Khusus Gmail: Mengonfigurasi S/MIME untuk enkripsi sisi klien

Edisi yang didukung untuk fitur ini: Frontline Plus; Enterprise Plus; Education Standard dan Education Plus. Bandingkan edisi Anda

Agar dapat menggunakan S/MIME dengan Enkripsi sisi klien (CSE) Google Workspace untuk Gmail, Anda harus mengaktifkan Gmail API dan memberinya akses ke seluruh organisasi. Kemudian, untuk setiap pengguna, Anda harus menggunakan Gmail API untuk mengupload sertifikat S/MIME (Secure/Multipurpose internet Mail Extensions) (kunci publik) dan metadata kunci pribadi ke Gmail. Jika menggunakan layanan kunci enkripsi, Anda juga harus mengenkripsi (atau "menggabungkan") metadata kunci pribadi pengguna menggunakan layanan kunci enkripsi Anda.

Anda dapat beralih ke layanan kunci enkripsi lain kapan pun dengan mengupload sertifikat S/MIME baru dan metadata kunci pribadi yang dienkripsi oleh layanan baru.

Persyaratan

Untuk menyelesaikan langkah-langkah konfigurasi S/MIME bagi pengguna, Anda memerlukan:

  • Hak istimewa admin super untuk Akun Google organisasi Anda, yang diperlukan untuk memberikan akses seluruh domain kepada Gmail API.
  • Akses ke alat layanan kunci enkripsi organisasi Anda atau staf dukungan yang mengelolanya.
  • Pengalaman dalam menggunakan API dan skrip Python.

Tentang S/MIME

S/MIME adalah protokol standar industri yang diterima secara luas untuk menandatangani dan mengenkripsi pesan email secara digital guna memastikan integritas dan keamanan pesan. CSE Gmail bergantung pada standar S/MIME 3.2 IETF untuk mengirim dan menerima data MIME yang aman. S/MIME mewajibkan pengirim dan penerima email memiliki sertifikat X.509 yang dipercaya oleh Gmail.

Catatan: Atau, Anda dapat menggunakan S/MIME tanpa lapisan enkripsi dan privasi tambahan yang disediakan oleh CSE. Gunakan cara alternatif ini hanya jika Anda tidak perlu mencegah server Google mendekripsi data Anda dengan CSE. Untuk mengetahui detailnya, buka Mengaktifkan S/MIME yang dihosting untuk enkripsi pesan.

Sebelum memulai

Pastikan Anda telah menyelesaikan langkah-langkah berikut:

  1. Pilih layanan kunci enkripsi.
  2. Menghubungkan ke penyedia identitas (IdP) Anda.
  3. Siapkan layanan kunci eksternal atau enkripsi kunci hardware.

  4. Tetapkan layanan kunci enkripsi atau enkripsi kunci hardware ke unit organisasi atau grup.

    Jika Anda menggunakan beberapa layanan kunci enkripsi, pastikan layanan tersebut ditetapkan ke unit organisasi atau grup konfigurasi yang sesuai.

Menyiapkan Gmail API

Catatan: Penggunaan API memerlukan pengetahuan pemrograman.

Langkah 1: Aktifkan Gmail API

  1. Buat project GCP baru. Untuk mengetahui detailnya, buka Membuat dan mengelola project.

    Perhatikan project ID: Anda akan menggunakannya untuk memberikan akses seluruh domain kepada API.

  2. Buka Konsol API Google lalu aktifkan Gmail API untuk project baru. Untuk mengetahui detailnya, buka Mengaktifkan API di project Google Cloud.

Langkah 2: Buat akun layanan seluruh domain

  1. Di konsol Google Cloud, buka halaman Service accounts, lalu buat akun layanan seluruh domain. Untuk mengetahui detailnya, buka Membuat dan mengelola akun layanan.
  2. Buat kunci pribadi akun layanan, lalu simpan kunci tersebut ke file JSON di sistem lokal Anda, seperti svc_acct_creds.json. File ini berisi kredensial yang akan Anda gunakan saat menyiapkan Gmail untuk pengguna. Untuk mengetahui detailnya, buka Membuat dan mengelola kunci akun layanan.

Langkah 3: Berikan akses seluruh domain kepada Gmail API

Untuk langkah ini, Anda akan menggunakan akun layanan yang dibuat untuk memberikan akses edit ke semua pengguna kepada Gmail API.

  1. Ikuti petunjuk untuk Mengontrol akses API dengan delegasi tingkat domain.
  2. Masukkan informasi berikut saat diminta:

    Client ID: Client ID akun layanan yang dibuat pada Langkah 2 di atas.

    Cakupan OAuth: gmail.settings.readonly dan salah satu dari gmail.settings.basic atau gmail.settings.sharing

Mengaktifkan CSE Gmail untuk pengguna

Aktifkan CSE untuk Gmail bagi unit organisasi atau grup. Untuk mengetahui detailnya, buka Mengaktifkan atau menonaktifkan enkripsi sisi klien.

