Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

सिर्फ़ Gmail के लिए: क्लाइंट-साइड एन्क्रिप्शन के लिए S/MIME कॉन्फ़िगर करना

यह सुविधा, Frontline Plus, Enterprise Plus, Education Standard, और Education Plus में उपलब्ध है. अपने वर्शन की तुलना करना

एस/एमआईएमई के बिना, Gmail के लिए सीएसई (क्लाइंट-साइड एन्क्रिप्शन) चालू करना: अगर Gmail के एंड-टू-एंड एन्क्रिप्शन (ई2ईई) का इस्तेमाल किया जाता है, तो उपयोगकर्ताओं के लिए Gmail का सीएसई चालू करने के लिए, आपको एस/एमआईएमई के अलग-अलग सर्टिफ़िकेट कॉन्फ़िगर और अपलोड करने की ज़रूरत नहीं है. इस बारे में, इस लेख में बताया गया है. Gmail के ई2ईई का इस्तेमाल करने के लिए, मेहमान खातों के साथ एन्क्रिप्शन विकल्प चालू करें. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है. ध्यान दें कि अगर हार्डवेयर की एन्क्रिप्शन सुविधा का इस्तेमाल किया जा रहा है, तो यह विकल्प लागू नहीं होता. मेहमान खातों के साथ एन्क्रिप्शन के बारे में ज़्यादा जानने के लिए, क्लाइंट-साइड एन्क्रिप्शन चालू या बंद करना लेख पढ़ें.

Gmail के लिए, Google Workspace के क्लाइंट-साइड एन्क्रिप्शन (सीएसई) के साथ एस/एमआईएमई का इस्तेमाल करने के लिए, आपको Gmail API चालू करना होगा. साथ ही, इसे अपने पूरे संगठन का ऐक्सेस देना होगा. इसके बाद, हर उपयोगकर्ता के लिए, आपको Gmail API का इस्तेमाल करके, Gmail पर एस/एमआईएमई (सिक्योर/मल्टीपर्पज़ इंटरनेट मेल एक्सटेंशन) सर्टिफ़िकेट (पब्लिक की) और निजी पासकोड का मेटाडेटा अपलोड करना होगा. अगर एन्क्रिप्शन की सेवा का इस्तेमाल किया जा रहा है, तो आपको अपनी की सेवा का इस्तेमाल करके, उपयोगकर्ताओं के निजी पासकोड के मेटाडेटा को एन्क्रिप्ट (सुरक्षित) भी करना होगा.

नई एस/एमआईएमई सर्टिफ़िकेट और निजी पासकोड का मेटाडेटा अपलोड करके, किसी भी समय की सेवा बदली जा सकती है. नया मेटाडेटा, नई सेवा से एन्क्रिप्ट (सुरक्षित) किया गया होना चाहिए.

ज़रूरी शर्तें

उपयोगकर्ताओं के लिए एस/एमआईएमई कॉन्फ़िगर करने के लिए, आपके पास ये चीज़ें होनी चाहिए:

आपके संगठन के Google खाते के लिए, सुपर एडमिन के अधिकार. इनकी मदद से, Gmail API को पूरे डोमेन का ऐक्सेस दिया जा सकता है.
आपके संगठन की एन्क्रिप्शन की सेवा के टूल या उनकी सहायता टीम का ऐक्सेस.
एपीआई और Python स्क्रिप्ट के साथ काम करने का अनुभव.

एस/एमआईएमई के बारे में जानकारी

एस/एमआईएमई, इंडस्ट्री स्टैंडर्ड प्रोटोकॉल है. इसका इस्तेमाल, ईमेल मैसेज को डिजिटल तरीके से साइन करने और एन्क्रिप्ट (सुरक्षित) करने के लिए किया जाता है. यह प्रोटोकॉल, मैसेज की सुरक्षा और अखंडता को पक्का करता है. इसे दुनिया भर में स्वीकार किया जाता है. Gmail का सीएसई, सुरक्षित तरीके से एमआईएमई डेटा भेजने और पाने के लिए, एस/एमआईएमई 3.2 आईईटीएफ़ स्टैंडर्ड का इस्तेमाल करता है. एस/एमआईएमई का इस्तेमाल करने के लिए ज़रूरी है कि ईमेल भेजने वाले और पाने वाले लोगों के पास Gmail का भरोसेमंद, X.509 सर्टिफ़िकेट हो.

