Notifica

Duet AI ha cambiato nome in Gemini per Google Workspace. Scopri di più

Solo Gmail: caricare le chiavi di crittografia per la crittografia lato client

Versioni supportate per questa funzionalità: Enterprise Plus; Education Standard ed Education Plus.  Confronta la tua versione

Per utilizzare la crittografia lato client di Google Workspace per Gmail, devi attivare l'API Gmail e concederle l'accesso all'intera organizzazione. Successivamente, per ogni utente, dovrai utilizzare l'API Gmail per caricare in Gmail un certificato S/MIME (Estensioni Secure/Multipurpose Internet Mail) (chiave pubblica) e i metadati della chiave privata. Se utilizzi un servizio chiavi di crittografia, dovrai anche criptare (o eseguire il wrapping) dei metadati delle chiavi private degli utenti utilizzando il servizio chiavi.

Puoi passare a un servizio chiavi diverso in qualsiasi momento caricando i nuovi certificati S/MIME e i metadati della chiave privata criptati dal nuovo servizio.

Informazioni su S/MIME

S/MIME è un protocollo standard di settore ampiamente accettato per la firma digitale e la crittografia delle email, al fine di garantirne l'integrità e la sicurezza. La crittografia lato client di Gmail si basa sullo standard S/MIME 3.2 di IETF per l'invio e la ricezione di dati MIME protetti. S/MIME richiede che i mittenti e i destinatari delle email dispongano di certificati X.509 considerati attendibili da Gmail.

Nota: in alternativa, puoi utilizzare S/MIME senza il livello aggiuntivo di crittografia e privacy fornito dalla crittografia lato client. Utilizza questa opzione solo se non devi impedire ai server Google di decriptare i tuoi dati con la crittografia lato client. Per maggiori dettagli, vedi Attivare la crittografia S/MIME ospitata per la crittografia dei messaggi.

Prima di iniziare

Assicurati di aver completato le seguenti operazioni:

  1. Scegli un servizio chiavi.
  2. Connessione al tuo provider di identità (IdP).
  3. Configura il servizio chiavi esterno o la crittografia della chiave hardware.
  4. Assegna un servizio chiavi o la crittografia delle chiavi hardware a unità organizzative o gruppi.

    Se utilizzi più servizi chiavi, assicurati che siano assegnati alle unità organizzative o ai gruppi di configurazione appropriati. 

Configurare l'API Gmail

Nota: l'utilizzo delle API richiede conoscenze nell'ambito della programmazione.

Apri sezione  |  Comprimi tutto

Passaggio 1: attiva l'API Gmail
  1. Crea un nuovo progetto Google Cloud. Per maggiori dettagli, vedi Creazione e gestione dei progetti.

    Prendi nota dell'ID progetto: lo utilizzerai per concedere l'accesso all'API a livello di dominio.

  2. Vai alla console API di Google e attiva l'API Gmail per il nuovo progetto. Per maggiori dettagli, vedi Abilitazione di un'API nel progetto Google Cloud.
Passaggio 2: crea un account di servizio a livello di dominio
  1. Nella console Google Cloud, vai alla pagina Account di servizio e crea un account di servizio a livello di dominio. Per maggiori dettagli, vedi Creare e gestire gli account di servizio.
  2. Crea una chiave privata dell'account di servizio e salvala in un file JSON nel tuo sistema locale, ad esempio svc_acct_creds.json. Questo file contiene le credenziali che utilizzerai per configurare Gmail per gli utenti. Per maggiori dettagli, vedi Creare e gestire le chiavi degli account di servizio.
Passaggio 3: concedi l'accesso all'API Gmail a livello di dominio

Per questo passaggio, utilizzerai l'account di servizio creato per concedere a tutti gli utenti l'accesso in modifica all'API Gmail. 

  1. Segui le istruzioni per controllare l'accesso all'API con la delega a livello di dominio.
  2. Inserisci quanto segue quando richiesto:

    ID client: l'ID client dell'account di servizio creato nel passaggio 2 qui sopra.

    Ambito OAuth: gmail.settings.basic

Attivare la crittografia lato client di Gmail per gli utenti

Attiva la crittografia lato client di Gmail per le unità organizzative o i gruppi.Per maggiori dettagli, vedi Attivare o disattivare la crittografia lato client.

