الإصدارات المتوافقة مع هذه الميزة: Enterprise Plus؛ Education Standard وEducation Plus. مقارنة إصدارك
لاستخدام ميزة "التشفير من جهة العميل" (CSE) في Google Workspace في Gmail، عليك تفعيل واجهة برمجة التطبيقات Gmail API ومنحها إذن الوصول إلى مؤسستك بالكامل. بعد ذلك، عليك استخدام واجهة برمجة التطبيقات Gmail API لكل مستخدم من أجل تحميل شهادة S/MIME (إضافات بريد الإنترنت متعدّد الأغراض/الآمن) (المفتاح العام) والبيانات الوصفية للمفتاح الخاص إلى Gmail. إذا كنت تستخدم خدمة إدارة مفاتيح تشفير، عليك أيضًا تشفير (أو "تشفير باستخدام مفاتيح أخرى") البيانات الوصفية للمفاتيح الخاصة للمستخدمين باستخدام خدمة إدارة مفاتيح التشفير.
يمكنك في أي وقت التبديل إلى خدمة إدارة مفاتيح تشفير مختلفة عن طريق تحميل شهادات S/MIME الجديدة والبيانات الوصفية للمفتاح الخاص التي تم تشفيرها من خلال الخدمة الجديدة.
لمحة عن S/MIME
يشير S/MIME إلى بروتوكول للمعيار المتّبع في المجال والمقبول على نطاق واسع للتوقيع الرقمي وتشفير الرسائل الإلكترونية لضمان سلامة الرسالة وأمانها. تعتمد ميزة "التشفير من جهة العميل" في Gmail على معيار S/MIME 3.2 التابع لمجموعة مهندسي شبكة الإنترنت (IETF) لإرسال بيانات MIME الآمنة واستلامها. يتطلّب معيار S/MIME أن تكون شهادات X.509 الخاصة بمرسِلي الرسالة الإلكترونية ومستلِميها معتمَدة من Gmail.
ملاحظة: يمكنك بدلاً من ذلك استخدام معيار S/MIME بدون الطبقة الإضافية من التشفير والخصوصية التي توفّرها ميزة "التشفير من جهة العميل". يجب عدم استخدام هذا الخيار البديل إلا إذا لم تكن بحاجة إلى منع خوادم Google من فك تشفير بياناتك باستخدام ميزة "التشفير من جهة العميل". لمعرفة التفاصيل، يُرجى الانتقال إلى تفعيل S/MIME المُستضاف لتشفير الرسائل.
قبل البدء
احرِص على تنفيذ الخطوات التالية:
- اختيار خدمة إدارة مفاتيح التشفير
- الربط بموفِّر الهوية (IdP).
- إعداد خدمة إدارة مفاتيح التشفير الخارجية أو تشفير مفتاح الجهاز
- إسناد خدمة إدارة مفاتيح التشفير أو تشفير مفتاح الجهاز إلى الوحدات التنظيمية أو المجموعات.
في حال كنت تستخدم خدمات متعدّدة في إدارة مفاتيح التشفير، يُرجى التأكّد من إسنادها إلى الوحدات التنظيمية أو مجموعات الضبط المناسبة.
إعداد واجهة برمجة التطبيقات Gmail API
ملاحظة: يتطلب استخدام واجهات برمجة التطبيقات المعرفة بالبرمجة.
- أنشِئ مشروعًا جديدًا على Google Cloud Platform. لمعرفة التفاصيل، يُرجى الانتقال إلى إنشاء المشاريع وإدارتها.
يجب ملاحظة رقم تعريف المشروع، إذ إنّك ستستخدمه لمنح واجهة برمجة التطبيقات إذن الوصول على مستوى النطاق.
- انتقِل إلى وحدة تحكُّم واجهة برمجة تطبيقات Google وفعِّل واجهة برمجة التطبيقات Gmail API للمشروع الجديد. لمعرفة التفاصيل، يُرجى الانتقال إلى مقالة تفعيل واجهة برمجة تطبيقات في المشروع على Google Cloud.
- في وحدة تحكُّم Google Cloud، يُرجى الانتقال إلى صفحة حسابات الخدمة وإنشاء حساب خدمة على مستوى النطاق. لمعرفة التفاصيل، يُرجى الانتقال إلى إنشاء حسابات الخدمة وإدارتها.