ध्यान दें: इसके अलावा, एस/एमआईएमई का इस्तेमाल, एन्क्रिप्शन और निजता की उस अतिरिक्त लेयर के बिना भी किया जा सकता है जो सीएसई उपलब्ध कराता है. इस विकल्प का इस्तेमाल सिर्फ़ तब करें, जब आपको Google के सर्वर को सीएसई की मदद से अपना डेटा डिक्रिप्ट करने से रोकने की ज़रूरत न हो. ज़्यादा जानकारी के लिए, मैसेज एन्क्रिप्ट (सुरक्षित) करने के लिए, होस्ट किया गया एस/एमआईएमई चालू करना लेख पढ़ें.

शुरू करने से पहले

पक्का करें कि आपने यह तरीका पूरा कर लिया हो:

की सेवा चुनें.
अपने आइडेंटिटी प्रोवाइडर (आईडीपी) से कनेक्ट करें.
अपनी बाहरी कुंजी सेवा या हार्डवेयर कुंजी एन्क्रिप्शन सेट अप करें.
संगठन की इकाइयों या ग्रुप के लिए, की सेवा या हार्डवेयर की एन्क्रिप्शन सुविधा असाइन करें.

अगर एक से ज़्यादा की सेवाओं का इस्तेमाल किया जा रहा है, तो पक्का करें कि उन्हें संगठन की सही इकाइयों या कॉन्फ़िगरेशन ग्रुप के लिए असाइन किया गया हो.

Gmail API सेट अप करना

ध्यान दें: एपीआई का इस्तेमाल करने के लिए, प्रोग्रामिंग की जानकारी होना ज़रूरी है.

पहला चरण: Gmail API चालू करना

कोई नया GCP प्रोजेक्ट बनाएं. ज़्यादा जानकारी के लिए, प्रोजेक्ट बनाना और मैनेज करना लेख पढ़ें.
प्रोजेक्ट आईडी नोट करें: इसका इस्तेमाल, एपीआई को पूरे डोमेन का ऐक्सेस देने के लिए किया जाएगा.
Google API Console पर जाएं और नए प्रोजेक्ट के लिए Gmail API चालू करें. ज़्यादा जानकारी के लिए, अपने Google Cloud प्रोजेक्ट में एपीआई चालू करना लेख पढ़ें.

दूसरा चरण: पूरे डोमेन के लिए सेवा खाता बनाना

Google Cloud Console में, सेवा खाते पेज पर जाएं और पूरे डोमेन के लिए सेवा खाता बनाएं. ज़्यादा जानकारी के लिए, सेवा खाते बनाना और मैनेज करना लेख पढ़ें.
सेवा खाते के लिए निजी पासकोड बनाएं और उसे अपने स्थानीय सिस्टम पर किसी JSON फ़ाइल में सेव करें. जैसे, svc_acct_creds.json. इस फ़ाइल में वे क्रेडेंशियल होते हैं जिनका इस्तेमाल, उपयोगकर्ताओं के लिए Gmail सेट अप करते समय किया जाएगा. ज़्यादा जानकारी के लिए, सेवा खाते की कुंजियां बनाना और मैनेज करना लेख पढ़ें.

तीसरा चरण: Gmail API को पूरे डोमेन का ऐक्सेस देना

इस चरण के लिए, बनाए गए सेवा खाते का इस्तेमाल करके, Gmail API को अपने सभी उपयोगकर्ताओं के लिए बदलाव करने का ऐक्सेस दें.

पूरे डोमेन के डेटा का ऐक्सेस देकर, एपीआई के ऐक्सेस को कंट्रोल करना लेख में दिए गए निर्देशों का पालन करें.
प्रॉम्प्ट मिलने पर, यह जानकारी डालें:
क्लाइंट आईडी: ऊपर दूसरे चरण में बनाए गए सेवा खाते का क्लाइंट आईडी.

