فقط جیمیل: پیکربندی S/MIME برای رمزگذاری سمت کلاینت

1. یک پروژه GCP جدید ایجاد کنید. برای جزئیات بیشتر، به ایجاد و مدیریت پروژه‌ها بروید.

   به شناسه پروژه توجه کنید: از آن برای اعطای دسترسی در سطح دامنه به API استفاده خواهید کرد.

2. به کنسول API گوگل بروید و Gmail API را برای پروژه جدید فعال کنید. برای جزئیات بیشتر، به فعال کردن API در پروژه Google Cloud خود بروید.

1. در کنسول گوگل کلود، به صفحه حساب‌های سرویس بروید و یک حساب سرویس در سطح دامنه ایجاد کنید. برای جزئیات بیشتر، به بخش ایجاد و مدیریت حساب‌های سرویس بروید.
2. Create a service account private key, and save the key to a JSON file on to your local system, such as svc_acct_creds.json . This file contains the credentials you'll use when setting up Gmail for users. For details, go to Create and manage service account keys .

برای این مرحله، از حساب سرویسی که ایجاد کرده‌اید برای دادن دسترسی ویرایش Gmail API به همه کاربرانتان استفاده خواهید کرد.

1. دستورالعمل‌های مربوط به کنترل دسترسی API با واگذاری اختیار در سطح دامنه را دنبال کنید.
2. Enter the following when prompted:

   شناسه کلاینت: شناسه کلاینت حساب سرویس ایجاد شده در مرحله 2 بالا.

   دامنه‌های OAuth: gmail.settings.readonly و gmail.settings.basic یا gmail.settings.sharing

برای هر کاربری که از Gmail CSE برای ارسال یا دریافت ایمیل استفاده می‌کند:

با استفاده از یک مرجع صدور گواهینامه (CA)، یک جفت کلید عمومی/خصوصی S/MIME با یک زنجیره گواهینامه ایجاد کنید. گواهی برگ S/MIME باید شامل آدرس Gmail اصلی کاربر به عنوان نام موضوع یا موضوع افزونه SAN باشد.

You can do either of the following:

• از یک گواهی ریشه CA مورد اعتماد گوگل استفاده کنید: برای مشاهده فهرستی از گواهی‌های ریشه، به گواهی‌های CA مورد اعتماد Gmail برای S/MIME مراجعه کنید.
• از یک CA که مورد اعتماد گوگل نیست استفاده کنید: برای مثال، برای استفاده از CA خودتان، می‌توانید گواهی ریشه آن را در کنسول مدیریت اضافه کنید. برای جزئیات بیشتر، به مدیریت گواهی‌های معتبر برای S/MIME بروید.

  توجه: اگر از یک CA استفاده می‌کنید که مورد اعتماد گوگل نیست و کاربران ایمیل‌های رمزگذاری شده سمت کلاینت را به خارج از سازمان شما ارسال می‌کنند، گیرنده نیز باید به CA اعتماد کند.

از سرویس رمزگذاری کلید خود برای رمزگذاری یا "بسته‌بندی" فراداده‌های کلیدهای خصوصی S/MIME استفاده کنید. برای انجام این کار با سرویس کلید خود تماس بگیرید یا دستورالعمل‌های ارائه شده توسط آنها را دنبال کنید.

If you're using hardware key encryption —Make sure you skip this step and don't wrap private key metadata for any users who will use hardware key encryption. In this case, wrapping the metadata isn't needed because users' private keys for Gmail reside on their smart cards. Requires having the Assured Controls or Assured Controls Plus add-on .

از API جیمیل برای آپلود زنجیره گواهی S/MIME کلید عمومی هر کاربر و فراداده کلید خصوصی در جیمیل استفاده کنید و با ایجاد یک هویت، آنها را به عنوان کلیدهای ترجیحی برای کاربران تنظیم کنید.

Note: You need to use the Gmail API to upload certificates, not the Gmail client. Also, note that the ability to upload certificates from Gmail client is disabled when you turn on CSE for Gmail.

Compete the following steps for each user, using the private key file you downloaded when creating a domain-wide service account for authentication:

1. زنجیره گواهی و فراداده کلید خصوصی را با استفاده از فراخوانی keypairs.create از API جیمیل آپلود کنید.
2. با استفاده از فراخوانی identities.create از API جیمیل، جفت‌کلید را برای آدرس ایمیل اصلی کاربر فعال کنید .

   فراخوانی identities.create به شناسه جفت کلید که در بدنه پاسخ فراخوانی keypairs.create برگردانده شده است، نیاز دارد.

   نکته: فعال کردن جفت کلید برای آدرس ایمیل کاربر:

   • یک هویت CSE ایجاد می‌کند که مجاز به ارسال ایمیل از حساب کاربر است.
   • جیمیل را طوری پیکربندی می‌کند که از فراداده کلید خصوصی برای امضای ایمیل‌های خروجی CSE استفاده کند.
   • گواهی را در یک مخزن مشترک در سطح دامنه منتشر می‌کند تا سایر کاربران CSE در سازمان شما بتوانند پیام‌های ارسالی به این کاربر را رمزگذاری کنند.