Catatan: Untuk unit organisasi, Anda dapat menetapkan agar semua email (tulis, balas, dan teruskan) dienkripsi secara default. Pengguna tetap dapat menonaktifkan enkripsi jika diperlukan. Memerlukan add-on Assured Controls atau Assured Controls Plus.

Menyiapkan sertifikat S/MIME CSE untuk pengguna

Setelah menyiapkan Gmail API dan mengaktifkan CSE Gmail untuk pengguna di konsol Admin, Anda dapat menyiapkan sertifikat S/MIME CSE dan metadata kunci pribadi untuk pengguna.

Langkah 1: Siapkan sertifikat S/MIME dan metadata kunci pribadi

Untuk setiap pengguna yang akan menggunakan CSE Gmail untuk mengirim atau menerima email:

Dengan menggunakan certificate authority (CA), buat pasangan kunci publik/pribadi S/MIME dengan rantai sertifikat. Sertifikat entitas akhir S/MIME harus menyertakan alamat Gmail utama pengguna sebagai nama subjek atau subjek ekstensi SAN.

Anda dapat melakukan salah satu hal berikut:

  • Menggunakan root certificate CA yang dipercaya oleh Google: Untuk melihat daftar root certificate, buka Sertifikat CA yang dipercaya oleh Gmail untuk S/MIME.
  • Menggunakan CA yang tidak dipercaya oleh Google: Misalnya, untuk menggunakan CA Anda sendiri, Anda dapat menambahkan root certificate-nya di konsol Admin. Untuk mengetahui detailnya, buka Mengelola sertifikat tepercaya untuk S/MIME.

    Catatan: Jika Anda menggunakan CA yang tidak dipercaya oleh Google, dan pengguna akan mengirim email terenkripsi sisi klien ke luar organisasi Anda, penerima juga harus memercayai CA tersebut.

Langkah 2: Gabungkan sertifikat dan metadata kunci pribadi

Gunakan layanan kunci enkripsi Anda untuk mengenkripsi, atau "menggabungkan", metadata kunci pribadi S/MIME. Hubungi layanan kunci enkripsi Anda untuk melakukannya atau ikuti petunjuk yang diberikan.

Jika Anda menggunakan enkripsi kunci hardware—Pastikan Anda melewati langkah ini dan jangan gabungkan metadata kunci pribadi untuk pengguna yang akan menggunakan enkripsi kunci hardware. Dalam hal ini, penggabungan metadata tidak diperlukan karena kunci pribadi pengguna untuk Gmail berada di kartu smart mereka. Memerlukan add-on Assured Controls atau Assured Controls Plus.

Langkah 3: Upload sertifikat S/MIME dan metadata kunci pribadi pengguna ke Gmail

Gunakan Gmail API untuk mengupload rantai sertifikat S/MIME kunci publik dan metadata kunci pribadi setiap pengguna ke Gmail, lalu tetapkan sebagai kunci pilihan bagi pengguna dengan membuat identitas.

Catatan: Anda harus menggunakan Gmail API untuk mengupload sertifikat, bukan klien Gmail. Selain itu, perhatikan bahwa kemampuan untuk mengupload sertifikat dari klien Gmail dinonaktifkan saat Anda mengaktifkan CSE untuk Gmail.

Lakukan langkah-langkah berikut untuk setiap pengguna, menggunakan file kunci pribadi yang Anda download saat membuat akun layanan seluruh domain untuk autentikasi:

  1. Upload rantai sertifikat dan metadata kunci pribadi, menggunakan panggilan Gmail API keypairs.create.
  2. Aktifkan pasangan kunci untuk alamat email utama pengguna, menggunakan panggilan Gmail API identities.create.

    Panggilan identities.create memerlukan ID pasangan kunci yang ditampilkan dalam isi respons panggilan keypairs.create.

    Catatan: Mengaktifkan pasangan kunci untuk alamat email pengguna:

    • Membuat identitas CSE yang diizinkan untuk mengirim email dari akun pengguna.
    • Mengonfigurasi Gmail agar menggunakan metadata kunci pribadi untuk menandatangani email CSE yang keluar.
    • Memublikasikan sertifikat ke repositori bersama di seluruh domain sehingga pengguna CSE lain di organisasi Anda dapat mengenkripsi pesan yang dikirim ke pengguna ini.

Untuk menyelesaikan langkah-langkah ini, gunakan skrip yang berinteraksi dengan Gmail API. Anda dapat melakukan salah satu hal berikut:

  • Tulis skrip Anda sendiri.
  • Menggunakan skrip contoh Python yang disediakan Google. Untuk mengetahui petunjuknya, buka Menggunakan skrip Python Google untuk mengupload sertifikat pengguna dan kunci yang digabungkan ke Gmail di halaman ini.

