শুধুমাত্র Gmail: ক্লায়েন্ট-সাইড এনক্রিপশনের জন্য S/MIME কনফিগার করুন

1. একটি নতুন GCP প্রজেক্ট তৈরি করুন। বিস্তারিত জানতে, প্রজেক্ট তৈরি ও পরিচালনা (Creating and managing projects) অংশে যান।

   প্রজেক্ট আইডিটি নোট করুন: এপিআই-কে ডোমেন-ব্যাপী অ্যাক্সেস দেওয়ার জন্য আপনি এটি ব্যবহার করবেন।

2. Go the Google API Console and enable the Gmail API for the new project. For details, go to Enabling an API in your Google Cloud project .

1. In the Google Cloud console, go to the Service accounts page and create a domain-wide service account. For details, go to Create and manage service accounts .
2. একটি সার্ভিস অ্যাকাউন্ট প্রাইভেট কী তৈরি করুন এবং কী-টি আপনার লোকাল সিস্টেমে একটি JSON ফাইলে সেভ করুন, যেমন svc_acct_creds.json । ব্যবহারকারীদের জন্য Gmail সেট আপ করার সময় আপনি এই ক্রেডেনশিয়ালগুলো ব্যবহার করবেন। বিস্তারিত জানতে, "সার্ভিস অ্যাকাউন্ট কী তৈরি এবং পরিচালনা করুন" অংশে যান।

এই ধাপে, আপনার তৈরি করা সার্ভিস অ্যাকাউন্টটি ব্যবহার করে আপনি আপনার সকল ব্যবহারকারীকে Gmail API সম্পাদনার অ্যাক্সেস দেবেন।

1. ডোমেন-ব্যাপী ডেলিগেশনের মাধ্যমে এপিআই অ্যাক্সেস নিয়ন্ত্রণের জন্য নির্দেশাবলী অনুসরণ করুন।
2. Enter the following when prompted:

   ক্লায়েন্ট আইডি: উপরে ধাপ ২- এ তৈরি করা সার্ভিস অ্যাকাউন্টের ক্লায়েন্ট আইডি।

   OAuth স্কোপ: gmail.settings.readonly এবং gmail.settings.basic অথবা gmail.settings.sharing

যেসব ব্যবহারকারী ইমেল পাঠাতে বা গ্রহণ করতে Gmail CSE ব্যবহার করবেন, তাদের প্রত্যেকের জন্য:

Using a certificate authority (CA), generate an S/MIME public/private key pair with a certificate chain. The S/MIME leaf certificate must include the user's primary Gmail address as a subject name or SAN extension subject.

You can do either of the following:

• Use a CA root certificate trusted by Google: For a list of root certificates, go to CA certificates trusted by Gmail for S/MIME .
• এমন একটি CA ব্যবহার করুন যা Google দ্বারা বিশ্বস্ত নয়: উদাহরণস্বরূপ, আপনার নিজের CA ব্যবহার করতে, আপনি অ্যাডমিন কনসোলে এর রুট সার্টিফিকেটটি যোগ করতে পারেন। বিস্তারিত জানতে, S/MIME-এর জন্য বিশ্বস্ত সার্টিফিকেট পরিচালনা (Manage trusted certificates for S/MIME ) অংশে যান।

  Note: If you use a CA that's not trusted by Google, and users will send client-side encrypted email outside your organization, the receiver must also trust the CA.

আপনার কী এনক্রিপশন পরিষেবা ব্যবহার করে S/MIME প্রাইভেট কী-গুলির মেটাডেটা এনক্রিপ্ট বা 'র‍্যাপ' করুন। এটি করার জন্য আপনার কী পরিষেবার সাথে যোগাযোগ করুন অথবা তাদের দেওয়া নির্দেশাবলী অনুসরণ করুন।

If you're using hardware key encryption —Make sure you skip this step and don't wrap private key metadata for any users who will use hardware key encryption. In this case, wrapping the metadata isn't needed because users' private keys for Gmail reside on their smart cards. Requires having the Assured Controls or Assured Controls Plus add-on .