برای انجام این مراحل، از اسکریپتی استفاده کنید که با Gmail API رابط کاربری دارد. می‌توانید یکی از موارد زیر را انجام دهید:

• Write your own script.
• از نمونه اسکریپت پایتونی که گوگل ارائه می‌دهد استفاده کنید. برای دستورالعمل‌ها، بعداً در همین صفحه به «استفاده از اسکریپت پایتون گوگل برای آپلود گواهی‌نامه‌ها و کلیدهای فشرده‌شده کاربران در جیمیل» مراجعه کنید.

  توجه: این اسکریپت فقط برای کاربرانی اعمال می‌شود که از یک سرویس کلید برای رمزگذاری محتوای Gmail استفاده می‌کنند . برای هر کاربری که از رمزگذاری کلید سخت‌افزاری استفاده می‌کند، باید اسکریپت متفاوتی برای بارگذاری فراداده کلید خصوصی باز نشده خود ایجاد کنید.

بعد از آپلود گواهینامه‌ها، ممکن است تا ۲۴ ساعت طول بکشد تا در جیمیل در دسترس قرار گیرند، هرچند معمولاً این اتفاق خیلی سریع‌تر رخ می‌دهد.

برای تکمیل مرحله ۳ در بالا، می‌توانید به جای نوشتن اسکریپت خودتان، از اسکریپت پایتونی که گوگل ارائه می‌دهد استفاده کنید.

توجه: این اسکریپت از شما ۳ محدوده دسترسی درخواست می‌کند که می‌توانید برای اعطای دسترسی‌های دامنه‌ای به API جیمیل ( که قبلاً در این صفحه ذکر شده‌اند ) از آنها استفاده کنید: gmail.settings.readonly ، gmail.settings.basic و gmail.settings.sharing . برای استفاده از اسکریپت، می‌توانید هر سه محدوده را فعال کنید یا محدوده‌ای را که استفاده نمی‌کنید از اسکریپت حذف کنید.

Download the script

بسته اسکریپت پایتون (.zip) را روی رایانه خود (مک، لینوکس یا ویندوز) دانلود کنید و فایل‌ها را در دایرکتوری کاری خود استخراج کنید.

Create a virtual environment and install modules

با استفاده از خط فرمان از دایرکتوری کاری خود، دستورات زیر را وارد کنید:

Invoke the script

Upload user's certificates and keys

مرحله ۱: ایجاد یک دایرکتوری برای ذخیره تمام کلیدهای خصوصی رمزگذاری شده

• برای مثال، ممکن است دایرکتوری $root/wrapped_keys ایجاد کنید.
• نام فایل هر کلید خصوصیِ فشرده‌شده باید آدرس ایمیل کامل کاربر با پسوند .wrap باشد. برای مثال: $root/wrapped_keys/user1@example.com.wrap
• مطمئن شوید که فایل کلید خصوصیِ فشرده‌شده دارای یک شیء JSON با دو فیلد الزامی است:

مرحله ۲: ایجاد یک دایرکتوری برای ذخیره همه گواهینامه‌ها

• گواهینامه‌ها باید در قالب PEM P7 باشند، بنابراین، می‌توانید دایرکتوری $root/p7pem_certs را ایجاد کنید.
• مطمئن شوید که فایل گواهی شامل زنجیره کامل مرجع صدور گواهی ریشه (CA) است.
• نام فایل هر گواهی باید آدرس ایمیل کامل کاربر با پسوند .p7pem باشد. برای مثال: $root/p7pem_certs/user1@example.com.p7pem

اگر فایل P7B دارید: می‌توانید از کامنت openssl زیر برای تبدیل آن به فرمت PEM P7 استفاده کنید:

Step 3: Upload users' key pairs and identities

برای این مرحله، به فایل JSON حاوی اطلاعات احراز هویت حساب سرویس نیاز دارید که در مرحله ۲: ایجاد حساب سرویس در بالا، در رایانه خود ذخیره کرده‌اید.

ساده‌ترین راه برای آپلود جفت کلیدها و هویت‌های کاربران، اجرای دستور insert است. توجه داشته باشید که هر دستور باید یک آرگومان داشته باشد - برای مثال:

به عنوان یک راه حل جایگزین، می‌توانید برای هر کاربر مراحل زیر را انجام دهید:

1. Run insert_keypair , and note the keypair ID.
2. Run insert_identity using that keypair ID.

همچنین می‌توانید با اجرای دستور list_keypair شناسه جفت کلید را دریافت کنید.

مرحله ۴: تأیید کنید که کاربران دارای جفت کلید CSE و هویت هستند

با اجرای دستورات زیر برای هر کاربر، مطمئن شوید که جفت کلیدها و هویت‌های معتبری در Gmail دارند:

list_keypair

list_identity