Nota: per le unità organizzative, puoi configurare tutte le email (comporre, rispondere e inoltrare) in modo che siano criptate per impostazione predefinita. L'utente può comunque disattivare la crittografia, se necessario. Requires having the Assured Controls add-on. 

Configurare i certificati S/MIME con crittografia lato client per gli utenti

Dopo aver configurato l'API Gmail e attivato la crittografia lato client di Gmail per gli utenti nella Console di amministrazione, puoi configurare i certificati S/MIME con crittografia lato cliente e i metadati della chiave privata per i tuoi utenti. 

Apri sezione  |  Comprimi tutto

Passaggio 1: prepara i certificati S/MIME e i metadati delle chiavi private

Per ogni utente che utilizzerà la crittografia lato client di Gmail per inviare o ricevere email:

Utilizzando un'autorità di certificazione (CA), genera una coppia di chiavi pubblica/privata S/MIME con una catena di certificati. Il certificato foglia S/MIME deve includere l'indirizzo Gmail principale dell'utente come nome o oggetto dell'estensione SAN.

Scegli una delle opzioni seguenti:

  • Utilizza un certificato CA radice considerato attendibile da Google: per un elenco dei certificati radice, vedi Certificati CA considerati attendibili da Gmail per S/MIME.
  • Utilizza una CA non considerata attendibile da Google: ad esempio, per usare la tua CA, puoi aggiungere il relativo certificato radice nella Console di amministrazione. Per maggiori dettagli, vedi Gestire i certificati attendibili per S/MIME.

    Nota: se utilizzi una CA non considerata attendibile da Google e gli utenti inviano email con crittografia lato client all'esterno dell'organizzazione, anche il destinatario deve considerare attendibile la CA.

Passaggio 2: esegui il wrapping di certificati e metadati della chiave privata

Utilizza il servizio chiavi per criptare o eseguire il "wrapping" dei metadati delle chiavi private S/MIME. Contatta il tuo servizio chiavi per farlo o segui le istruzioni fornite.

Se utilizzi la crittografia della chiave hardware, assicurati di saltare questo passaggio e di non eseguire il wrapping dei metadati della chiave privata per gli utenti che utilizzeranno la crittografia della chiave hardware. In questo caso, non è necessario eseguire il wrapping dei metadati perché le chiavi private degli utenti per Gmail si trovano nelle loro smart card.   Requires having the Assured Controls add-on.

Passaggio 3: carica i certificati S/MIME degli utenti e i metadati delle chiavi private in Gmail

Utilizza l'API Gmail per caricare la catena di certificati S/MIME della chiave pubblica di ciascun utente e i metadati delle chiavi private in Gmail e impostarli come chiavi preferite per gli utenti creando un'identità.

Completa i seguenti passaggi per ogni utente, utilizzando il file della chiave privata che hai scaricato durante la creazione di un account di servizio a livello di dominio per l'autenticazione:

  1. Carica la catena di certificati e i metadati della chiave privata utilizzando la chiamata API Gmail keypairs.create.
  2. Attiva la coppia di chiavi per l'indirizzo email principale dell'utente utilizzando la chiamata API Gmail identities.create.

    La chiamata identities.create richiede l'ID della coppia di chiavi restituito nel corpo della risposta della chiamata keypairs.create.

    Nota: abilita la coppia di chiavi per l'indirizzo email di un utente:

    • Crea un'identità con crittografia lato client autorizzata a inviare email dall'account dell'utente.
    • Configura Gmail in modo che utilizzi i metadati della chiave privata per firmare la posta in uscita con crittografia lato client.
    • Pubblica il certificato in un repository condiviso a livello di dominio in modo che altri utenti con crittografia lato client della tua organizzazione possano criptare i messaggi inviati a questo utente.

Per completare questi passaggi, utilizza uno script che si interfaccia con l'API Gmail. Scegli una delle opzioni seguenti:

Nota: dopo aver caricato i certificati, possono trascorrere fino a 24 ore prima che siano disponibili in Gmail, anche se in genere avviene più rapidamente. 

(Facoltativo) Utilizzare lo script di esempio Python di Google per caricare i certificati degli utenti e le chiavi private con wrapping in Gmail

Per completare il passaggio 3 descritto sopra, puoi utilizzare lo script Python fornito da Google anziché scrivere il tuo script. 