OAuth के दायरे: gmail.settings.readonly और इनमें से कोई एक gmail.settings.basic या gmail.settings.sharing

उपयोगकर्ताओं के लिए Gmail का सीएसई चालू करना

संगठन की इकाइयों या ग्रुप के लिए, Gmail का सीएसई चालू करें. ज़्यादा जानकारी के लिए, क्लाइंट-साइड एन्क्रिप्शन चालू या बंद करना लेख पढ़ें.

ध्यान दें: संगठन की इकाइयों के लिए, सभी ईमेल (लिखना, जवाब देना, और अग्रेषित करना) डिफ़ॉल्ट रूप से एन्क्रिप्ट (सुरक्षित) किए जा सकते हैं. ज़रूरत पड़ने पर, उपयोगकर्ता एन्क्रिप्शन बंद कर सकते हैं. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है.

उपयोगकर्ताओं के लिए, सीएसई के एस/एमआईएमई सर्टिफ़िकेट सेट अप करना

Admin console में, Gmail API सेट अप करने और उपयोगकर्ताओं के लिए Gmail का सीएसई चालू करने के बाद, अपने उपयोगकर्ताओं के लिए सीएसई के एस/एमआईएमई सर्टिफ़िकेट और निजी पासकोड का मेटाडेटा सेट अप किया जा सकता है.

सबसे पहले, टेस्ट खाते का इस्तेमाल करें: हमारा सुझाव है कि उपयोगकर्ताओं के लिए यह तरीका पूरा करने से पहले, टेस्ट उपयोगकर्ता खाते के लिए इसे पूरा करें. इससे यह पक्का किया जा सकेगा कि खाते के लिए एस/एमआईएमई चालू है. उदाहरण के लिए, सर्टिफ़िकेट अपलोड करने के बाद, आपको कोई पुष्टि नहीं मिलेगी. इसलिए, टेस्ट खाते की मदद से, बड़े पैमाने पर रोल आउट करने से पहले, किसी भी समस्या को हल किया जा सकता है.

पहला चरण: एस/एमआईएमई सर्टिफ़िकेट और निजी पासकोड का मेटाडेटा तैयार करना

हर उस उपयोगकर्ता के लिए जो Gmail के सीएसई का इस्तेमाल करके ईमेल भेजेगा या पाएगा:

सर्टिफ़िकेट अथॉरिटी (सीए) का इस्तेमाल करके, सर्टिफ़िकेट चेन के साथ एस/एमआईएमई पब्लिक/प्राइवेट की पेयर जनरेट करें. एस/एमआईएमई लीफ़ सर्टिफ़िकेट में, उपयोगकर्ता का मुख्य Gmail पता, विषय के नाम या एसएएन एक्सटेंशन विषय के तौर पर शामिल होना चाहिए.

इनमें से कोई एक काम किया जा सकता है:

Google के भरोसेमंद सीए रूट सर्टिफ़िकेट का इस्तेमाल करना: रूट सर्टिफ़िकेट की सूची के लिए, एस/एमआईएमई के लिए Gmail के भरोसेमंद सीए सर्टिफ़िकेट पर जाएं.
ऐसे सीए का इस्तेमाल करना जिस पर Google भरोसा नहीं करता: उदाहरण के लिए, अपने सीए का इस्तेमाल करने के लिए, Admin console में उसका रूट सर्टिफ़िकेट जोड़ा जा सकता है. ज़्यादा जानकारी के लिए, एस/एमआईएमई के लिए भरोसेमंद सर्टिफ़िकेट मैनेज करना लेख पढ़ें.
ध्यान दें: अगर ऐसे सीए का इस्तेमाल किया जाता है जिस पर Google भरोसा नहीं करता है और उपयोगकर्ता, क्लाइंट-साइड एन्क्रिप्ट (सुरक्षित) किए गए ईमेल आपके संगठन से बाहर भेजेंगे, तो पाने वाले को भी उस सीए पर भरोसा करना होगा.

