‫Gmail فقط: ضبط بروتوكول S/MIME لميزة "التشفير من جهة العميل"

الإصدارات المتوافقة مع هذه الميزة: Frontline Plus وEnterprise Plus وEducation Standard وEducation Plus مقارنة إصدارك

لاستخدام S/MIME مع ميزة "التشفير من جهة العميل" في Google Workspace على Gmail، يجب تفعيل واجهة برمجة التطبيقات Gmail API ومنحها إذن الوصول إلى مؤسستك بالكامل. بعد ذلك، عليك استخدام واجهة برمجة التطبيقات Gmail API لكل مستخدم من أجل تحميل شهادة S/MIME (إضافات بريد الإنترنت متعدّد الأغراض/الآمن) (المفتاح العام) والبيانات الوصفية للمفتاح الخاص إلى Gmail. إذا كنت تستخدم خدمة إدارة مفاتيح تشفير، عليك أيضًا تشفير (أو "تشفير باستخدام مفاتيح أخرى") البيانات الوصفية للمفاتيح الخاصة للمستخدمين باستخدام خدمة إدارة مفاتيح التشفير.

يمكنك في أي وقت التبديل إلى خدمة إدارة مفاتيح تشفير مختلفة عن طريق تحميل شهادات S/MIME الجديدة والبيانات الوصفية للمفتاح الخاص التي تم تشفيرها من خلال الخدمة الجديدة.

المتطلبات

لإكمال خطوات ضبط S/MIME للمستخدمين، تحتاج إلى ما يلي:

  • امتيازات المشرف المتميّز لحساب مؤسستك على Google، والتي تحتاج إليها لتوفير إمكانية الوصول على مستوى النطاق إلى واجهة برمجة التطبيقات Gmail API
  • الوصول إلى أدوات خدمة إدارة مفاتيح التشفير في مؤسستك أو فريق الدعم
  • خبرة في استخدام واجهات برمجة التطبيقات ونصوص Python البرمجية

لمحة عن S/MIME

يشير S/MIME إلى بروتوكول للمعيار المتّبع في المجال والمقبول على نطاق واسع للتوقيع الرقمي وتشفير الرسائل الإلكترونية لضمان سلامة الرسالة وأمانها. تعتمد ميزة "التشفير من جهة العميل" في Gmail على معيار S/MIME 3.2 التابع لمجموعة مهندسي شبكة الإنترنت (IETF) لإرسال بيانات MIME الآمنة واستلامها. يتطلّب معيار S/MIME أن تكون شهادات X.509 الخاصة بمُرسِلي الرسالة الإلكترونية ومستلِميها معتمَدة من Gmail.

ملاحظة: يمكنك بدلاً من ذلك استخدام معيار S/MIME بدون الطبقة الإضافية من التشفير والخصوصية التي توفّرها ميزة "التشفير من جهة العميل". يجب عدم استخدام هذا الخيار البديل إلا إذا لم تكن بحاجة إلى منع خوادم Google من فك تشفير بياناتك باستخدام ميزة "التشفير من جهة العميل". لمعرفة التفاصيل، يُرجى الانتقال إلى تفعيل S/MIME المُستضاف لتشفير الرسائل.

قبل البدء

احرِص على تنفيذ الخطوات التالية:

  1. اختيار خدمة إدارة مفاتيح التشفير
  2. الربط بموفِّر الهوية (IdP)
  3. إعداد خدمة إدارة مفاتيح التشفير الخارجية أو تشفير مفتاح الجهاز

  4. إسناد خدمة إدارة مفاتيح التشفير أو تشفير مفتاح الجهاز إلى الوحدات التنظيمية أو المجموعات

    في حال كنت تستخدم خدمات متعدّدة لإدارة مفاتيح التشفير، يُرجى التأكّد من إسنادها إلى الوحدات التنظيمية أو مجموعات الضبط المناسبة.