- أنشئ مفتاحًا خاصًا لحساب الخدمة واحفظ ملف المفتاح في ملف JSON على نظامك المحلي، مثل
svc_acct_creds.json
. يحتوي هذا الملف على بيانات الاعتماد التي تستخدمها عند إعداد Gmail للمستخدمين. لمعرفة التفاصيل، يُرجى الانتقال إلى إنشاء مفاتيح حساب الخدمة وإدارتها.
لتنفيذ هذه الخطوة، عليك استخدام حساب الخدمة الذي أنشأته لمنح واجهة برمجة التطبيقات Gmail API الإذن بتعديل محتوى جميع المستخدمين.
- اتّبِع تعليمات التحكُّم في إذن الوصول الممنوح إلى واجهة برمجة التطبيقات باستخدام التفويض على مستوى النطاق.
- عليك إدخال البيانات التالية عند طلبها:
معرّف العميل: يشير إلى معرّف العميل لحساب الخدمة الذي تم إنشاؤه في الخطوة 2 الموضَّحة أعلاه.
نطاقات OAuth:
gmail.settings.readonly
وإماgmail.settings.basic
أوgmail.settings.sharing
تفعيل ميزة "التشفير من جهة العميل" في Gmail للمستخدمين
يمكنك تفعيل ميزة "التشفير من جهة العميل" في Gmail للوحدات التنظيمية أو المجموعات. للاطّلاع على التفاصيل، يُرجى الانتقال إلى المقالة تفعيل ميزة "التشفير من جهة العميل" أو إيقافها.
ملاحظة: يمكنك في الوحدات التنظيمية ضبط جميع الرسائل الإلكترونية (الإنشاء والردّ وإعادة التوجيه) ليتم تشفيرها تلقائيًا. سيظل بإمكان المستخدمين إيقاف التشفير إذا لزم الأمر. Requires having the Assured Controls or Assured Controls Plus add-on.
إعداد شهادات S/MIME الخاصة بميزة "التشفير من جهة العميل" للمستخدمين
بعد إعداد واجهة برمجة التطبيقات Gmail API وتفعيل ميزة "التشفير من جهة العميل" في Gmail للمستخدمين في "وحدة تحكّم المشرف"، يمكنك إعداد شهادات S/MIME لميزة "التشفير من جهة العميل" والبيانات الوصفية للمفتاح الخاص للمستخدمين.
الخطوة 1: إعداد شهادات S/MIME والبيانات الوصفية للمفتاح الخاصلكل مستخدم سيستخدم ميزة "التشفير من جهة العميل" في Gmail لإرسال رسائل إلكترونية أو استلامها:
يمكنك باستخدام هيئة إصدار الشهادات (CA) إنشاء مفتاحا تشفير S/MIME عام أو خاص باستخدام سلسلة شهادات. يجب أن تتضمّن الشهادة الغير مخوّلة للتصديق لمعيار S/MIME عنوان Gmail الأساسي للمستخدم كاسم الموضوع أو إضافة الاسم البديل للموضوع (SAN).
يمكنك تنفيذ أي من الإجراءات الآتية:
- استخدام شهادة جذر لمرجع تصديق معتمَدة من Google: للحصول على قائمة بشهادات الجذر، يُرجى الانتقال إلى شهادات CA المعتمَدة من Gmail لمعيار S/MIME.
- استخدام مرجع تصديق غير معتمَد من Google: على سبيل المثال، لاستخدام مرجع التصديق الخاص بك، يمكنك إضافة شهادة الجذر الخاصة به في وحدة تحكُّم المشرف. لمعرفة التفاصيل، يُرجى الانتقال إلى إدارة الشهادات الموثوق بها لمعيار S/MIME.
ملاحظة: في حال استخدام مرجع تصديق غير معتمَد Google وإرسال المستخدمين رسائل إلكترونية مشفَّرة من جهة العميل خارج مؤسستك، يجب أن يثق مستلِم الرسائل أيضًا بمرجع التصديق.
يمكنك استخدام خدمة إدارة مفاتيح التشفير لتشفير البيانات الوصفية للمفاتيح الخاصة لمعيار S/MIME أو "تشفيرها من خلال مفاتيح أخرى". يُرجى التواصل مع فريق خدمة إدارة مفاتيح التشفير لإجراء ذلك أو اتّباع التعليمات المقدَّمة.