दूसरा चरण: सर्टिफ़िकेट और निजी पासकोड के मेटाडेटा को रैप करना

एस/एमआईएमई के निजी पासकोड के मेटाडेटा को एन्क्रिप्ट (सुरक्षित) करने या "रैप" करने के लिए, की एन्क्रिप्शन सेवा का इस्तेमाल करें. ऐसा करने के लिए, अपनी की सेवा से संपर्क करें या उनके दिए गए निर्देशों का पालन करें.

अगर हार्डवेयर की एन्क्रिप्शन सुविधा का इस्तेमाल किया जा रहा है, तो पक्का करें कि यह चरण छोड़ दिया जाए और हार्डवेयर की एन्क्रिप्शन सुविधा का इस्तेमाल करने वाले किसी भी उपयोगकर्ता के लिए, निजी पासकोड के मेटाडेटा को रैप न किया जाए. इस मामले में, मेटाडेटा को रैप करने की ज़रूरत नहीं होती, क्योंकि Gmail के लिए उपयोगकर्ताओं के निजी पासकोड, उनके स्मार्ट कार्ड पर मौजूद होते हैं. इसके लिए, Assured Controls या Assured Controls Plus ऐड-ऑन होना ज़रूरी है.

तीसरा चरण: उपयोगकर्ताओं के एस/एमआईएमई सर्टिफ़िकेट और निजी पासकोड का मेटाडेटा, Gmail पर अपलोड करना

Gmail API का इस्तेमाल करके, हर उपयोगकर्ता के पब्लिक की एस/एमआईएमई सर्टिफ़िकेट चेन और निजी पासकोड का मेटाडेटा, Gmail पर अपलोड करें. साथ ही, एक आइडेंटिटी बनाकर, उन्हें उपयोगकर्ताओं के लिए पसंदीदा की के तौर पर सेट करें.

ध्यान दें: सर्टिफ़िकेट अपलोड करने के लिए, Gmail API का इस्तेमाल करना होगा. Gmail क्लाइंट का नहीं. इसके अलावा, ध्यान दें कि Gmail के लिए सीएसई चालू करने पर, Gmail क्लाइंट से सर्टिफ़िकेट अपलोड करने की सुविधा बंद हो जाती है.

हर उपयोगकर्ता के लिए, यह तरीका पूरा करें. इसके लिए, सेवा खाते के लिए पूरे डोमेन का ऐक्सेस बनाते समय डाउनलोड की गई निजी पासकोड की फ़ाइल का इस्तेमाल करें:

Gmail API कॉल keypairs.create का इस्तेमाल करके, सर्टिफ़िकेट चेन और निजी पासकोड का मेटाडेटा अपलोड करें.
Gmail API कॉल identities.create का इस्तेमाल करके, उपयोगकर्ता के मुख्य ईमेल पते के लिए की पेयर चालू करें.
identities.create कॉल के लिए, की पेयर आईडी की ज़रूरत होती है. यह आईडी, keypairs.create कॉल के जवाब के मुख्य हिस्से में दिखता है.

ध्यान दें: किसी उपयोगकर्ता के ईमेल पते के लिए की पेयर चालू करने पर:
- एक सीएसई आइडेंटिटी बनती है. इसे उपयोगकर्ता के खाते से ईमेल भेजने की अनुमति होती है.
- Gmail को कॉन्फ़िगर किया जाता है, ताकि वह भेजे जाने वाले सीएसई ईमेल पर हस्ताक्षर करने के लिए, निजी पासकोड के मेटाडेटा का इस्तेमाल कर सके.
- सर्टिफ़िकेट को, पूरे डोमेन के लिए शेयर की गई एक जगह पर पब्लिश किया जाता है. इससे, आपके संगठन में सीएसई का इस्तेमाल करने वाले अन्य उपयोगकर्ता, इस उपयोगकर्ता को भेजे गए मैसेज को एन्क्रिप्ट (सुरक्षित) कर सकते हैं.

