सिर्फ़ Gmail के लिए: क्लाइंट-साइड एन्क्रिप्शन के लिए S/MIME कॉन्फ़िगर करना

यह सुविधा इन वर्शन में उपलब्ध है: Frontline Plus; Enterprise Plus; Education Standard और Education Plus. अपने वर्शन की तुलना करें

एस/एमआईएमई के बिना Gmail CSE चालू करें: अगर आपको Gmail के एंड-टू-एंड एन्क्रिप्शन (E2EE) का इस्तेमाल करना है, तो उपयोगकर्ताओं के लिए Gmail CSE चालू करने के लिए, आपको अलग-अलग एस/एमआईएमई सर्टिफ़िकेट कॉन्फ़िगर और अपलोड करने की ज़रूरत नहीं है. इसके बारे में इस लेख में बताया गया है. Gmail में E2EE का इस्तेमाल करने के लिए, मेहमान खातों से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा चालू करें. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है. ध्यान दें कि अगर हार्डवेयर कुंजी का इस्तेमाल करके एन्क्रिप्ट (सुरक्षित) किया जा रहा है, तो यह विकल्प लागू नहीं होता. मेहमान खातों के लिए एन्क्रिप्शन की सुविधा के बारे में ज़्यादा जानने के लिए, क्लाइंट-साइड एन्क्रिप्शन की सुविधा चालू या बंद करना पर जाएं.

Gmail के लिए Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के साथ S/MIME का इस्तेमाल करने के लिए, आपको Gmail API चालू करना होगा. साथ ही, इसे अपने पूरे संगठन का ऐक्सेस देना होगा. इसके बाद, आपको हर उपयोगकर्ता के लिए, Gmail API का इस्तेमाल करके Gmail में एस/एमआईएमई (सिक्योर/मल्टीपर्पज़ इंटरनेट मेल एक्सटेंशन) सर्टिफ़िकेट (सार्वजनिक कुंजी) और निजी कुंजी का मेटाडेटा अपलोड करना होगा. अगर एन्क्रिप्शन की सेवा का इस्तेमाल किया जा रहा है, तो आपको कुंजी मैनेज करने वाली सेवा का इस्तेमाल करके, उपयोगकर्ताओं की निजी कुंजी के मेटाडेटा को भी एन्क्रिप्ट (या "रैप") करना होगा.

आपके पास किसी भी समय, कुंजी मैनेज करने वाली दूसरी सेवा पर स्विच करने का विकल्प होता है. इसके लिए, आपको नई सेवा की मदद से एन्क्रिप्ट (सुरक्षित) किए गए नए S/MIME सर्टिफ़िकेट और निजी पासकोड का मेटाडेटा अपलोड करना होगा.

ज़रूरी शर्तें

उपयोगकर्ताओं के लिए S/MIME कॉन्फ़िगर करने के लिए, आपको इनकी ज़रूरत होगी:

आपके संगठन के Google खाते के लिए सुपर एडमिन के तौर पर मिले अधिकार. इनकी मदद से, आपको Gmail API का ऐक्सेस पूरे डोमेन के लिए देना होगा.
आपके पास, संगठन की एन्क्रिप्शन कुंजी मैनेज करने वाली सेवा के टूल या सहायता टीम का ऐक्सेस होना चाहिए.
एपीआई और Python स्क्रिप्ट के साथ काम करने का अनुभव हो.

S/MIME के बारे में जानकारी

एस/एमआईएमई, इंडस्ट्री स्टैंडर्ड प्रोटोकॉल है. इसका इस्तेमाल, ईमेल मैसेज पर डिजिटल हस्ताक्षर करने और उन्हें एन्क्रिप्ट (सुरक्षित) करने के लिए किया जाता है. इससे मैसेज की सुरक्षा और अखंडता बनी रहती है. Gmail CSE, सुरक्षित तरीके से एमआईएमई डेटा भेजने और पाने के लिए, एस/एमआईएमई 3.2 आईईटीएफ़ स्टैंडर्ड का इस्तेमाल करता है. एस/एमआईएमई का इस्तेमाल करने के लिए ज़रूरी है कि ईमेल भेजने वाले और पाने वाले लोगों के पास Gmail का भरोसेमंद, X.509 सर्टिफ़िकेट हो.