Scaricare lo script

Scarica il pacchetto di script Python (.zip) sul tuo computer (Mac, Linux o Windows) ed estrai i file nella directory di lavoro.

Creare un ambiente virtuale e installare i moduli

Utilizzando una riga di comando dalla tua directory di lavoro, inserisci i seguenti comandi:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Richiamare lo script

python cse_cmd.py -h

Caricare i certificati e le chiavi degli utenti

Passaggio 1: crea una directory per l'archiviazione di tutte le chiavi private con wrapping

  • Ad esempio, potresti creare la directory $root/wrapped_keys.
  • Il nome file di ogni chiave privata con wrapping deve corrispondere all'indirizzo email completo dell'utente con estensione .wrap. Ad esempio: $root/wrapped_keys/utente1@example.com.wrap.
  • Assicurati che il file della chiave privata con wrapping abbia un oggetto JSON con due campi obbligatori:
{
      'kacls_url': 'url of the key service configured in the Admin console',
      'wrapped_private_key': 'wrapped private key bytes'
    }

  Passaggio 2: crea una directory per l'archiviazione di tutti i certificati

  • I certificati devono essere nel formato P7 PEM, quindi potresti creare la directory $root/p7pem_certs.
  • Assicurati che il file del certificato contenga la catena completa all'autorità di certificazione (CA) radice. 
  • Il nome file di ogni certificato deve essere l'indirizzo email completo dell'utente con estensione .p7pem. Ad esempio: $root/p7pem_certs/utente1@example.com.p7pem.

Se hai un file P7B: puoi utilizzare il seguente commento openssl per convertirlo nel formato PEM P7:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

Passaggio 3: carica le coppie di chiavi e le identità degli utenti

Per questo passaggio devi avere il file JSON contenente le credenziali per l'account di servizio, che hai salvato sul computer nel Passaggio 2: crea un account di servizio sopra. 

Il modo più semplice per caricare le coppie di chiavi e le identità degli utenti consiste nell'eseguire il comando insert. Tieni presente che ogni comando deve avere un argomento, ad esempio:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

In alternativa, puoi eseguire le seguenti operazioni per ciascun utente:

  1. Esegui insert_keypair e prendi nota dell'ID coppia di chiavi.
  2. Esegui insert_identity utilizzando questo ID coppia di chiavi.

Puoi ottenere l'ID coppia di chiavi eseguendo il comando list_keypair.

Passaggio 4: verifica che gli utenti dispongano di coppie di chiavi e identità con crittografia lato client

Per assicurarti che gli utenti dispongano di coppie di chiavi e identità valide in Gmail, esegui i comandi seguenti per ciascun utente:

list_keypair

list_identity

Per passare a un altro servizio chiavi per la crittografia lato client di Gmail

Se vuoi passare a un altro servizio chiavi con crittografia lato client di Gmail, ripeti i passaggi 2 e 3 descritti in Configurare la crittografia lato client di Gmail per gli utenti qui sopra, utilizzando il nuovo servizio chiavi per sottoporre a wrapping le chiavi private.

Nota: il caricamento di nuovi certificati per gli utenti non esegue la migrazione dei contenuti al nuovo servizio chiavi. Tuttavia, gli utenti possono continuare ad accedere alle email criptate con i certificati precedenti e con i metadati delle chiavi private sottoposte a wrapping dal servizio chiavi precedente.

Eseguire la migrazione dei messaggi a Gmail come email con crittografia lato client

Ora che la crittografia lato client di Gmail è configurata, puoi scegliere di importare i messaggi. Per maggiori dettagli, vedi Eseguire la migrazione dei messaggi a Gmail come email con crittografia lato client.

È stato utile?

Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Prova i passaggi successivi indicati di seguito:

Pubblica una domanda nella community di assistenza Ricevi risposte dai membri della community
Contattaci Dacci ulteriori informazioni e potremo aiutarti
true
Inizia oggi la tua prova gratuita di 14 giorni oggi

Email professionale, spazio di archiviazione online, calendari condivisi, riunioni video e altro ancora. Inizia oggi la prova gratuita di G Suite.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
10289827658780800198
true
Cerca nel Centro assistenza
true
true
true
true
true
73010
false
false