Yalnızca Gmail: İstemci tarafı şifreleme için S/MIME'yi yapılandırma

1. Yeni bir GCP projesi oluşturun. Ayrıntılar için Proje oluşturma ve yönetme başlıklı makaleyi inceleyin.

   Proje kimliğini not edin: API'ye alan genelinde erişim izni vermek için bu kimliği kullanırsınız.

2. Google API Konsolu'na gidin ve yeni proje için Gmail API'yi etkinleştirin. Ayrıntılar için Google Cloud projenizde bir API'yi etkinleştirme başlıklı makaleyi inceleyin.

1. Google Cloud Console'da Hizmet hesapları sayfasına gidin ve alan genelinde bir hizmet hesabı oluşturun. Ayrıntılar için Hizmet hesabı oluşturma ve yönetme başlıklı makaleyi inceleyin.
2. Hizmet hesabı özel anahtarı oluşturun ve anahtarı svc_acct_creds.json gibi yerel sisteminizdeki bir JSON dosyasına kaydedin. Bu dosya, kullanıcılar için Gmail'i kurarken kullanacağınız kimlik bilgilerini içerir. Ayrıntılar için Hizmet hesabı anahtarları oluşturma ve yönetme başlıklı makaleyi inceleyin.

Gmail API'ye tüm kullanıcılarınız için düzenleme erişimi vermek amacıyla bu adımda, oluşturduğunuz hizmet hesabını kullanırsınız.

1. Alan genelinde yetkiyle API erişimini kontrol etme başlıklı makaledeki talimatları uygulayın.
2. İstendiğinde aşağıdakileri girin:

   İstemci kimliği: Yukarıdaki 2. adımda oluşturduğunuz hizmet hesabının istemci kimliği.

   OAuth kapsamları: gmail.settings.readonly ve ya gmail.settings.basic ya gmail.settings.sharing

Gmail İTŞ'yi e-posta göndermek veya almak için kullanacak her kullanıcı için:

Bir sertifika yetkilisinden (CA) yararlanarak bir sertifika zincirine sahip S/MIME ortak/özel anahtar çifti oluşturun. S/MIME varlık sertifikasında, konu adı veya SAN uzantısı konusu olarak kullanıcının birincil Gmail adresi olmalıdır.

Bunun için aşağıdakilerden birini yapabilirsiniz:

• Google tarafından güvenilen bir CA kök sertifikası kullanın: Kök sertifikaların listesi için S/MIME için Gmail tarafından güvenilen CA sertifikaları başlıklı makaleye göz atın.
• Google tarafından güvenilmeyen bir CA kullanın: Örneğin, kendi CA'nızı kullanmak için kök sertifikasını Yönetici Konsolu'na ekleyebilirsiniz. Ayrıntılı bilgi için S/MIME için güvenilir sertifikaları yönetme başlıklı makaleye göz atın.

  Not: Google tarafından güvenilmeyen bir CA kullanırsanız ve kullanıcılar kuruluşunuzun dışına istemci tarafında şifrelenmiş e-postalar gönderecekse alıcının da CA'ya güvenmesi gerekir.

S/MIME özel anahtarlarının meta verilerini şifrelemek veya "sarmalamak" için anahtar şifreleme hizmetinizi kullanın. Bunun için anahtar hizmetinize başvurun veya belirtilen talimatları uygulayın.

Donanım anahtarı şifrelemesi kullanıyorsanız: Bu adımı atladığınızdan ve donanım anahtarı şifrelemesi kullanacak kullanıcılar için özel anahtar meta verilerini sarmalamadığınızdan emin olun. Bu durumda, kullanıcıların Gmail'e yönelik özel anahtarları akıllı kartlarında bulunduğundan meta verilerin sarmalanması gerekmez. Assured Controls veya Assured Controls Plus eklentisine sahip olmayı gerektirir.

Her kullanıcının ortak anahtar S/MIME sertifika zincirini ve özel anahtar meta verilerini Gmail'e yüklemek ve kimlik oluşturarak bunları kullanıcıların tercih ettiği anahtarlar olarak ayarlamak için Gmail API'yi kullanın.

Not: Sertifikaları yüklemek için Gmail istemcisini değil Gmail API'yi kullanmanız gerekir. Ayrıca, Gmail için İTŞ'yi etkinleştirdiğinizde Gmail istemcisinden sertifika yükleme özelliğinin devre dışı bırakıldığını unutmayın.

Kimlik doğrulama için alan genelinde bir hizmet hesabı oluştururken indirdiğiniz özel anahtar dosyasını kullanarak her kullanıcı için şu adımları tamamlayın:

1. Gmail API'nin keypairs.create çağrısını kullanarak sertifika zincirini ve özel anahtar meta verilerini yükleyin.
2. Gmail API'nin identities.create çağrısını kullanarak kullanıcının birincil e-posta adresi için anahtar çiftini etkinleştirin.

   identities.create çağrısı için keypairs.create çağrısının yanıt gövdesinde döndürülen anahtar çifti kimliği gerekir.