ध्यान दें: इसके अलावा, सीएसई की अतिरिक्त लेयर के बिना भी S/MIME का इस्तेमाल किया जा सकता है. इससे आपको एन्क्रिप्शन और निजता की सुविधा मिलती है. इस विकल्प का इस्तेमाल सिर्फ़ तब करें, जब आपको Google के सर्वर को सीएसई की मदद से अपने डेटा को डिक्रिप्ट करने से नहीं रोकना हो. ज़्यादा जानकारी के लिए, मैसेज को एन्क्रिप्ट (सुरक्षित) करने के लिए, होस्ट किए गए S/MIME को चालू करना लेख पढ़ें.

शुरू करने से पहले

पक्का करें कि आपने यहां दिया गया तरीका अपना लिया हो:

कुंजी की कोई सेवा चुनें.
अपने आइडेंटिटी प्रोवाइडर (आईडीपी) से कनेक्ट करें.
कुंजी मैनेज करने वाली बाहरी सेवा या हार्डवेयर कुंजी की मदद से एन्क्रिप्शन सेट अप करें.
संगठन की इकाइयों या ग्रुप के लिए, कुंजी मैनेज करने वाली सेवा या हार्डवेयर कुंजी की मदद से डेटा एन्क्रिप्ट (सुरक्षित) करने की सुविधा असाइन करें.

अगर कुंजी मैनेज करने वाली एक से ज़्यादा सेवाओं का इस्तेमाल किया जा रहा है, तो पक्का करें कि उन्हें संगठन की सही इकाइयों या कॉन्फ़िगरेशन ग्रुप के लिए असाइन किया गया हो.

Gmail API सेट अप करना

ध्यान दें: एपीआई का इस्तेमाल करने के लिए, प्रोग्रामिंग की जानकारी होना ज़रूरी है.

पहला चरण: Gmail API चालू करना

नया GCP प्रोजेक्ट बनाएं. ज़्यादा जानकारी के लिए, प्रोजेक्ट बनाना और मैनेज करना लेख पढ़ें.
प्रोजेक्ट आईडी नोट करें: इसका इस्तेमाल, एपीआई को पूरे डोमेन का ऐक्सेस देने के लिए किया जाएगा.
Google API Console पर जाएं और नए प्रोजेक्ट के लिए Gmail API चालू करें. ज़्यादा जानकारी के लिए, Google Cloud प्रोजेक्ट में एपीआई चालू करना लेख पढ़ें.

दूसरा चरण: पूरे डोमेन के लिए सेवा खाता बनाना

Google Cloud Console में, सेवा खाते पेज पर जाएं और पूरे डोमेन के लिए सेवा खाता बनाएं. ज़्यादा जानकारी के लिए, सेवा खाते बनाना और उन्हें मैनेज करना लेख पढ़ें.
सेवा खाते की निजी कुंजी बनाएं और उसे अपने लोकल सिस्टम पर JSON फ़ाइल में सेव करें. जैसे, svc_acct_creds.json. इस फ़ाइल में वे क्रेडेंशियल होते हैं जिनका इस्तेमाल, उपयोगकर्ताओं के लिए Gmail सेट अप करते समय किया जाएगा. ज़्यादा जानकारी के लिए, सेवा खाते की कुंजियां बनाना और उन्हें मैनेज करना लेख पढ़ें.

तीसरा चरण: Gmail API को पूरे डोमेन का ऐक्सेस देना

इस चरण के लिए, आपको उस सेवा खाते का इस्तेमाल करना होगा जिसे आपने बनाया है. इससे सभी उपयोगकर्ताओं को Gmail API में बदलाव करने का ऐक्सेस मिलेगा.

पूरे डोमेन के डेटा का ऐक्सेस देकर, एपीआई के ऐक्सेस को कंट्रोल करने के लिए दिए गए निर्देशों का पालन करें.
मांगे जाने पर, यह जानकारी डालें:
क्लाइंट आईडी: ऊपर दूसरे चरण में बनाया गया सेवा खाता आईडी.