إعداد واجهة برمجة التطبيقات Gmail API

ملاحظة: يتطلب استخدام واجهات برمجة التطبيقات المعرفة بالبرمجة.

الخطوة 1: تفعيل واجهة برمجة التطبيقات Gmail API

  1. أنشِئ مشروعًا جديدًا على Google Cloud Platform. لمعرفة التفاصيل، يُرجى الانتقال إلى إنشاء المشاريع وإدارتها.

    يجب ملاحظة رقم تعريف المشروع، إذ إنّك ستستخدمه لمنح واجهة برمجة التطبيقات إذن الوصول على مستوى النطاق.

  2. انتقِل إلى وحدة تحكّم واجهة برمجة تطبيقات Google وفعِّل واجهة برمجة التطبيقات Gmail API للمشروع الجديد. لمعرفة التفاصيل، يُرجى الانتقال إلى مقالة تفعيل واجهة برمجة تطبيقات في مشروعك على Google Cloud.

الخطوة 2: إنشاء حساب خدمة على مستوى النطاق

  1. في وحدة تحكّم Google Cloud، انتقِل إلى صفحة حسابات الخدمة وأنشئ حساب خدمة على مستوى النطاق. لمعرفة التفاصيل، يُرجى الانتقال إلى إنشاء حسابات الخدمة وإدارتها.
  2. أنشئ مفتاحًا خاصًا لحساب الخدمة واحفظ ملف المفتاح في ملف JSON على نظامك المحلي، مثل svc_acct_creds.json. يحتوي هذا الملف على بيانات الاعتماد التي تستخدمها عند إعداد Gmail للمستخدمين. لمعرفة التفاصيل، يُرجى الانتقال إلى إنشاء مفاتيح حساب الخدمة وإدارتها.

الخطوة 3: منح واجهة برمجة التطبيقات Gmail API إذن الوصول على مستوى النطاق

لتنفيذ هذه الخطوة، عليك استخدام حساب الخدمة الذي أنشأته لمنح واجهة برمجة التطبيقات Gmail API الإذن بتعديل محتوى جميع المستخدمين.

  1. اتّبِع التعليمات الواردة في مقالة التحكّم في الوصول إلى واجهة برمجة التطبيقات من خلال التفويض على مستوى النطاق.
  2. أدخِل ما يلي عند طلب ذلك:

    معرّف العميل: يشير إلى معرّف العميل لحساب الخدمة الذي تم إنشاؤه في الخطوة 2 الموضَّحة أعلاه.

    نطاقات OAuth: gmail.settings.readonly و إما gmail.settings.basic أو gmail.settings.sharing

تفعيل ميزة "التشفير من جهة العميل" في Gmail للمستخدمين

يمكنك تفعيل ميزة "التشفير من جهة العميل" في Gmail للوحدات التنظيمية أو المجموعات. للاطّلاع على التفاصيل، يُرجى الانتقال إلى المقالة تفعيل ميزة "التشفير من جهة العميل" أو إيقافها.

ملاحظة: يمكنك في الوحدات التنظيمية ضبط جميع الرسائل الإلكترونية (الإنشاء والردّ وإعادة التوجيه) ليتم تشفيرها تلقائيًا. سيظل بإمكان المستخدمين إيقاف التشفير إذا لزم الأمر. يتطلّب ذلك الحصول على إضافة "الإعدادات الآمنة" أو "الإعدادات الآمنة الإضافية".

إعداد شهادات S/MIME الخاصة بميزة "التشفير من جهة العميل" للمستخدمين

بعد إعداد واجهة برمجة التطبيقات Gmail API وتفعيل ميزة "التشفير من جهة العميل" في Gmail للمستخدمين في "وحدة تحكّم المشرف"، يمكنك إعداد شهادات S/MIME لميزة "التشفير من جهة العميل" والبيانات الوصفية للمفتاح الخاص للمستخدمين.

