الإصدارات المتوافقة مع هذه الميزة: Enterprise وEducation Standard وEducation Plus وEnterprise Essentials Plus. مقارنة إصدارك
لاستخدام ميزة "التشفير من جهة العميل" (CSE) في Google Workspace على Gmail، عليك تفعيل واجهة برمجة التطبيقات Gmail API ومنحها إذن الوصول إلى مؤسستك بالكامل. بعد ذلك، بالنسبة لكل مستخدم، عليك استخدام واجهة برمجة التطبيقات Gmail API لتحميل شهادة S/MIME (إضافات بريد الإنترنت متعدّد الأغراض/الآمن) والبيانات الوصفية للمفتاح الخاص المشفَّرة من خلال خدمة إدارة مفاتيح التشفير في Gmail.
ملاحظة: يمكنك في أي وقت التبديل إلى خدمة إدارة مفاتيح تشفير مختلفة من خلال تحميل شهادات S/MIME جديدة ومفاتيح خاصة مشفَّرة بواسطة الخدمة الجديدة.
لمحة عن S/MIME
يشير S/MIME إلى بروتوكول للمعيار المتّبع في المجال والمقبول على نطاق واسع للتوقيع الرقمي وتشفير الرسائل الإلكترونية لضمان سلامة الرسالة وأمانها. تعتمد ميزة "التشفير من جهة العميل" في Gmail على معيار S/MIME 3.2 التابع لمجموعة مهندسي شبكة الإنترنت (IETF) لإرسال بيانات MIME الآمنة واستلامها. يتطلّب معيار S/MIME أن تكون شهادات X.509 الخاصة بمرسِلي الرسالة الإلكترونية ومستلِميها معتمَدة من Gmail.
بدلاً من ذلك، يمكنك استخدام معيار S/MIME بدون الطبقة الإضافية من التشفير والخصوصية التي توفّرها ميزة "التشفير من جهة العميل". يجب عدم استخدام هذا الخيار البديل إلا إذا لم تكن بحاجة إلى منع خوادم Google من فك تشفير بياناتك. لمعرفة التفاصيل، يُرجى الاطّلاع على تفعيل S/MIME المُستضاف لتشفير الرسائل.
قبل البدء
احرِص على تنفيذ الخطوات التالية:
- إعداد خدمة إدارة مفاتيح التشفير الخارجية
- أضِف خدمة إدارة مفاتيح التشفير إلى "وحدة تحكُّم المشرف".
- أسنِد خدمة إدارة مفاتيح التشفير إلى وحدتك التنظيمية ذات المستوى الأعلى وأي خدمات أخرى لإدارة مفاتيح التشفير تستخدمها مع الوحدات التنظيمية أو مجموعات الضبط المناسبة.
- ربط Google Workspace بموفِّر الهوية (IdP).
إعداد واجهة برمجة التطبيقات Gmail API
- أنشِئ مشروعًا جديدًا على Google Cloud Platform. لمعرفة التفاصيل، يُرجى الاطّلاع على إنشاء المشاريع وإدارتها.
عليك ملاحظة رقم تعريف المشروع، إذ إنّك ستستخدمه لمنح واجهة برمجة التطبيقات إذن الوصول على مستوى النطاق.
- انتقِل إلى وحدة تحكُّم واجهة برمجة تطبيقات Google وفعِّل واجهة برمجة التطبيقات Gmail API للمشروع الجديد. لمعرفة التفاصيل، يُرجى الاطّلاع على تفعيل واجهة برمجة تطبيقات في مشروعك على Google Cloud.
- في وحدة التحكُّم Google Cloud Console، انتقِل إلى صفحة حسابات الخدمة وأنشئ حساب خدمة. لمعرفة التفاصيل، يُرجى الاطّلاع على إنشاء حسابات الخدمة وإدارتها.
- أنشئ مفتاحًا خاصًا لحساب الخدمة واحفظ ملف المفتاح في ملف JSON على نظامك المحلي، مثل
svc_acct_creds.json. يحتوي هذا الملف على بيانات الاعتماد التي ستستخدمها عند إعداد Gmail للمستخدمين. لمعرفة التفاصيل، يُرجى الاطّلاع على إنشاء مفاتيح حساب الخدمة وإدارتها.