OAuth के दायरे: gmail.settings.readonly और इनमें से कोई एक gmail.settings.basic या gmail.settings.sharing

उपयोगकर्ताओं के लिए Gmail CSE चालू करना

संगठन की इकाइयों या ग्रुप के लिए, Gmail में सीएसई की सुविधा चालू करें. ज़्यादा जानकारी के लिए, क्लाइंट-साइड एन्क्रिप्शन की सुविधा चालू या बंद करना लेख पढ़ें.

ध्यान दें: संगठन की इकाइयों के लिए, सभी ईमेल (लिखें, जवाब दें, और फ़ॉरवर्ड करें) को डिफ़ॉल्ट रूप से एन्क्रिप्ट (सुरक्षित) करने के लिए सेट किया जा सकता है. हालांकि, उपयोगकर्ता के पास अब भी ज़रूरत पड़ने पर एन्क्रिप्शन बंद करने का विकल्प होता है. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है.

उपयोगकर्ताओं के लिए, सीएसई S/MIME सर्टिफ़िकेट सेट अप करना

Admin console में Gmail API सेट अप करने और उपयोगकर्ताओं के लिए Gmail CSE चालू करने के बाद, अपने उपयोगकर्ताओं के लिए CSE S/MIME सर्टिफ़िकेट और निजी पासकोड का मेटाडेटा सेट अप किया जा सकता है.

सबसे पहले, टेस्ट खाते का इस्तेमाल करें: हमारा सुझाव है कि उपयोगकर्ताओं के लिए ये चरण पूरे करने से पहले, टेस्ट उपयोगकर्ता खाते के लिए इन्हें पूरा करें. इससे यह पुष्टि की जा सकेगी कि खाते के लिए S/MIME चालू है. उदाहरण के लिए, सर्टिफ़िकेट अपलोड करने के बाद, आपको पुष्टि करने वाला कोई ईमेल नहीं मिलेगा. इसलिए, टेस्ट खाते की मदद से, ज़्यादा लोगों के लिए रोल आउट करने से पहले किसी भी समस्या को हल किया जा सकता है.

पहला चरण: S/MIME सर्टिफ़िकेट और निजी पासकोड के मेटाडेटा को तैयार करना

Gmail सीएसई का इस्तेमाल करके ईमेल भेजने या पाने वाले हर उपयोगकर्ता के लिए:

सर्टिफ़िकेट देने वाली संस्था (सीए) का इस्तेमाल करके, सर्टिफ़िकेट चेन के साथ S/MIME सार्वजनिक/निजी पासकोड का जोड़ा जनरेट करें. S/MIME लीफ़ सर्टिफ़िकेट में, उपयोगकर्ता का मुख्य Gmail पता, विषय का नाम या SAN एक्सटेंशन विषय के तौर पर शामिल होना चाहिए.

इनमें से कोई एक काम किया जा सकता है:

Google के भरोसेमंद सीए रूट सर्टिफ़िकेट का इस्तेमाल करें: रूट सर्टिफ़िकेट की सूची देखने के लिए, S/MIME के लिए, Gmail के भरोसेमंद सीए सर्टिफ़िकेट पर जाएं.
ऐसी सीए (सर्टिफ़िकेट देने वाली संस्था) का इस्तेमाल करें जिस पर Google भरोसा नहीं करता: उदाहरण के लिए, अपनी सीए का इस्तेमाल करने के लिए, Admin console में उसका रूट सर्टिफ़िकेट जोड़ा जा सकता है. ज़्यादा जानकारी के लिए, S/MIME के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना लेख पढ़ें.
ध्यान दें: अगर आपने ऐसे सीए का इस्तेमाल किया है जिस पर Google भरोसा नहीं करता है और उपयोगकर्ता आपके संगठन के बाहर क्लाइंट-साइड से एन्क्रिप्ट (सुरक्षित) किया गया ईमेल भेजेंगे, तो ईमेल पाने वाले व्यक्ति को भी सीए पर भरोसा करना होगा.