    Catatan: Skrip ini berlaku hanya untuk pengguna yang akan menggunakan layanan kunci enkripsi untuk mengenkripsi konten Gmail. Untuk pengguna yang akan menggunakan enkripsi kunci hardware, Anda harus membuat skrip yang berbeda untuk mengupload metadata kunci pribadi mereka yang belum digabungkan.

Setelah sertifikat diupload, diperlukan waktu hingga 24 jam agar sertifikat tersedia di Gmail, meskipun biasanya tersedia lebih cepat.

(Opsional) Menggunakan skrip contoh Python Google untuk mengupload sertifikat pengguna dan kunci pribadi yang digabungkan ke Gmail

Untuk menyelesaikan Langkah 3 di atas, Anda dapat menggunakan skrip Python yang disediakan oleh Google, bukan menulis skrip Anda sendiri.

Catatan: Skrip ini meminta 3 cakupan yang dapat Anda gunakan untuk memberikan akses seluruh domain kepada Gmail API (sebelumnya telah disebutkan di halaman ini): gmail.settings.readonly, gmail.settings.basic, dan gmail.settings.sharing. Untuk menggunakan skrip, Anda dapat mengaktifkan ketiga cakupan atau menghapus cakupan yang tidak digunakan dari skrip.

Download skripnya

Download Python script package (.zip) ke komputer (Mac, Linux, atau Windows), lalu ekstrak file tersebut ke direktori kerja Anda.

Membuat lingkungan virtual dan menginstal modul

Dengan menggunakan command line dari direktori kerja, masukkan perintah berikut:

Memanggil skrip

Mengupload sertifikat dan kunci pengguna

Langkah 1: Buat direktori untuk menyimpan semua kunci pribadi yang digabungkan

  • Misalnya, Anda dapat membuat direktori $root/wrapped_keys.
  • Nama file untuk setiap kunci pribadi yang digabungkan harus berupa alamat email lengkap pengguna dengan ekstensi .wrap. Misalnya: $root/wrapped_keys/user1@example.com.wrap.
  • Pastikan file kunci pribadi yang digabungkan memiliki objek JSON dengan dua kolom yang diperlukan:

Langkah 2: Buat direktori untuk menyimpan semua sertifikat

  • Sertifikat harus dalam format P7 PEM, jadi Anda dapat membuat direktori $root/p7pem_certs.
  • Pastikan file sertifikat berisi rantai penuh ke root certificate authority (CA).
  • Nama file untuk setiap sertifikat harus berupa alamat email lengkap pengguna dengan ekstensi .p7pem. Misalnya: $root/p7pem_certs/user1@example.com.p7pem.

Jika memiliki file P7B: Anda dapat menggunakan komentar openssl berikut untuk mengonversinya ke format P7 PEM:

Langkah 3: Upload pasangan kunci dan identitas pengguna

Untuk langkah ini, Anda memerlukan file JSON yang berisi kredensial untuk akun layanan, yang disimpan ke komputer pada Langkah 2: Buat akun layanan di atas.

Cara termudah untuk mengupload pasangan kunci dan identitas pengguna adalah dengan menjalankan perintah insert. Perhatikan bahwa setiap perintah harus memiliki argumen—misalnya:

Atau, Anda dapat melakukan hal berikut untuk setiap pengguna:

  1. Jalankan insert_keypair, lalu catat ID pasangan kunci.
  2. Jalankan insert_identity menggunakan ID pasangan kunci tersebut.

Anda juga bisa mendapatkan ID pasangan kunci dengan menjalankan perintah list_keypair.

Langkah 4: Pastikan pengguna memiliki identitas atau pasangan kunci CSE

Pastikan pengguna memiliki pasangan kunci dan identitas yang valid di Gmail dengan menjalankan perintah berikut untuk setiap pengguna:

list_keypair

list_identity

Untuk beralih ke layanan kunci enkripsi lain untuk CSE Gmail

Jika Anda ingin beralih ke layanan kunci enkripsi lain untuk CSE Gmail, ulangi langkah 2 dan 3 di bagian Menyiapkan sertifikat S/MIME CSE untuk pengguna di atas, menggunakan layanan kunci enkripsi baru untuk menggabungkan kunci pribadi.

Catatan: Mengupload sertifikat baru untuk pengguna tidak akan memigrasikan konten ke layanan kunci enkripsi baru. Namun, pengguna dapat terus mengakses email yang telah dienkripsi dengan sertifikat sebelumnya dan juga metadata kunci pribadi yang digabungkan oleh layanan kunci enkripsi lama.

Memigrasikan pesan ke Gmail sebagai email terenkripsi sisi klien

Setelah CSE Gmail disiapkan, Anda dapat memilih untuk mengimpor pesan. Untuk mengetahui detailnya, lihat Memigrasikan pesan ke Gmail sebagai email terenkripsi sisi klien.