الخطوة 1: إعداد شهادات S/MIME والبيانات الوصفية للمفتاح الخاص

لكل مستخدم سيستخدم ميزة "التشفير من جهة العميل" في Gmail لإرسال رسائل إلكترونية أو استلامها:

يمكنك باستخدام هيئة إصدار الشهادات (CA) إنشاء مفتاحا تشفير S/MIME عام أو خاص باستخدام سلسلة شهادات. يجب أن تتضمّن الشهادة الغير مخوّلة للتصديق لمعيار S/MIME عنوان Gmail الأساسي للمستخدم كاسم الموضوع أو إضافة الاسم البديل للموضوع (SAN).

يمكنك تنفيذ أي من الإجراءات الآتية:

  • استخدام شهادة جذر لمرجع تصديق معتمَدة من Google: للحصول على قائمة بشهادات الجذر، يُرجى الانتقال إلى شهادات CA المعتمَدة من Gmail لمعيار S/MIME.
  • استخدام مرجع تصديق غير معتمَد من Google: على سبيل المثال، لاستخدام مرجع التصديق الخاص بك، يمكنك إضافة شهادة الجذر الخاصة به في "وحدة تحكّم المشرف". لمعرفة التفاصيل، يُرجى الانتقال إلى إدارة الشهادات الموثوق بها لمعيار S/MIME.

    ملاحظة: في حال استخدام هيئة إصدار الشهادات (CA) غير معتمَدة في Google وإرسال المستخدمين رسائل إلكترونية مشفَّرة من جهة العميل خارج مؤسستك، يجب أن يثق مستلِم الرسائل أيضًا بهيئة إصدار الشهادات.

الخطوة 2: إرفاق الشهادات والبيانات الوصفية للمفتاح الخاص

يمكنك استخدام خدمة إدارة مفاتيح التشفير لتشفير البيانات الوصفية لمفاتيح معيار S/MIME الخاصة أو "تشفيرها من خلال مفاتيح أخرى". يُرجى التواصل مع فريق خدمة إدارة مفاتيح التشفير لإجراء ذلك أو اتّباع التعليمات التي يوفّرونها.

في حال استخدام تشفير مفتاح الجهاز: احرص على تخطي هذه الخطوة وعدم تشفير البيانات الوصفية للمفتاح الخاص لأي مستخدم سيستخدم تشفير مفتاح الجهاز. في هذه الحالة، لا حاجة إلى تشفير البيانات الوصفية لأنّ المفاتيح الخاصة للمستخدمين لتطبيق Gmail تكون متوفّرة في بطاقاتهم الذكية. يتطلّب ذلك الحصول على إضافة "الإعدادات الآمنة" أو "الإعدادات الآمنة الإضافية".

الخطوة 3: تحميل شهادات S/MIME للمستخدمين والبيانات الوصفية للمفتاح الخاص إلى Gmail

استخدِم واجهة برمجة التطبيقات Gmail API لتحميل سلسلة شهادات S/MIME للمفتاح العام لكل مستخدم والبيانات الوصفية للمفتاح الخاص في Gmail وضبطها كمفاتيح مفضّلة للمستخدمين عن طريق إنشاء هوية.

ملاحظة: يجب استخدام واجهة برمجة التطبيقات Gmail API لتحميل الشهادات، وليس برنامج Gmail. يُرجى العلم أيضًا أنّه لا يمكن تحميل الشهادات من برنامج Gmail عند تفعيل ميزة "التشفير من جهة العميل" في Gmail.

يمكنك إكمال الخطوات التالية لكل مستخدم باستخدام ملف المفتاح الخاص الذي نزّلته عند إنشاء حساب خدمة على مستوى النطاق لإجراء المصادقة:

  1. تحميل البيانات الوصفية لسلسلة الشهادات والمفتاح الخاص، وذلك باستخدام طلب البيانات من واجهة برمجة التطبيقات Gmail API keypairs.create
  2. تفعيل مفتاحَي التشفير لعنوان البريد الإلكتروني الرئيسي للمستخدم، وذلك باستخدام طلب البيانات من واجهة برمجة التطبيقات Gmail API identities.create.