दूसरा चरण: सर्टिफ़िकेट और निजी पासकोड के मेटाडेटा को रैप करना

S/MIME की निजी कुंजियों के मेटाडेटा को एन्क्रिप्ट (सुरक्षित) करने या "रैप" करने के लिए, कुंजी एन्क्रिप्ट (सुरक्षित) करने वाली सेवा का इस्तेमाल करें. इसके लिए, अपनी चाबी की सेवा देने वाली कंपनी से संपर्क करें या उनके दिए गए निर्देशों का पालन करें.

अगर हार्डवेयर बटन का इस्तेमाल करके एन्क्रिप्ट किया जा रहा है, तो पक्का करें कि आपने यह चरण छोड़ दिया हो. साथ ही, हार्डवेयर बटन का इस्तेमाल करके एन्क्रिप्ट करने वाले किसी भी उपयोगकर्ता के लिए, निजी कुंजी के मेटाडेटा को रैप न करें. इस मामले में, मेटाडेटा को रैप करने की ज़रूरत नहीं है, क्योंकि Gmail के लिए उपयोगकर्ताओं के निजी पासकोड उनके स्मार्ट कार्ड पर मौजूद होते हैं. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है.

तीसरा चरण: उपयोगकर्ताओं के S/MIME सर्टिफ़िकेट और निजी कुंजी के मेटाडेटा को Gmail पर अपलोड करना

Gmail API का इस्तेमाल करके, हर उपयोगकर्ता के सार्वजनिक पासकोड वाले S/MIME सर्टिफ़िकेट चेन और निजी पासकोड के मेटाडेटा को Gmail पर अपलोड करें. साथ ही, पहचान बनाकर उन्हें उपयोगकर्ताओं के लिए पसंदीदा पासकोड के तौर पर सेट करें.

ध्यान दें: सर्टिफ़िकेट अपलोड करने के लिए, आपको Gmail API का इस्तेमाल करना होगा, Gmail क्लाइंट का नहीं. यह भी ध्यान दें कि Gmail के लिए सीएसई चालू करने पर, Gmail क्लाइंट से सर्टिफ़िकेट अपलोड करने की सुविधा बंद हो जाती है.

पुष्टि करने के लिए, पूरे डोमेन के लिए सेवा खाता बनाते समय डाउनलोड की गई निजी पासकोड फ़ाइल का इस्तेमाल करके, हर उपयोगकर्ता के लिए यह तरीका अपनाएं:

Gmail API कॉल keypairs.create का इस्तेमाल करके, सर्टिफ़िकेट चेन और निजी कुंजी का मेटाडेटा अपलोड करें.
Gmail API कॉल identities.create का इस्तेमाल करके, उपयोगकर्ता के मुख्य ईमेल पते के लिए कीपैर चालू करें.
identities.create कॉल के लिए, कुंजी के उस जोड़े के आईडी की ज़रूरत होती है जो keypairs.create कॉल के जवाब के मुख्य हिस्से में मिलता है.

ध्यान दें: किसी उपयोगकर्ता के ईमेल पते के लिए कुंजी का जोड़ा चालू करने पर:
- यह एक ऐसी सीएसई आइडेंटिटी बनाता है जिसे उपयोगकर्ता के खाते से ईमेल भेजने की अनुमति होती है.
- यह नीति, Gmail को कॉन्फ़िगर करती है, ताकि वह सीएसई की मदद से भेजे जाने वाले ईमेल पर हस्ताक्षर करने के लिए, निजी कुंजी के मेटाडेटा का इस्तेमाल कर सके.
- यह सर्टिफ़िकेट को डोमेन-वाइड शेयर की गई रिपॉज़िटरी में पब्लिश करता है, ताकि आपके संगठन के अन्य CSE उपयोगकर्ता, इस उपयोगकर्ता को भेजे गए मैसेज को एन्क्रिप्ट (सुरक्षित) कर सकें.