यह तरीका पूरा करने के लिए, ऐसी स्क्रिप्ट का इस्तेमाल करें जो Gmail API के साथ इंटरफ़ेस करती हो. इनमें से कोई एक काम किया जा सकता है:

अपनी स्क्रिप्ट खुद लिखना.
Google की दी गई Python की सैंपल स्क्रिप्ट का इस्तेमाल करना. निर्देशों के लिए, उपयोगकर्ताओं के सर्टिफ़िकेट और रैप की गई कुंजियां, Gmail पर अपलोड करने के लिए Google की Python स्क्रिप्ट का इस्तेमाल करना लेख पढ़ें. यह लेख, इसी पेज पर मौजूद है.
ध्यान दें: यह स्क्रिप्ट सिर्फ़ उन उपयोगकर्ताओं के लिए लागू होती है जो Gmail के कॉन्टेंट को एन्क्रिप्ट (सुरक्षित) करने के लिए, की सेवा का इस्तेमाल करेंगे. हार्डवेयर की एन्क्रिप्शन सुविधा का इस्तेमाल करने वाले उपयोगकर्ताओं के लिए, आपको उनके रैप न किए गए निजी पासकोड का मेटाडेटा अपलोड करने के लिए, कोई दूसरी स्क्रिप्ट बनानी होगी.

सर्टिफ़िकेट अपलोड करने के बाद, उन्हें Gmail में उपलब्ध होने में 24 घंटे तक लग सकते हैं. हालांकि, आम तौर पर यह काम बहुत तेज़ी से हो जाता है.

(ज़रूरी नहीं) उपयोगकर्ताओं के सर्टिफ़िकेट और रैप किए गए निजी पासकोड, Gmail पर अपलोड करने के लिए Google की Python की सैंपल स्क्रिप्ट का इस्तेमाल करना

ऊपर दिया गया तीसरा चरण पूरा करने के लिए, अपनी स्क्रिप्ट लिखने के बजाय, Google की दी गई Python स्क्रिप्ट का इस्तेमाल किया जा सकता है.

ध्यान दें: यह स्क्रिप्ट, उन तीन दायरों के बारे में पूछती है जिनका इस्तेमाल, Gmail API को पूरे डोमेन का ऐक्सेस देने के लिए किया जा सकता है. (इन दायरों की सूची, इस पेज पर पहले दी गई है): gmail.settings.readonly, gmail.settings.basic, और gmail.settings.sharing. स्क्रिप्ट का इस्तेमाल करने के लिए, तीनों दायरों को चालू किया जा सकता है या स्क्रिप्ट से उस दायरे को हटाया जा सकता है जिसका इस्तेमाल नहीं किया जा रहा है.

स्क्रिप्ट डाउनलोड करना

Python स्क्रिप्ट पैकेज (.zip) को अपने कंप्यूटर (Mac, Linux या Windows) पर डाउनलोड करें. इसके बाद, फ़ाइलों को अपनी वर्किंग डायरेक्ट्री में एक्सट्रैक्ट करें.

वर्चुअल एनवायरमेंट बनाना और मॉड्यूल इंस्टॉल करना

अपनी वर्किंग डायरेक्ट्री से, कमांड लाइन का इस्तेमाल करके, ये कमांड डालें:

python3 -m venv cli_env

      source cli_env/bin/activate

      pip install -r requirements.txt

स्क्रिप्ट को लागू करना

python cse_cmd.py -h

उपयोगकर्ता के सर्टिफ़िकेट और पासकोड अपलोड करना

पहला चरण: रैप किए गए सभी निजी पासकोड स्टोर करने के लिए, एक डायरेक्ट्री बनाना

उदाहरण के लिए, $root/wrapped_keys डायरेक्ट्री बनाई जा सकती है.
रैप किए गए हर निजी पासकोड के लिए, फ़ाइल का नाम उपयोगकर्ता का पूरा ईमेल पता होना चाहिए. साथ ही, इसमें .wrap एक्सटेंशन होना चाहिए. उदाहरण के लिए: $root/wrapped_keys/user1@example.com.wrap
पक्का करें कि रैप किए गए निजी पासकोड की फ़ाइल में, दो ज़रूरी फ़ील्ड वाला JSON ऑब्जेक्ट हो:

{

      'kacls_url': 'url of the key service configured in the Admin console',

      'wrapped_private_key': 'wrapped private key bytes'