Use the Gmail API to upload each user's public key S/MIME certificate chain and private key metadata to Gmail and set them as the preferred keys for the users by creating an identity.

দ্রষ্টব্য: সার্টিফিকেট আপলোড করার জন্য আপনাকে Gmail ক্লায়েন্ট নয় , Gmail API ব্যবহার করতে হবে। আরও মনে রাখবেন যে, আপনি যখন Gmail-এর জন্য CSE চালু করবেন, তখন Gmail ক্লায়েন্ট থেকে সার্টিফিকেট আপলোড করার সুবিধাটি নিষ্ক্রিয় হয়ে যাবে।

প্রমাণীকরণের জন্য ডোমেন-ব্যাপী পরিষেবা অ্যাকাউন্ট তৈরি করার সময় আপনি যে প্রাইভেট কী ফাইলটি ডাউনলোড করেছিলেন, সেটি ব্যবহার করে প্রতিটি ব্যবহারকারীর জন্য নিম্নলিখিত ধাপগুলি সম্পন্ন করুন:

1. Gmail API কল keypairs.create ব্যবহার করে সার্টিফিকেট চেইন এবং প্রাইভেট কী মেটাডেটা আপলোড করুন ।
2. Gmail API কল identities.create ব্যবহার করে ব্যবহারকারীর প্রাথমিক ইমেল ঠিকানার জন্য কীপেয়ারটি সক্রিয় করুন ।

   identities.create কলটির জন্য সেই কী পেয়ার আইডি-টি প্রয়োজন হয়, যা keypairs.create কলের রেসপন্স বডিতে ফেরত আসে।

   দ্রষ্টব্য: একজন ব্যবহারকারীর ইমেল ঠিকানার জন্য কী পেয়ার সক্রিয় করা:

   • একটি সিএসই আইডেন্টিটি তৈরি করে যা ব্যবহারকারীর অ্যাকাউন্ট থেকে ইমেল পাঠানোর জন্য অনুমোদিত।
   • বহির্গামী CSE মেইলে স্বাক্ষর করার জন্য প্রাইভেট কী মেটাডেটা ব্যবহার করতে Gmail-কে কনফিগার করে।
   • সার্টিফিকেটটি একটি শেয়ার্ড ডোমেন-ব্যাপী রিপোজিটরিতে প্রকাশ করে, যাতে আপনার প্রতিষ্ঠানের অন্যান্য CSE ব্যবহারকারীরা এই ব্যবহারকারীকে পাঠানো বার্তা এনক্রিপ্ট করতে পারে।

এই ধাপগুলো সম্পন্ন করতে, জিমেইল এপিআই (Gmail API)-এর সাথে ইন্টারফেস করে এমন একটি স্ক্রিপ্ট ব্যবহার করুন। আপনি নিম্নলিখিত দুটি পদ্ধতির যেকোনো একটি অনুসরণ করতে পারেন:

• Write your own script.
• Use the Python sample script that Google provides. For instructions, go to Use Google's Python script to upload users' certificates and wrapped keys to Gmail later on this page.

  Note: This script applies only for users who'll use a key service to encrypt Gmail content. For any users who will use hardware key encryption , you'll need to create a different script to upload their unwrapped private key metadata.

সার্টিফিকেটগুলো আপলোড করার পর জিমেইলে সেগুলো পাওয়া যেতে ২৪ ঘণ্টা পর্যন্ত সময় লাগতে পারে, যদিও সাধারণত এর চেয়ে অনেক দ্রুতই হয়ে যায়।

উপরের ধাপ ৩ সম্পন্ন করতে, আপনি নিজের স্ক্রিপ্ট লেখার পরিবর্তে গুগলের দেওয়া পাইথন স্ক্রিপ্টটি ব্যবহার করতে পারেন।

Note: This script asks for the 3 scopes you can use to grant the Gmail API domain-wide accesss ( listed earlier on this page ): gmail.settings.readonly , gmail.settings.basic , and gmail.settings.sharing . To use the script, you can either enable all three scopes or remove the scope you're not using from the script.

