Notifikasi

Duet AI kini menjadi Gemini untuk Google Workspace. Pelajari lebih lanjut

Khusus Gmail: Mengupload kunci enkripsi untuk enkripsi sisi klien

Edisi yang didukung untuk fitur ini: Enterprise Plus; Education Standard dan Education Plus.  Bandingkan edisi

Agar dapat menggunakan Enkripsi sisi klien (CSE) Google Workspace untuk Gmail, Anda harus mengaktifkan Gmail API dan memberinya akses ke seluruh organisasi. Kemudian, untuk setiap pengguna, Anda perlu menggunakan Gmail API untuk mengupload sertifikat S/MIME (Secure/Multipurpose internet Mail Extensions) (kunci publik) dan metadata kunci pribadi ke Gmail. Jika menggunakan layanan kunci enkripsi, Anda juga harus mengenkripsi (atau "menggabungkan") metadata kunci pribadi pengguna menggunakan layanan kunci enkripsi Anda.

Anda dapat beralih ke layanan kunci enkripsi lain kapan saja dengan mengupload sertifikat S/MIME baru dan metadata kunci pribadi yang dienkripsi oleh layanan baru Anda.

Tentang S/MIME

S/MIME adalah protokol standar industri yang diterima secara luas untuk menandatangani dan mengenkripsi email secara digital guna memastikan integritas dan keamanan pesan. CSE Gmail bergantung pada standar S/MIME 3.2 IETF untuk mengirim dan menerima data MIME yang aman. S/MIME mewajibkan pengirim dan penerima email memiliki sertifikat X.509 yang dipercaya oleh Gmail.

Catatan: Atau, Anda dapat menggunakan S/MIME tanpa lapisan enkripsi dan privasi tambahan yang disediakan oleh CSE. Gunakan cara alternatif ini hanya ketika Anda tidak perlu mencegah server Google mendekripsi data Anda dengan CSE. Untuk mengetahui detailnya, buka Mengaktifkan S/MIME yang dihosting untuk enkripsi pesan.

Sebelum memulai

Pastikan Anda telah menyelesaikan langkah-langkah berikut:

  1. Memilih layanan kunci enkripsi.
  2. Menghubungkan ke penyedia identitas (IdP) Anda.
  3. Siapkan layanan kunci enkripsi eksternal atau enkripsi kunci hardware.
  4. Tetapkan layanan kunci enkripsi atau enkripsi kunci hardware ke unit organisasi atau grup.

    Jika Anda menggunakan beberapa layanan kunci enkripsi, pastikan layanan tersebut ditetapkan ke unit organisasi atau grup konfigurasi yang sesuai. 

Menyiapkan Gmail API

Catatan: Penggunaan API memerlukan pengetahuan pemrograman.

Buka bagian  |  Ciutkan semua

Langkah 1: Aktifkan Gmail API
  1. Buat project GCP baru. Untuk mengetahui detailnya, buka Membuat dan mengelola project.

    Perhatikan project ID: Anda akan menggunakannya untuk memberikan akses seluruh domain kepada API.

  2. Buka Konsol API Google lalu aktifkan Gmail API untuk project baru. Untuk mengetahui detailnya, buka Mengaktifkan API di project Google Cloud.
Langkah 2: Buat akun layanan seluruh domain
  1. Di konsol Google Cloud, buka halaman Service accounts, lalu buat akun layanan seluruh domain. Untuk mengetahui detailnya, buka Membuat dan mengelola akun layanan.
  2. Buat kunci pribadi akun layanan, lalu simpan kunci tersebut ke file JSON di sistem lokal Anda, seperti svc_acct_creds.json. File ini berisi kredensial yang akan Anda gunakan saat menyiapkan Gmail untuk pengguna. Untuk mengetahui detailnya, buka Membuat dan mengelola kunci akun layanan.
Langkah 3: Berikan akses seluruh domain kepada Gmail API

Untuk langkah ini, Anda akan menggunakan akun layanan yang dibuat untuk memberikan akses edit ke semua pengguna kepada Gmail API. 

  1. Ikuti petunjuk untuk Mengontrol akses API dengan delegasi seluruh domain.
  2. Masukkan informasi berikut saat diminta:

    Client ID: Client ID akun layanan yang dibuat pada Langkah 2 di atas.

    Cakupan OAuth: gmail.settings.basic

Mengaktifkan CSE Gmail untuk pengguna

Aktifkan CSE untuk Gmail bagi unit organisasi atau grup. Untuk mengetahui detailnya, buka Mengaktifkan atau menonaktifkan enkripsi sisi klien.