      }

दूसरा चरण: सभी सर्टिफ़िकेट स्टोर करने के लिए, एक डायरेक्ट्री बनाना

सर्टिफ़िकेट, P7 PEM फ़ॉर्मैट में होने चाहिए. इसलिए, $root/p7pem_certs डायरेक्ट्री बनाई जा सकती है.
पक्का करें कि सर्टिफ़िकेट फ़ाइल में, रूट सर्टिफ़िकेट अथॉरिटी (सीए) की पूरी चेन शामिल हो.
हर सर्टिफ़िकेट के लिए, फ़ाइल का नाम उपयोगकर्ता का पूरा ईमेल पता होना चाहिए. साथ ही, इसमें .p7pem एक्सटेंशन होना चाहिए. उदाहरण के लिए: $root/p7pem_certs/user1@example.com.p7pem

अगर आपके पास कोई P7B फ़ाइल है: इसे P7 PEM फ़ॉर्मैट में बदलने के लिए, openssl का यह कॉमेंट इस्तेमाल किया जा सकता है:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

तीसरा चरण: उपयोगकर्ताओं के की पेयर और आइडेंटिटी अपलोड करना

इस चरण के लिए, आपको सेवा खाते के क्रेडेंशियल वाली JSON फ़ाइल की ज़रूरत होगी. इसे आपने ऊपर दिए गए दूसरे चरण: सेवा खाता बनाना में अपने कंप्यूटर पर सेव किया था.

उपयोगकर्ताओं के की पेयर और आइडेंटिटी अपलोड करने का सबसे आसान तरीका है कि insert कमांड को रन किया जाए. ध्यान दें कि हर कमांड में एक आर्ग्युमेंट होना चाहिए. उदाहरण के लिए:

python cse_cmd.py insert

      --creds $root/svc_acct_creds.json

      --inkeydir $root/wrapped_keys

      --incertdir $root/p7pem_certs

इसके अलावा, हर उपयोगकर्ता के लिए यह तरीका अपनाया जा सकता है:

insert_keypair को रन करें और की पेयर आईडी नोट करें.
उस की पेयर आईडी का इस्तेमाल करके, insert_identity को रन करें.

list_keypair कमांड को रन करके भी, की पेयर आईडी पाया जा सकता है.

चौथा चरण: पुष्टि करना कि उपयोगकर्ताओं के पास सीएसई की पेयर और आइडेंटिटी हैं

पक्का करें कि उपयोगकर्ताओं के पास Gmail में मान्य की पेयर और आइडेंटिटी हों. इसके लिए, हर उपयोगकर्ता के लिए ये कमांड रन करें:

list_keypair

list_identity

Gmail के सीएसई के लिए, किसी दूसरी की सेवा पर स्विच करना

अगर Gmail के सीएसई के लिए, किसी दूसरी की सेवा पर स्विच करना है, तो ऊपर दिए गए उपयोगकर्ताओं के लिए, सीएसई के एस/एमआईएमई सर्टिफ़िकेट सेट अप करना लेख में दिए गए दूसरे और तीसरे चरण को दोहराएं. निजी पासकोड को रैप करने के लिए, अपनी नई की सेवा का इस्तेमाल करें.

ध्यान दें: उपयोगकर्ताओं के लिए नए सर्टिफ़िकेट अपलोड करने से, कॉन्टेंट नई की सेवा पर माइग्रेट नहीं होता. हालांकि, उपयोगकर्ता उन ईमेल को ऐक्सेस कर सकते हैं जो पुराने सर्टिफ़िकेट और पुरानी की सेवा से रैप किए गए निजी पासकोड के मेटाडेटा से एन्क्रिप्ट (सुरक्षित) किए गए थे.

मैसेज को Gmail पर, क्लाइंट-साइड एन्क्रिप्ट (सुरक्षित) किए गए ईमेल के तौर पर माइग्रेट करना

Gmail का सीएसई सेट अप हो जाने के बाद, मैसेज इंपोर्ट किए जा सकते हैं. हालांकि, यह ज़रूरी नहीं है. ज़्यादा जानकारी के लिए, देखें मैसेज को Gmail पर, क्लाइंट-साइड एन्क्रिप्ट (सुरक्षित) किए गए ईमेल के तौर पर माइग्रेट करना.