    يتطلّب الطلب identities.create رقم تعريف مفتاحا التشفير الذي يتم عرضه في نص الاستجابة للطلب keypairs.create.

    ملاحظة: يؤدي تفعيل مفتاحا التشفير لعنوان البريد الإلكتروني للمستخدم إلى:

    • إنشاء هوية "التشفير من جهة العميل" المعتمدة لإرسال رسائل إلكترونية من حساب المستخدم
    • ضبط Gmail على استخدام البيانات الوصفية للمفتاح الخاص لتوقيع الرسائل الصادرة من ميزة "التشفير من جهة العميل".
    • نشر الشهادة في مستودع مشترك على مستوى النطاق حتى يتمكّن مستخدمو ميزة "التشفير من جهة العميل" الآخرون في مؤسستك من تشفير الرسائل المُرسَلة إلى هذا المستخدم

لإكمال هذه الخطوات، استخدِم نصًا برمجيًا له واجهة برمجة تطبيقات Gmail API. يمكنك تنفيذ أي من الإجراءات الآتية:

  • اكتب النص البرمجي الذي تريده.
  • يمكنك استخدام نموذج نص Python البرمجي الذي توفره Google. للحصول على التعليمات، يُرجى الانتقال إلى استخدام نص Python البرمجي الذي توفره Google لتحميل شهادات المستخدمين والمفاتيح المشفّرة إلى Gmail لاحقًا في هذه الصفحة.

    ملاحظة: لا ينطبق هذا النص البرمجي إلا على المستخدمين الذين سيستخدمون خدمة إدارة مفاتيح التشفير لتشفير محتوى Gmail. بالنسبة إلى المستخدمين الذين سيستخدمون تشفير مفتاح الجهاز، يجب إنشاء نص برمجي مختلف لتحميل البيانات الوصفية للمفتاح الخاص غير المشفر.

بعد تحميل الشهادات، قد يستغرق توفيرها في Gmail ما يصل إلى 24 ساعة، على الرغم من أنّه عادةً ما يتم ذلك الإجراء بشكلٍ أسرع.

(اختياري) استخدام نموذج نص Python البرمجي الذي توفره Google لتحميل شهادات المستخدمين والمفاتيح الخاصة المشفّرة في Gmail

لإكمال الخطوة 3 أعلاه، يمكنك استخدام نص Python البرمجي الذي توفّره Google بدلاً من كتابة نص برمجي خاص بك.

ملاحظة: يطلب هذا النص البرمجي النطاقات الثلاثة التي يمكنك استخدامها لمنح واجهة برمجة التطبيقات Gmail API أذونات الوصول على مستوى النطاق (المذكورة سابقًا في هذه الصفحة): gmail.settings.readonly وgmail.settings.basic وgmail.settings.sharing. لاستخدام النص البرمجي، يمكنك إما تفعيل النطاقات الثلاثة جميعها أو إزالة النطاق الذي لا تستخدمه من النص البرمجي.

تنزيل النص البرمجي

نزِّل حزمة النص البرمجي Python (zip.) على جهاز الكمبيوتر (Mac أو Linux أو Windows)، واستخرِج الملفات إلى دليل العمل.