لتنفيذ هذه الخطوة، عليك استخدام حساب الخدمة الذي أنشأته لمنح واجهة برمجة التطبيقات Gmail API الإذن بتعديل محتوى جميع المستخدمين.
- اتّبِع تعليمات التحكُّم في إذن الوصول الممنوح إلى واجهة برمجة التطبيقات باستخدام التفويض على مستوى النطاق.
- عليك إدخال البيانات التالية عند طلبها:
معرّف العميل: يشير إلى معرّف العميل لحساب الخدمة الذي تم إنشاؤه في الخطوة 2 الموضَّحة أعلاه.
نطاق OAuth:
gmail.settings.basic
إعداد ميزة "التشفير من جهة العميل" في Gmail للمستخدمين
بعد إعداد واجهة برمجة التطبيقات Gmail API، يمكنك إعداد ميزة "التشفير من جهة العميل" في Gmail للمستخدمين.
- باستخدام مرجع تصديق (CA)، يمكنك إنشاء شهادة S/MIME لكل مستخدم سيستخدم ميزة "التشفير من جهة العميل" في Gmail لإرسال الرسائل الإلكترونية أو استلامها. يمكنك تنفيذ أي من الإجراءات الآتية:
- استخدام شهادة جذر لمرجع تصديق معتمَدة من Google: للحصول على قائمة بشهادات الجذر، يُرجى الاطّلاع على شهادات CA المعتمَدة من Gmail لمعيار S/MIME.
- استخدام مرجع تصديق غير معتمَد من Google: على سبيل المثال، لاستخدام مرجع التصديق الخاص بك، يمكنك إضافة شهادة الجذر الخاصة به في وحدة تحكُّم المشرف. لمعرفة التفاصيل، يُرجى الاطّلاع على إدارة الشهادات الموثوق بها لمعيار S/MIME.
ملاحظة: في حال استخدام مرجع تصديق غير معتمَد Google وإرسال المستخدمين رسائل إلكترونية مشفَّرة من جهة العميل خارج مؤسستك، يجب أن يثق مستلِم الرسائل أيضًا بمرجع التصديق.
- تشفير البيانات الوصفية للمفاتيح الخاصة لمعيار S/MIME أو "تضمينها من خلال مفاتيح أخرى" باستخدام خدمة إدارة مفاتيح التشفير. اتّبِع التعليمات الواردة في وثائق مقدّم الخدمة.
عليك استخدام واجهة برمجة تطبيقات Gmail API لتحميل سلسلة شهادات S/MIME للمفتاح العام لكل مستخدم وإرفاق البيانات الوصفية للمفتاح الخاص في Gmail وضبطها كمفاتيح مفضلة للمستخدمين عن طريق إنشاء هوية. لإجراء المصادقة، عليك استخدام ملف المفتاح الخاص لحساب الخدمة الذي نزَّلته عند إعداد واجهة برمجة التطبيقات Gmail API.
لتحميل الشهادة لكل مستخدِم، يجب تنفيذ الخطوات الآتية:
- أنشئ زوج مفاتيح يحمّل سلسلة الشهادات والبيانات الوصفية للمفتاح الخاص.
- باستخدام زوج المفاتيح، يمكنك إنشاء هوية التشفير من جهة العميل المفوَّضة لإرسال البريد من حساب المستخدم.
لإكمال هذه الخطوات، استخدم نصًا برمجيًا يتوافق مع Gmail API. يمكنك تنفيذ أي من الإجراءات الآتية:
- اكتب النص البرمجي.
- يمكنك استخدام نموذج النص البرمجي Python الذي توفّره Google. للحصول على التعليمات، يُرجى الاطِّلاع على استخدام النص البرمجي Python من Google لتحميل شهادات المستخدمين والمفاتيح المشفّرة إلى Gmail أدناه.
ملاحظة: بعد تحميل الشهادات، قد يستغرق الأمر مدة تصل إلى 24 ساعة لتصبح متاحة في Gmail، على الرغم من أنه عادةً ما يحدث ذلك بسرعة أكبر.
لإكمال الخطوة 3 أعلاه، يمكنك استخدام النص البرمجي Python الذي تقدمه Google بدلاً من كتابة النص البرمجي الخاص بك.
تنزيل النص البرمجي
نزّل حزمة النص البرمجي Python (zip.) على جهاز الكمبيوتر (Mac أو Linux أو Windows)، واستخرج الملفات إلى دليل العمل.