   Not: Bir kullanıcının e-posta adresi için anahtar çiftini etkinleştirme:

   • Kullanıcının hesabından e-posta gönderme yetkisi olan bir İTŞ kimliği oluşturur.
   • Gmail'i, giden CSE postalarını imzalamak için özel anahtar meta verilerini kullanacak şekilde yapılandırır.
   • Kuruluşunuzdaki diğer CSE kullanıcılarının bu kullanıcıya gönderilen iletileri şifreleyebilmesi için sertifikayı alan genelinde paylaşılan bir depoda yayınlar.

Bu adımları tamamlamak için Gmail API ile arayüz oluşturan bir komut dosyası kullanın. Bunun için aşağıdakilerden birini yapabilirsiniz:

• Kendi senaryonuzu yazın.
• Google'ın sağladığı Python örnek komut dosyasını kullanın. Talimatlar için bu sayfanın sonraki kısmındaki Kullanıcıların sertifikalarını ve sarmalanmış anahtarlarını Gmail'e yüklemek için Google'ın Python komut dosyasını kullanma başlıklı bölüme göz atın.

  Not: Bu komut dosyası, yalnızca Gmail içeriğini şifrelemek amacıyla anahtar hizmeti kullanacak olan kullanıcılar için geçerlidir. Donanım anahtarı şifrelemesini kullanacak tüm kullanıcıların sarmalanmış özel anahtar meta verilerini yüklemek için farklı bir komut dosyası oluşturmanız gerekir.

Yüklediğiniz sertifikaların Gmail'de kullanılabilir hale gelmesi 24 saati bulabilir. Ancak bu işlem genellikle çok daha kısa sürer.

Yukarıdaki 3. adımı tamamlamak için, kendi komut dosyanızı yazmak yerine Google'ın sağladığı Python komut dosyasını kullanabilirsiniz.

Not: Bu komut dosyası, Gmail API'ye alan genelinde erişim izni vermek için kullanabileceğiniz 3 kapsamı (bu sayfanın önceki bölümlerinde listelenmiştir) ister: gmail.settings.readonly, gmail.settings.basic ve gmail.settings.sharing. Komut dosyasını kullanmak için üç kapsamı da etkinleştirebilir veya kullanmadığınız kapsamı komut dosyasından kaldırabilirsiniz.

Komut dosyasını indirin

Python komut dosyası paketini (.zip) bilgisayarınıza (Mac, Linux veya Windows) indirin ve dosyaları çalışma dizininize ayıklayın.

Sanal ortam oluşturma ve modülleri yükleme

Çalışma dizininizdeki bir komut satırını kullanarak aşağıdaki komutları girin:

Komut dosyasını çağırma

Kullanıcının sertifikalarını ve anahtarlarını yükleme

1. adım: Sarmalanmış tüm özel anahtarları depolamak için bir dizin oluşturun

• Örneğin, $root/wrapped_keys dizinini oluşturabilirsiniz.
• Sarmalanmış her özel anahtarın dosya adı, kullanıcının .wrap uzantısına sahip tam e-posta adresi olmalıdır. Örneğin: $root/wrapped_keys/user1@example.com.wrap
• Sarmalanmış özel anahtar dosyasında, iki zorunlu alan içeren JSON nesnesinin bulunduğundan emin olun:

2. adım: Tüm sertifikaları depolamak için bir dizin oluşturun

• Sertifikaların P7 PEM biçiminde olması gerekir. Dolayısıyla $root/p7pem_certs dizinini oluşturabilirsiniz.
• Sertifika dosyasının, kök sertifika yetkilisine (CA) olan zincirin tamamını içerdiğinden emin olun.
• Her sertifikanın dosya adı, kullanıcının .p7pem uzantısına sahip tam e-posta adresi olmalıdır. Örneğin: $root/p7pem_certs/user1@example.com.p7pem

P7B dosyanız varsa: P7 PEM biçimine dönüştürmek için aşağıdaki openssl komutunu kullanabilirsiniz:

3. adım: Kullanıcıların anahtar çiftlerini ve kimliklerini yükleyin

Bu adım için yukarıdaki 2. adım: Hizmet hesabı oluşturun bölümünde bilgisayarınıza kaydettiğiniz hizmet hesabının kimlik bilgilerini içeren JSON dosyasına ihtiyacınız olacak.

Kullanıcıların anahtar çiftlerini ve kimliklerini yüklemenin en kolay yolu insert komutunu çalıştırmaktır. Her komutun bağımsız değişkeni olması gerektiğini unutmayın. Örneğin:

Alternatif olarak, her kullanıcı için aşağıdakileri yapabilirsiniz:

1. insert_keypair komutunu çalıştırın ve anahtar çifti kimliğini not edin.
2. Bu anahtar çifti kimliğini kullanarak insert_identity komutunu çalıştırın.

Anahtar çifti kimliğini list_keypair komutunu çalıştırarak da edinebilirsiniz.

4. adım: Kullanıcıların CSE anahtar çiftleri ve kimliklerine sahip olduğunu doğrulayın

Her kullanıcı için aşağıdaki komutları çalıştırarak Gmail'de geçerli anahtar çiftlerine ve kimliklere sahip olduklarına emin olun:

list_keypair

list_identity