إنشاء بيئة افتراضية وتثبيت وحدات

باستخدام سطر أوامر من دليل العمل، أدخِل الأوامر التالية:

استدعاء النص البرمجي

تحميل شهادات المستخدم ومفاتيحه

الخطوة 1: إنشاء دليل لتخزين جميع المفاتيح الخاصة المشفّرة

  • على سبيل المثال، يمكنك إنشاء الدليل $root/wrapped_keys.
  • يجب أن يكون اسم الملف لكل مفتاح خاص مشفّر هو عنوان البريد الإلكتروني الكامل للمستخدم مع الإضافة .wrap. على سبيل المثال: $root/wrapped_keys/user1@example.com.wrap
  • تأكَّد من أنّ ملف المفتاح الخاص المشفّر يحتوي على عنصر JSON مع حقلين مطلوبين:

الخطوة 2: إنشاء دليل لتخزين جميع الشهادات

  • يجب أن تكون الشهادات بتنسيق P7 PEM، لذلك يمكنك إنشاء الدليل $root/p7pem_certs.
  • يُرجى التأكُّد من أنّ ملف الشهادة يحتوي على السلسلة الكاملة لهيئة إصدار الشهادات الجذر (CA).
  • يجب أن يكون اسم الملف لكل شهادة هو عنوان البريد الإلكتروني الكامل للمستخدم مع الامتداد .p7pem. على سبيل المثال: $root/p7pem_certs/user1@example.com.p7pem

إذا كان لديك ملف P7B: يمكنك استخدام تعليق openSSL التالي لتحويله إلى تنسيق P7 PEM:

الخطوة 3: تحميل هويّات المستخدمين ومفتاحا التشفير

لتنفيذ هذه الخطوة، ستحتاج إلى ملف JSON يحتوي على بيانات الاعتماد لحساب الخدمة التي حفظتها على جهاز الكمبيوتر في الخطوة 2: إنشاء حساب خدمة أعلاه.

إنّ أسهل طريقة لتحميل مفتاحا التشفير وهويات المستخدمين هي تشغيل الأمر insert. يجب أن يحتوي كل أمر على وسيطة، على سبيل المثال:

بدلاً من ذلك، يمكنك إجراء ما يلي لكل مستخدم:

  1. نفِّذ insert_keypair، ولاحظ رقم تعريف مفتاحَي التشفير.
  2. تشغيل insert_identity باستخدام رقم تعريف مفتاحَي التشفير هذا.

يمكنك أيضًا الحصول على رقم تعريف مفتاحَي التشفير من خلال تشغيل الأمر list_keypair.

الخطوة 4: التحقُّق من امتلاك المستخدمين لهويات CSE ومفتاحي التشفير

تأكَّد من امتلاك المستخدمين لمفتاحي التشفير والهويات الصالحة في Gmail عن طريق تشغيل الأوامر التالية لكل مستخدم:

list_keypair

list_identity

للتبديل إلى خدمة إدارة مفاتيح تشفير أخرى لميزة "التشفير من جهة العميل" في Gmail

إذا كنت تريد التبديل إلى خدمة إدارة مفاتيح تشفير مختلفة لميزة "التشفير من جهة العميل" في Gmail، يمكنك تكرار الخطوتين 2 و3 ضِمن إعداد شهادات S/MIME لميزة "التشفير من جهة العميل" للمستخدمين أعلاه، باستخدام خدمة إدارة مفاتيح التشفير الجديدة لتشفير المفاتيح الخاصة من خلال مفاتيح أخرى.

ملاحظة: لا يؤدي تحميل شهادات جديدة للمستخدمين إلى نقل المحتوى إلى خدمة إدارة مفاتيح التشفير الجديدة. مع ذلك، لا يزال بإمكان المستخدمين الوصول إلى الرسائل الإلكترونية المشفَّرة باستخدام الشهادات السابقة والبيانات الوصفية للمفتاح الخاص الذي تم تشفيره بشكلٍ إضافي من خلال إدارة مفاتيح التشفير القديمة.

نقل الرسائل إلى Gmail كرسالة إلكترونية مشفَّرة من جهة العميل

الآن بعد إعداد ميزة "التشفير من جهة العميل" في Gmail، يمكنك استيراد الرسائل اختياريًا. لمعرفة التفاصيل، يُرجى الاطّلاع على نقل الرسائل إلى Gmail كرسائل إلكترونية مشفَّرة من جهة العميل.