इन चरणों को पूरा करने के लिए, Gmail API के साथ इंटरफ़ेस करने वाली स्क्रिप्ट का इस्तेमाल करें. इनमें से कोई एक काम किया जा सकता है:

अपनी स्क्रिप्ट खुद लिखें.
Google की ओर से उपलब्ध कराई गई Python की सैंपल स्क्रिप्ट का इस्तेमाल करें. निर्देशों के लिए, इस पेज पर बाद में उपयोगकर्ताओं के सर्टिफ़िकेट और रैप्ड कुंजियों को Gmail पर अपलोड करने के लिए, Google की Python स्क्रिप्ट का इस्तेमाल करना पर जाएं.
ध्यान दें: यह स्क्रिप्ट सिर्फ़ उन उपयोगकर्ताओं के लिए है जो Gmail कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) करने के लिए, कुंजी मैनेज करने वाली सेवा का इस्तेमाल करेंगे. हार्डवेयर की एन्क्रिप्शन का इस्तेमाल करने वाले सभी उपयोगकर्ताओं के लिए, आपको उनकी अनरैप की गई निजी कुंजी का मेटाडेटा अपलोड करने के लिए, एक अलग स्क्रिप्ट बनानी होगी.

सर्टिफ़िकेट अपलोड करने के बाद, उन्हें Gmail में उपलब्ध होने में 24 घंटे लग सकते हैं. हालांकि, आम तौर पर यह प्रोसेस इससे काफ़ी कम समय में पूरी हो जाती है.

(ज़रूरी नहीं) उपयोगकर्ताओं के सर्टिफ़िकेट और रैप की गई निजी कुंजियों को Gmail पर अपलोड करने के लिए, Google की Python सैंपल स्क्रिप्ट का इस्तेमाल करना

ऊपर दिए गए तीसरे चरण को पूरा करने के लिए, Google की ओर से उपलब्ध कराई गई Python स्क्रिप्ट का इस्तेमाल किया जा सकता है. इसके लिए, आपको अपनी स्क्रिप्ट लिखने की ज़रूरत नहीं है.

ध्यान दें: यह स्क्रिप्ट, तीन स्कोप के लिए अनुरोध करती है. इनका इस्तेमाल करके, Gmail API को पूरे डोमेन के लिए ऐक्सेस दिया जा सकता है (इस पेज पर पहले बताया गया है): gmail.settings.readonly, gmail.settings.basic, और gmail.settings.sharing. स्क्रिप्ट का इस्तेमाल करने के लिए, तीनों स्कोप चालू किए जा सकते हैं. इसके अलावा, स्क्रिप्ट से उस स्कोप को हटाया जा सकता है जिसका इस्तेमाल नहीं किया जा रहा है.

स्क्रिप्ट डाउनलोड करें

अपने कंप्यूटर (Mac, Linux या Windows) पर Python स्क्रिप्ट पैकेज (.zip) डाउनलोड करें. इसके बाद, फ़ाइलों को अपनी वर्किंग डायरेक्ट्री में एक्सट्रैक्ट करें.

वर्चुअल एनवायरमेंट बनाना और मॉड्यूल इंस्टॉल करना

अपनी वर्किंग डायरेक्ट्री से कमांड लाइन का इस्तेमाल करके, ये कमांड डालें:

python3 -m venv cli_env

      source cli_env/bin/activate

      pip install -r requirements.txt

स्क्रिप्ट शुरू करना

python cse_cmd.py -h

उपयोगकर्ता के सर्टिफ़िकेट और कुंजियां अपलोड करना

पहला चरण: रैप की गई सभी निजी कुंजियों को सेव करने के लिए एक डायरेक्ट्री बनाएं

उदाहरण के लिए, $root/wrapped_keys डायरेक्ट्री बनाई जा सकती है.
हर रैप की गई निजी पासकोड फ़ाइल का नाम, उपयोगकर्ता का पूरा ईमेल पता होना चाहिए. साथ ही, इसमें .wrap एक्सटेंशन होना चाहिए. उदाहरण के लिए: $root/wrapped_keys/user1@example.com.wrap
पक्का करें कि रैप की गई निजी कुंजी वाली फ़ाइल में, JSON ऑब्जेक्ट मौजूद हो. साथ ही, उसमें ये दो ज़रूरी फ़ील्ड मौजूद हों:

{

      'kacls_url': 'url of the key service configured in the Admin console',

      'wrapped_private_key': 'wrapped private key bytes'