Catatan: Untuk unit organisasi, Anda dapat menetapkan agar semua email (tulis, balas, dan teruskan) dienkripsi secara default. Pengguna tetap dapat menonaktifkan enkripsi jika diperlukan. Requires having the Assured Controls add-on. 

Menyiapkan sertifikat S/MIME CSE untuk pengguna

Setelah menyiapkan Gmail API dan mengaktifkan CSE Gmail untuk pengguna di konsol Admin, Anda dapat menyiapkan sertifikat S/MIME CSE dan metadata kunci pribadi untuk pengguna. 

Buka bagian  |  Ciutkan semua

Langkah 1: Siapkan sertifikat S/MIME dan metadata kunci pribadi

Untuk setiap pengguna yang akan menggunakan CSE Gmail untuk mengirim atau menerima email:

Dengan menggunakan certificate authority (CA), buat pasangan kunci publik/pribadi S/MIME dengan rantai sertifikat. Sertifikat entitas akhir S/MIME harus menyertakan alamat Gmail utama pengguna sebagai nama subjek atau subjek ekstensi SAN.

Anda dapat melakukan salah satu hal berikut:

  • Menggunakan root certificate CA yang dipercaya oleh Google: Untuk melihat daftar root certificate, buka Sertifikat CA yang dipercaya oleh Gmail untuk S/MIME.
  • Menggunakan CA yang tidak dipercaya oleh Google: Misalnya, untuk menggunakan CA Anda sendiri, Anda dapat menambahkan root certificate-nya di konsol Admin. Untuk mengetahui detailnya, buka Mengelola sertifikat tepercaya untuk S/MIME.

    Catatan: Jika Anda menggunakan CA yang tidak dipercaya oleh Google, dan pengguna akan mengirim email terenkripsi sisi klien ke luar organisasi Anda, penerima juga harus memercayai CA tersebut.

Langkah 2: Gabungkan sertifikat dan metadata kunci pribadi

Gunakan layanan kunci enkripsi Anda untuk mengenkripsi, atau "gabungkan" metadata kunci pribadi S/MIME. Hubungi layanan kunci enkripsi Anda untuk melakukannya atau ikuti petunjuk yang diberikan.

Jika Anda menggunakan enkripsi kunci hardware—Pastikan Anda melewati langkah ini dan jangan gabungkan metadata kunci pribadi untuk pengguna yang akan menggunakan enkripsi kunci hardware. Dalam hal ini, penggabungan metadata tidak diperlukan karena kunci pribadi pengguna untuk Gmail berada di kartu smart mereka.   Requires having the Assured Controls add-on.

Langkah 3: Upload sertifikat S/MIME dan metadata kunci pribadi pengguna ke Gmail

Gunakan Gmail API untuk mengupload rantai sertifikat S/MIME kunci publik setiap pengguna dan metadata kunci pribadi ke Gmail, lalu menetapkannya sebagai kunci pilihan bagi pengguna dengan membuat identitas.

Lakukan langkah-langkah berikut untuk setiap pengguna, menggunakan file kunci pribadi yang Anda download saat membuat akun layanan seluruh domain untuk autentikasi:

  1. Upload rantai sertifikat dan metadata kunci pribadi, menggunakan panggilan Gmail API keypairs.create.
  2. Aktifkan pasangan kunci untuk alamat email utama pengguna, menggunakan panggilan Gmail API identities.create.

    Panggilan identities.create memerlukan ID pasangan kunci yang ditampilkan dalam isi respons panggilan keypairs.create.

    Catatan: Mengaktifkan pasangan kunci untuk alamat email pengguna:

    • Membuat identitas CSE yang diotorisasi untuk mengirim email dari akun pengguna.
    • Mengonfigurasi Gmail agar menggunakan metadata kunci pribadi untuk menandatangani email CSE yang keluar.
    • Memublikasikan sertifikat ke repositori bersama di seluruh domain sehingga pengguna CSE lain di organisasi Anda dapat mengenkripsi pesan yang dikirim ke pengguna ini.

Untuk menyelesaikan langkah-langkah ini, gunakan skrip yang berinteraksi dengan Gmail API. Anda dapat melakukan salah satu hal berikut:

  • Menulis skrip Anda sendiri.
  • Menggunakan skrip contoh Python yang disediakan Google. Untuk mengetahui petunjuknya, buka Menggunakan skrip Python Google untuk mengupload sertifikat pengguna dan kunci yang digabungkan ke Gmail di bawah.