إنشاء بيئة افتراضية وتثبيت الوحدات
باستخدام سطر الأوامر من دليل العمل، أدخِل الأوامر التالية:
python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txtاستدعاء النص البرمجي
python cse_cmd.py -hتحميل شهادات المستخدم ومفاتيحه
الخطوة 1: إنشاء دليل لتخزين جميع المفاتيح الخاصة المشفّرة
- على سبيل المثال، يمكنك إنشاء الدليل
$root/wrapped_keys. - يجب أن يكون اسم الملف لكل مفتاح خاص مشفّر هو عنوان البريد الإلكتروني الكامل للمستخدم مع الإضافة
.wrap. على سبيل المثال:$root/wrapped_keys/user1@example.com.wrap - تأكد من أن ملف المفتاح الخاص المشفّر يحتوي على عنصر JSON مع حقلين مطلوبين:
{
'kacls_url': 'url of the key service configured in the Admin console',
'wrapped_private_key': 'wrapped private key bytes'
}الخطوة 2: إنشاء دليل لتخزين جميع الشهادات
- يجب أن تكون الشهادات بتنسيق P7 PEM، لذا يمكنك إنشاء الدليل
$root/p7pem_certs. - تأكد من أن ملف الشهادة يحتوي على السلسلة الكاملة لمرجع التصديق الجذر (CA).
- يجب أن يكون اسم الملف لكل شهادة هو عنوان البريد الإلكتروني الكامل للمستخدم بالامتداد
.p7pem. على سبيل المثال:$root/p7pem_certs/user1@example.com.p7pem
إذا كان لديك ملف P7B: يمكنك استخدام تعليق openssl التالي لتحويله إلى تنسيق P7 PEM:
openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}الخطوة 3: تحميل هويّات المستخدمين ومفتاحا التشفير
لتنفيذ هذه الخطوة، ستحتاج إلى ملف JSON الذي يحتوي على بيانات اعتماد حساب الخدمة الذي حفظته على جهاز الكمبيوتر في الخطوة 2: إنشاء حساب خدمة أعلاه.
إن أسهل طريقة لتحميل مفتاحا التشفير وهويات المستخدمين هي تشغيل الأمر insert. لاحظ أنه يجب أن يحتوي كل أمر على وسيطة، على سبيل المثال:
python cse_cmd.py insert
--creds $root/svc_acct_creds.json
--inkeydir $root/wrapped_keys
--incertdir $root/p7pem_certsبدلاً من ذلك، يمكنك إجراء ما يلي لكل مستخدم:
- تشغيل
insert_keypair، ولاحظ رقم تعريف مفتاحَي التشفير. - تشغيل
insert_identityباستخدام رقم تعريف مفتاحي التشفير هذا.
يمكنك أيضًا الحصول على رقم تعريف مفتاحَي التشفير من خلال تشغيل الأمر list_keypair.
الخطوة 4: التحقُّق من امتلاك المستخدمين لهويات CSE ومفتاحي التشفير
تأكَّد من امتلاك المستخدمين لمفتاحي التشفير وهويات صالحة في Gmail عن طريق تشغيل الأوامر التالية لكل مستخدم:
list_keypair
list_identity
للتبديل إلى خدمة إدارة مفاتيح تشفير أخرى لميزة "التشفير من جهة العميل" في Gmail
إذا كنت تريد التبديل إلى خدمة إدارة مفاتيح تشفير مختلفة لميزة "التشفير من جهة العميل" في Gmail، كرِّر الخطوتين 2 و3 ضِمن إعداد ميزة "التشفير من جهة العميل" في Gmail للمستخدمين أعلاه، باستخدام خدمة إدارة مفاتيح التشفير الجديدة لتشفير المفاتيح الخاصة من خلال مفاتيح أخرى.
ملاحظة: لا يؤدي تحميل شهادات جديدة للمستخدمين إلى نقل المحتوى إلى خدمة إدارة مفاتيح التشفير الجديدة. مع ذلك، لا يزال بإمكان المستخدمين الوصول إلى الرسائل الإلكترونية المشفَّرة باستخدام الشهادات السابقة والبيانات الوصفية للمفتاح الخاص الذي تم تشفيره بشكلٍ إضافي من خلال إدارة مفاتيح التشفير القديمة.