      }

दूसरा चरण: सभी सर्टिफ़िकेट सेव करने के लिए डायरेक्ट्री बनाना

सर्टिफ़िकेट P7 PEM फ़ॉर्मैट में होने चाहिए. इसलिए, आपको डायरेक्ट्री $root/p7pem_certs बनानी पड़ सकती है.
पक्का करें कि सर्टिफ़िकेट फ़ाइल में, रूट सर्टिफ़िकेट देने वाली संस्था (सीए) की पूरी चेन शामिल हो.
हर सर्टिफ़िकेट के लिए फ़ाइल का नाम, उपयोगकर्ता का पूरा ईमेल पता होना चाहिए. साथ ही, इसमें .p7pem एक्सटेंशन होना चाहिए. उदाहरण के लिए: $root/p7pem_certs/user1@example.com.p7pem

अगर आपके पास P7B फ़ाइल है: इसे P7 PEM फ़ॉर्मैट में बदलने के लिए, openssl के इस कमांड का इस्तेमाल करें:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

तीसरा चरण: उपयोगकर्ताओं के कुंजी पेयर और पहचान अपलोड करना

इस चरण के लिए, आपको सेवा खाते के क्रेडेंशियल वाली JSON फ़ाइल की ज़रूरत होगी. इसे आपने ऊपर दिए गए दूसरा चरण: सेवा खाता बनाना में अपने कंप्यूटर पर सेव किया था.

उपयोगकर्ताओं के मुख्य जोड़े और पहचानों को अपलोड करने का सबसे आसान तरीका, insert कमांड चलाना है. ध्यान दें कि हर निर्देश में एक आर्ग्युमेंट होना चाहिए. उदाहरण के लिए:

python cse_cmd.py insert

      --creds $root/svc_acct_creds.json

      --inkeydir $root/wrapped_keys

      --incertdir $root/p7pem_certs

इसके अलावा, हर उपयोगकर्ता के लिए ये काम किए जा सकते हैं:

insert_keypair चलाएं और कीपैर आईडी नोट करें.
उस कुंजी के जोड़े के आईडी का इस्तेमाल करके, insert_identity चलाएं.

list_keypair कमांड चलाकर भी, कीपैर आईडी पाया जा सकता है.

चौथा चरण: पुष्टि करें कि उपयोगकर्ताओं के पास सीएसई के कुंजी जोड़े और पहचान हैं

पक्का करें कि उपयोगकर्ताओं के पास Gmail में मान्य कुंजी जोड़े और पहचान हों. इसके लिए, हर उपयोगकर्ता के लिए ये कमांड चलाएं:

list_keypair

list_identity

Gmail CSE के लिए, कुंजी मैनेज करने वाली किसी दूसरी सेवा पर स्विच करना

अगर आपको Gmail के सीएसई के लिए, कुंजी मैनेज करने वाली किसी दूसरी सेवा पर स्विच करना है, तो ऊपर दिए गए उपयोगकर्ताओं के लिए सीएसई एस/एमआईएमई सर्टिफ़िकेट सेट अप करें में दिए गए चरण 2 और 3 को दोहराएं. इसके लिए, निजी कुंजियों को रैप करने के लिए, कुंजी मैनेज करने वाली नई सेवा का इस्तेमाल करें.

ध्यान दें: उपयोगकर्ताओं के लिए नए सर्टिफ़िकेट अपलोड करने से, कॉन्टेंट को कुंजी मैनेज करने वाली नई सेवा पर माइग्रेट नहीं किया जाता. हालांकि, उपयोगकर्ता उन ईमेल को ऐक्सेस कर सकते हैं जिन्हें पिछले सर्टिफ़िकेट और निजी कुंजी के मेटाडेटा का इस्तेमाल करके एन्क्रिप्ट (सुरक्षित) किया गया था. साथ ही, उन्हें कुंजी मैनेज करने वाली पुरानी सेवा से रैप किया गया था.

मैसेज को क्लाइंट-साइड एन्क्रिप्शन की मदद से सुरक्षित किए गए ईमेल के तौर पर Gmail में माइग्रेट करना

Gmail CSE सेट अप हो जाने के बाद, आपके पास मैसेज इंपोर्ट करने का विकल्प होता है. ज़्यादा जानकारी के लिए, मैसेज को क्लाइंट-साइड एन्क्रिप्ट किए गए ईमेल के तौर पर Gmail पर माइग्रेट करना लेख पढ़ें.