في حال استخدام تشفير مفتاح الجهاز: احرص على تخطي هذه الخطوة وعدم تشفير البيانات الوصفية للمفتاح الخاص لأي مستخدم سيستخدم تشفير مفتاح الجهاز. في هذه الحالة، لا حاجة إلى تشفير البيانات الوصفية لأنّ المفاتيح الخاصة للمستخدمين لتطبيق Gmail تكون متوفّرة في بطاقاتهم الذكية. Requires having the Assured Controls or Assured Controls Plus add-on.
يجب استخدام واجهة برمجة تطبيقات Gmail API لتحميل سلسلة شهادات S/MIME للمفتاح العام لكل مستخدم والبيانات الوصفية للمفتاح الخاص في Gmail وضبطها كمفاتيح مفضلة للمستخدمين عن طريق إنشاء هوية.
يمكنك إكمال الخطوات التالية لكل مستخدم باستخدام ملف المفتاح الخاص الذي نزّلته عند إنشاء حساب خدمة على مستوى النطاق لإجراء المصادقة:
- تحميل البيانات الوصفية لسلسلة الشهادات والمفتاح الخاص، وذلك باستخدام طلب نقطة الوصول إلى Gmail
keypairs.create
. - تفعيل مفتاحَي التشفير لعنوان البريد الإلكتروني الرئيسي للمستخدم، وذلك باستخدام طلب البيانات من واجهة برمجة التطبيقات Gmail API
identities.create
.إنّ الطلب
identities.create
يتطلّب رقم تعريف مفتاحا التشفير الذي يتم عرضه في نص الاستجابة للطلبkeypairs.create
.ملاحظة: يؤدي تفعيل مفتاحا التشفير لعنوان البريد الإلكتروني للمستخدم إلى:
- إنشاء هوية "التشفير من جهة العميل" المعتمدة لإرسال رسائل إلكترونية من حساب المستخدم.
- ضبط Gmail على استخدام البيانات الوصفية للمفتاح الخاص لتوقيع الرسائل الصادرة من ميزة "التشفير من جهة العميل".
- نشر الشهادة في مستودع مشترك على مستوى النطاق حتى يتمكّن مستخدمو ميزة "التشفير من جهة العميل" الآخرون في مؤسستك من تشفير الرسائل المُرسَلة إلى هذا المستخدم.
لإكمال هذه الخطوات، استخدِم نصًا برمجيًا له واجهة برمجة تطبيقات Gmail API. يمكنك تنفيذ أي من الإجراءات الآتية:
- اكتب النص البرمجي الذي تريده.
- يمكنك استخدام نموذج نص Python البرمجي الذي توفره Google. للحصول على التعليمات، يُرجى الانتقال إلى استخدام نص Python البرمجي الذي توفره Google لتحميل شهادات المستخدمين والمفاتيح المشفّرة إلى Gmail أدناه.
ملاحظة: لا ينطبق هذا النص البرمجي إلا على المستخدمين الذين سيستخدمون خدمة إدارة مفاتيح التشفير لتشفير محتوى Gmail. بالنسبة إلى المستخدمين الذين سيستخدمون تشفير مفتاح الجهاز، يجب إنشاء نص برمجي مختلف لتحميل البيانات الوصفية للمفتاح الخاص غير المشفر.
بعد تحميل الشهادات، قد يستغرق توفيرها في Gmail ما يصل إلى 24 ساعة، على الرغم من أنّه عادةً ما يتم ذلك الإجراء بشكلٍ أسرع.
لإكمال الخطوة 3 أعلاه، يمكنك استخدام نص Python البرمجي الذي توفّره Google بدلاً من كتابة نص برمجي خاص بك.
ملاحظة: يطلب هذا النص البرمجي النطاقات الثلاثة التي يمكنك استخدامها لمنح واجهة برمجة التطبيقات Gmail API أذونات الوصول على مستوى النطاق (المذكورة سابقًا في هذه الصفحة): gmail.settings.readonly
وgmail.settings.basic
و gmail.settings.sharing
. لاستخدام النص البرمجي، يمكنك إما تفعيل النطاقات الثلاثة جميعها أو إزالة النطاق الذي لا تستخدمه من النص البرمجي.
تنزيل النص البرمجي
نزّل حزمة النص البرمجي Python (zip.) على جهاز الكمبيوتر (Mac أو Linux أو Windows)، واستخرج الملفات إلى دليل العمل.
