওয়া পাইথন স্ক্রিপ্টটি ব্যবহার করতে পারেন।

দ্রষ্টব্য: এই স্ক্রিপ্টটি তিনটি স্কোপ জানতে চায় যা আপনি Gmail API-কে ডোমেন-ব্যাপী অ্যাক্সেস দেওয়ার জন্য ব্যবহার করতে পারেন ( এই পৃষ্ঠায় আগে তালিকাভুক্ত ): gmail.settings.readonly , gmail.settings.basic , এবং gmail.settings.sharing । স্ক্রিপ্টটি ব্যবহার করার জন্য, আপনি হয় তিনটি স্কোপই সক্রিয় করতে পারেন অথবা যে স্কোপটি ব্যবহার করছেন না সেটি স্ক্রিপ্ট থেকে সরিয়ে দিতে পারেন।

স্ক্রিপ্টটি ডাউনলোড করুন

আপনার কম্পিউটারে (ম্যাক, লিনাক্স বা উইন্ডোজ) পাইথন স্ক্রিপ্ট প্যাকেজ (.zip) ডাউনলোড করুন এবং ফাইলগুলো আপনার ওয়ার্কিং ডিরেক্টরিতে এক্সট্র্যাক্ট করুন।

একটি ভার্চুয়াল পরিবেশ তৈরি করুন এবং মডিউলগুলি ইনস্টল করুন

আপনার ওয়ার্কিং ডিরেক্টরি থেকে কমান্ড লাইন ব্যবহার করে নিম্নলিখিত কমান্ডগুলো প্রবেশ করান:

স্ক্রিপ্টটি চালু করুন

ব্যবহারকারীর সার্টিফিকেট এবং কী আপলোড করুন

ধাপ ১: সমস্ত র‍্যাপ করা প্রাইভেট কী সংরক্ষণের জন্য একটি ডিরেক্টরি তৈরি করুন।

• উদাহরণস্বরূপ, আপনি $root/wrapped_keys ডিরেক্টরিটি তৈরি করতে পারেন।
• প্রতিটি র‍্যাপ করা প্রাইভেট কী-এর ফাইলের নাম অবশ্যই ব্যবহারকারীর সম্পূর্ণ ইমেল ঠিকানা হতে হবে এবং এর সাথে .wrap এক্সটেনশনটি যুক্ত থাকতে হবে। উদাহরণস্বরূপ: $root/wrapped_keys/user1@example.com.wrap
• নিশ্চিত করুন যে র‍্যাপ করা প্রাইভেট কী ফাইলটিতে দুটি আবশ্যক ফিল্ড সহ একটি JSON অবজেক্ট রয়েছে:

ধাপ ২: সকল সার্টিফিকেট সংরক্ষণের জন্য একটি ডিরেক্টরি তৈরি করুন।

• সার্টিফিকেটগুলো P7 PEM ফরম্যাটে হতে হবে, তাই আপনাকে $root/p7pem_certs নামের ডিরেক্টরিটি তৈরি করতে হতে পারে।
• নিশ্চিত করুন যে সার্টিফিকেট ফাইলটিতে রুট সার্টিফিকেট অথরিটি (CA)-এর সম্পূর্ণ চেইন অন্তর্ভুক্ত রয়েছে।
• প্রতিটি সার্টিফিকেটের ফাইলের নাম অবশ্যই ব্যবহারকারীর সম্পূর্ণ ইমেল ঠিকানা হতে হবে এবং এর সাথে .p7pem এক্সটেনশনটি যুক্ত থাকতে হবে। উদাহরণস্বরূপ: $root/p7pem_certs/user1@example.com.p7pem

আপনার কাছে যদি একটি P7B ফাইল থাকে, তবে সেটিকে P7 PEM ফরম্যাটে রূপান্তর করতে আপনি নিম্নলিখিত openssl কমান্ডটি ব্যবহার করতে পারেন:

ধাপ ৩: ব্যবহারকারীদের কী পেয়ার এবং পরিচয় আপলোড করুন

এই ধাপের জন্য আপনার সার্ভিস অ্যাকাউন্টের ক্রেডেনশিয়াল সম্বলিত JSON ফাইলটির প্রয়োজন হবে, যেটি আপনি উপরের 'ধাপ ২: একটি সার্ভিস অ্যাকাউন্ট তৈরি করুন' অংশে আপনার কম্পিউটারে সংরক্ষণ করেছিলেন।

ব্যবহারকারীদের কী পেয়ার এবং আইডেন্টিটি আপলোড করার সবচেয়ে সহজ উপায় হলো insert কমান্ডটি চালানো। মনে রাখবেন, প্রতিটি কমান্ডের একটি আর্গুমেন্ট থাকতে হবে—উদাহরণস্বরূপ:

বিকল্পভাবে, আপনি প্রতিটি ব্যবহারকারীর জন্য নিম্নলিখিত কাজগুলো করতে পারেন:

1. insert_keypair চালান এবং কীপেয়ার আইডিটি নোট করুন।
2. ঐ কীপেয়ার আইডি ব্যবহার করে insert_identity চালান।

আপনি list_keypair কমান্ডটি চালিয়েও কীপেয়ার আইডি পেতে পারেন।

ধাপ ৪: ব্যবহারকারীদের কাছে CSE কী পেয়ার এবং আইডেন্টিটি আছে কিনা তা যাচাই করুন।

প্রতিটি ব্যবহারকারীর জন্য নিম্নলিখিত কমান্ডগুলি চালিয়ে নিশ্চিত করুন যে Gmail-এ তাদের বৈধ কী পেয়ার এবং আইডেন্টিটি রয়েছে:

list_keypair

list_identity