Download the script

আপনার কম্পিউটারে (ম্যাক, লিনাক্স বা উইন্ডোজ) পাইথন স্ক্রিপ্ট প্যাকেজ (.zip) ডাউনলোড করুন এবং ফাইলগুলো আপনার ওয়ার্কিং ডিরেক্টরিতে এক্সট্র্যাক্ট করুন।

Create a virtual environment and install modules

আপনার ওয়ার্কিং ডিরেক্টরি থেকে কমান্ড লাইন ব্যবহার করে নিম্নলিখিত কমান্ডগুলো প্রবেশ করান:

Invoke the script

Upload user's certificates and keys

ধাপ ১: সমস্ত র‍্যাপ করা প্রাইভেট কী সংরক্ষণের জন্য একটি ডিরেক্টরি তৈরি করুন।

• উদাহরণস্বরূপ, আপনি $root/wrapped_keys ডিরেক্টরিটি তৈরি করতে পারেন।
• প্রতিটি র‍্যাপ করা প্রাইভেট কী-এর ফাইলের নাম অবশ্যই ব্যবহারকারীর সম্পূর্ণ ইমেল ঠিকানা হতে হবে এবং এর সাথে .wrap এক্সটেনশনটি যুক্ত থাকতে হবে। উদাহরণস্বরূপ: $root/wrapped_keys/user1@example.com.wrap
• নিশ্চিত করুন যে র‍্যাপ করা প্রাইভেট কী ফাইলটিতে দুটি আবশ্যক ফিল্ড সহ একটি JSON অবজেক্ট রয়েছে:

ধাপ ২: সকল সার্টিফিকেট সংরক্ষণের জন্য একটি ডিরেক্টরি তৈরি করুন।

• সার্টিফিকেটগুলো P7 PEM ফরম্যাটে হতে হবে, তাই আপনাকে $root/p7pem_certs নামের ডিরেক্টরিটি তৈরি করতে হতে পারে।
• নিশ্চিত করুন যে সার্টিফিকেট ফাইলটিতে রুট সার্টিফিকেট অথরিটি (CA)-এর সম্পূর্ণ চেইন অন্তর্ভুক্ত রয়েছে।
• প্রতিটি সার্টিফিকেটের ফাইলের নাম অবশ্যই ব্যবহারকারীর সম্পূর্ণ ইমেল ঠিকানা হতে হবে এবং এর সাথে .p7pem এক্সটেনশনটি যুক্ত থাকতে হবে। উদাহরণস্বরূপ: $root/p7pem_certs/user1@example.com.p7pem

If you have a P7B file: You can use the following openssl comment to convert it to the P7 PEM format:

Step 3: Upload users' key pairs and identities

For this step, you'll need the JSON file containing the credentials for the service account, which you saved to your computer in Step 2: Create a service account above.

The easiest way to upload users' key pairs and identities is to run the insert command. Note that each command must have an argument—for example:

বিকল্পভাবে, আপনি প্রতিটি ব্যবহারকারীর জন্য নিম্নলিখিত কাজগুলো করতে পারেন:

1. Run insert_keypair , and note the keypair ID.
2. Run insert_identity using that keypair ID.

আপনি list_keypair কমান্ডটি চালিয়েও কীপেয়ার আইডি পেতে পারেন।

ধাপ ৪: ব্যবহারকারীদের কাছে CSE কী পেয়ার এবং আইডেন্টিটি আছে কিনা তা যাচাই করুন।

প্রতিটি ব্যবহারকারীর জন্য নিম্নলিখিত কমান্ডগুলি চালিয়ে নিশ্চিত করুন যে Gmail-এ তাদের বৈধ কী পেয়ার এবং আইডেন্টিটি রয়েছে:

list_keypair

list_identity