إنشاء بيئة افتراضية وتثبيت وحدات
باستخدام سطر أوامر من دليل العمل، أدخِل الأوامر التالية:
python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt
استدعاء النص البرمجي
python cse_cmd.py -h
تحميل شهادات المستخدم ومفاتيحه
الخطوة 1: إنشاء دليل لتخزين جميع المفاتيح الخاصة المشفّرة
- على سبيل المثال، يمكنك إنشاء الدليل
$root/wrapped_keys
. - يجب أن يكون اسم الملف لكل مفتاح خاص مشفّر هو عنوان البريد الإلكتروني الكامل للمستخدم مع الإضافة
.wrap
. على سبيل المثال:$root/wrapped_keys/user1@example.com.wrap
- تأكد من أن ملف المفتاح الخاص المشفّر يحتوي على عنصر JSON مع حقلين مطلوبين:
{
'kacls_url': 'url of the key service configured in the Admin console',
'wrapped_private_key': 'wrapped private key bytes'
}
الخطوة 2: إنشاء دليل لتخزين جميع الشهادات
- يجب أن تكون الشهادات بتنسيق P7 PEM، لذلك يمكنك إنشاء الدليل
$root/p7pem_certs
. - تأكد من أن ملف الشهادة يحتوي على السلسلة الكاملة لمرجع التصديق الجذر (CA).
- يجب أن يكون اسم الملف لكل شهادة هو عنوان البريد الإلكتروني الكامل للمستخدم بالامتداد
.p7pem
. على سبيل المثال:$root/p7pem_certs/user1@example.com.p7pem
إذا كان لديك ملف P7B: يمكنك استخدام تعليق openSSL التالي لتحويله إلى تنسيق P7 PEM:
openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}
الخطوة 3: تحميل هويّات المستخدمين ومفتاحا التشفير
لتنفيذ هذه الخطوة، ستحتاج إلى ملف JSON يحتوي على بيانات الاعتماد لحساب الخدمة التي حفظتها على جهاز الكمبيوتر في الخطوة 2: إنشاء حساب خدمة أعلاه.
إن أسهل طريقة لتحميل مفتاحا التشفير وهويات المستخدمين هي تشغيل الأمر insert
. يجب أن يحتوي كل أمر على وسيطة، على سبيل المثال:
python cse_cmd.py insert
--creds $root/svc_acct_creds.json
--inkeydir $root/wrapped_keys
--incertdir $root/p7pem_certs
بدلاً من ذلك، يمكنك إجراء ما يلي لكل مستخدم:
- تشغيل
insert_keypair
، ولاحظ رقم تعريف مفتاحَي التشفير. - تشغيل
insert_identity
باستخدام رقم تعريف مفتاحي التشفير هذا.
يمكنك أيضًا الحصول على رقم تعريف مفتاحَي التشفير من خلال تشغيل الأمر list_keypair
.
الخطوة 4: التحقُّق من امتلاك المستخدمين لهويات CSE ومفتاحي التشفير
تأكَّد من امتلاك المستخدمين لمفتاحي التشفير وهويات صالحة في Gmail عن طريق تشغيل الأوامر التالية لكل مستخدم:
list_keypair
list_identity
للتبديل إلى خدمة إدارة مفاتيح تشفير أخرى لميزة "التشفير من جهة العميل" في Gmail
إذا كنت تريد التبديل إلى خدمة إدارة مفاتيح تشفير مختلفة لميزة "التشفير من جهة العميل" في Gmail، كرِّر الخطوتين 2 و3 ضِمن إعداد ميزة "التشفير من جهة العميل" في Gmail للمستخدمين أعلاه، باستخدام خدمة إدارة مفاتيح التشفير الجديدة لتشفير المفاتيح الخاصة من خلال مفاتيح أخرى.
ملاحظة: لا يؤدي تحميل شهادات جديدة للمستخدمين إلى نقل المحتوى إلى خدمة إدارة مفاتيح التشفير الجديدة. مع ذلك، لا يزال بإمكان المستخدمين الوصول إلى الرسائل الإلكترونية المشفَّرة باستخدام الشهادات السابقة والبيانات الوصفية للمفتاح الخاص الذي تم تشفيره بشكلٍ إضافي من خلال إدارة مفاتيح التشفير القديمة.
نقل الرسائل إلى Gmail كرسائل إلكترونية مشفَّرة من جهة العميل
الآن بعد إعداد ميزة "التشفير من جهة العميل" في Gmail، يمكنك استيراد الرسائل اختياريًا. لمعرفة التفاصيل، يُرجى الاطّلاع على نقل الرسائل إلى Gmail كرسائل إلكترونية مشفَّرة من جهة العميل.