    Catatan: Skrip ini berlaku hanya untuk pengguna yang akan menggunakan layanan kunci enkripsi untuk mengenkripsi konten Gmail. Untuk pengguna yang akan menggunakan enkripsi kunci hardware, Anda harus membuat skrip yang berbeda untuk mengupload metadata kunci pribadi mereka yang belum digabungkan.

Setelah sertifikat diupload, diperlukan waktu hingga 24 jam agar sertifikat tersedia di Gmail, meskipun biasanya tersedia lebih cepat. 

(Opsional) Menggunakan skrip contoh Python Google untuk mengupload sertifikat pengguna dan menggabungkan kunci pribadi ke Gmail

Untuk menyelesaikan Langkah 3 di atas, Anda dapat menggunakan skrip Python yang disediakan oleh Google, bukan menulis skrip Anda sendiri. 

Mendownload skrip

Download Python script package (.zip) ke komputer (Mac, Linux, atau Windows), lalu ekstrak file tersebut ke direktori kerja Anda.

Membuat lingkungan virtual dan menginstal modul

Dengan menggunakan command line dari direktori kerja, masukkan perintah berikut:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Memanggil skrip

python cse_cmd.py -h

Mengupload sertifikat dan kunci pengguna

Langkah 1: Buat direktori untuk menyimpan semua kunci pribadi yang digabungkan

  • Misalnya, Anda dapat membuat direktori $root/wrapped_keys.
  • Nama file untuk setiap kunci pribadi yang digabungkan harus berupa alamat email lengkap pengguna dengan ekstensi .wrap. Misalnya: $root/wrapped_keys/pengguna1@example.com.wrap
  • Pastikan file kunci pribadi yang digabungkan memiliki objek JSON dengan dua kolom yang diperlukan:
{
      'kacls_url': 'url of the key service configured in the Admin console',
      'wrapped_private_key': 'wrapped private key bytes'
    }

  Langkah 2: Buat direktori untuk menyimpan semua sertifikat

  • Sertifikat harus dalam format P7 PEM, jadi Anda dapat membuat direktori $root/p7pem_certs.
  • Pastikan file sertifikat berisi rantai penuh ke root certificate authority (CA). 
  • Nama file untuk setiap sertifikat harus berupa alamat email lengkap pengguna dengan ekstensi .p7pem. Misalnya: $root/p7pem_certs/pengguna1@example.com.p7pem

Jika memiliki file P7B: Anda dapat menggunakan komentar openssl berikut untuk mengonversinya ke format P7B:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

Langkah 3: Upload pasangan kunci dan identitas pengguna

Untuk langkah ini, Anda memerlukan file JSON yang berisi kredensial untuk akun layanan, yang disimpan ke komputer pada Langkah 2: Buat akun layanan di atas. 

Cara termudah untuk mengupload pasangan kunci dan identitas pengguna adalah dengan menjalankan perintah insert. Perhatikan bahwa setiap perintah harus memiliki argumen—misalnya:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

Atau, Anda dapat melakukan hal berikut untuk setiap pengguna:

  1. Jalankan insert_keypair, lalu catat ID pasangan kunci.
  2. Jalankan insert_identity menggunakan ID pasangan kunci tersebut.

Anda juga bisa mendapatkan ID pasangan kunci dengan menjalankan perintah list_keypair.

Langkah 4: Pastikan pengguna memiliki identitas atau pasangan kunci CSE

Pastikan pengguna memiliki pasangan kunci dan identitas yang valid di Gmail dengan menjalankan perintah berikut untuk setiap pengguna:

list_keypair

list_identity

Untuk beralih ke layanan kunci enkripsi lain untuk CSE Gmail

Jika Anda ingin beralih ke layanan kunci enkripsi lain untuk CSE Gmail, ulangi langkah 2 dan 3 di bagian Menyiapkan CSE Gmail untuk pengguna di atas, menggunakan layanan kunci enkripsi baru untuk menggabungkan kunci pribadi.

Catatan: Mengupload sertifikat baru untuk pengguna tidak akan memigrasikan konten ke layanan kunci enkripsi baru. Namun, pengguna dapat terus mengakses email yang telah dienkripsi dengan sertifikat sebelumnya dan juga metadata kunci pribadi yang digabungkan oleh layanan kunci enkripsi lama.

Memigrasikan pesan ke Gmail sebagai email terenkripsi sisi klien

Setelah CSE Gmail disiapkan, Anda dapat memilih untuk mengimpor pesan. Untuk mengetahui detailnya, lihat Memigrasikan pesan ke Gmail sebagai email terenkripsi sisi klien.

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
13194730863018533844
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false