Alleen Gmail: versleutelingssleutels uploaden voor versleuteling aan de clientzijde

Deze functie wordt ondersteund in de volgende versies: Enterprise Plus, Education Standard en Education Plus. Versies vergelijken

Als u versleuteling aan de clientzijde (VCZ) van Google Workspace voor Gmail wilt gebruiken, moet u de Gmail API aanzetten en toegang geven tot uw hele organisatie. Daarna moet u voor elke gebruiker via de Gmail API een S/MIME-certificaat (Secure/Multipurpose Internet Mail Extensions-certificaat) (openbare sleutel) en metadata van de privésleutel uploaden naar Gmail. Als u een service voor versleutelingssleutels gebruikt, moet u de metadata van de privésleutels van gebruikers ook versleutelen (of verpakken) met uw sleutelservice.

U kunt altijd overschakelen naar een andere sleutelservice door nieuwe S/MIME-certificaten en metadata van privésleutels te uploaden die zijn versleuteld door de nieuwe service.

Over S/MIME

S/MIME is een algemeen geaccepteerd, branchestandaard protocol om e-mails digitaal te ondertekenen en te versleutelen. Zo blijft de integriteit en beveiliging van berichten gewaarborgd. Gmail VCZ gebruikt de S/MIME 3.2 IETF-standaard om beveiligde MIME-gegevens te sturen en te krijgen. S/MIME vereist dat het X.509-certificaat van e-mailafzenders en -ontvangers wordt vertrouwd door Gmail.

Opmerking: U kunt S/MIME ook gebruiken zonder de aanvullende versleuteling en privacy van VCZ. Gebruik dit alternatief alleen als u niet hoeft te voorkomen dat Google-servers uw gegevens ontsleutelen met VCZ. Ga naar Gehoste S/MIME aanzetten om berichten te versleutelen voor meer informatie.

Voordat u begint

Zorg dat u de volgende stappen heeft uitgevoerd:

  1. Kies een sleutelservice.
  2. Koppel met uw identiteitsprovider (IdP).
  3. Stel uw externe sleutelservice of versleuteling via hardwaresleutels in.
  4. Wijs een sleutelservice of versleuteling via hardwaresleutels toe aan organisatie-eenheden of groepen.

    Als u meerdere sleutelservices gebruikt, moet u zorgen dat ze zijn toegewezen aan de juiste organisatie-eenheden of configuratiegroepen.

De Gmail API instellen

Opmerking: Voor het gebruik van API's is programmeerkennis vereist.

Gedeelte openen  |  Alles samenvouwen

Stap 1: Zet de Gmail API aan
  1. Maak een nieuw GCP-project. Ga naar Projecten maken en beheren voor meer informatie.

    Opmerking over de project-ID: U gebruikt deze om de API domeinbrede toegang te geven.

  2. Ga naar de Google API Console en zet de Gmail API aan voor het nieuwe project. Ga naar Een API aanzetten in uw Google Cloud-project voor meer informatie.
Stap 2: Maak een domeinbreed serviceaccount
  1. Ga in de Google Cloud-console naar de pagina Serviceaccounts en maak een domeinbreed serviceaccount. Ga naar Serviceaccounts maken en beheren voor meer informatie.
  2. Maak een privésleutel voor het serviceaccount en sla de sleutel op in een json-bestand op uw lokale systeem, zoals svc_acct_creds.json. Dit bestand bevat de inloggegevens die u gebruikt als u Gmail instelt voor gebruikers. Ga naar Sleutels voor serviceaccounts maken en beheren voor meer informatie.
Stap 3: Geef de Gmail API domeinbrede toegang

In deze stap gebruikt u het serviceaccount dat u heeft gemaakt om de Gmail API bewerkingsrechten te geven voor al uw gebruikers.

  1. Volg de instructies in API-toegang beheren met domeinbrede machtigingen.
  2. Geef de volgende informatie op als daarom wordt gevraagd:

    Client-ID: De client-ID van het serviceaccount dat u in stap 2 hierboven heeft gemaakt.

    OAuth-bereiken: gmail.settings.readonly en gmail.settings.basic of gmail.settings.sharing 

Gmail VCZ aanzetten voor gebruikers

Zet VCZ voor Gmail aan voor de juiste organisatie-eenheden of groepen. Ga naar Versleuteling aan de clientzijde aan- of uitzetten voor meer informatie.

Opmerking: Voor organisatie-eenheden kunt u instellen dat alle e-mails (opstellen, beantwoorden en doorsturen) standaard worden versleuteld. De gebruiker kan versleuteling nog steeds uitzetten als dat nodig is. Requires having the Assured Controls or Assured Controls Plus add-on. 

S/MIME-certificaten van VCZ instellen voor gebruikers

Nadat u in de Beheerdersconsole de Gmail API heeft ingesteld en Gmail VCZ heeft aangezet voor gebruikers, kunt u S/MIME-certificaten en metadata van de privésleutel voor uw gebruikers instellen voor gebruikers.

Gedeelte openen  |  Alles samenvouwen

Stap 1: Bereid de S/MIME-certificaten en metadata van de privésleutels voor

Doe dit voor elke gebruiker die Gmail VCZ gebruikt om e-mails te sturen of te krijgen:

Maak via een certificeringsinstantie (CA) een S/MIME openbaar/privé-sleutelpaar met een certificaatketen. Het S/MIME-leaf-certificaat moet het primaire Gmail-adres van de gebruiker bevatten als onderwerpnaam of onderwerp van de SAN-extensie.

U heeft deze opties:

  • Een CA-rootcertificaat gebruiken dat wordt vertrouwd door Google: Ga naar CA-certificaten die worden vertrouwd door Gmail voor S/MIME voor een lijst met rootcertificaten.
  • Een CA gebruiken die niet wordt vertrouwd door Google: Als u bijvoorbeeld uw eigen CA wilt gebruiken, kunt u het rootcertificaat toevoegen in de Beheerdersconsole. Ga naar Vertrouwde certificaten voor S/MIME beheren voor meer informatie.

    Opmerking: Als u een CA gebruikt die niet wordt vertrouwd door Google en gebruikers e-mails die zijn versleuteld aan de clientzijde sturen buiten uw organisatie, moet de ontvanger de CA ook vertrouwen.

Stap 2: Verpak certificaten en metadata van de privésleutel

Gebruik uw sleutelservice om de metadata van de S/MIME-privésleutels te versleutelen (oftewel te verpakken). Neem daarvoor contact op met uw sleutelservice of voer hun instructies uit.

Als u versleuteling via hardwaresleutels gebruikt: Sla deze stap over en pak geen metadata van privésleutels in voor gebruikers die versleuteling via hardwaresleutels gebruiken. In dit geval is het niet nodig de metadata te verpakken, omdat de privésleutels van gebruikers voor Gmail op hun smartcards staan.   Requires having the Assured Controls or Assured Controls Plus add-on.

Stap 3: Upload de S/MIME-certificaten en metadata van de privésleutel van gebruikers naar Gmail

Gebruik de Gmail API om de S/MIME-certificaatketen van de openbare sleutel en de metadata van de privésleutel van elke gebruiker te uploaden naar Gmail en deze in te stellen als voorkeurssleutels voor de gebruikers door een identiteit te maken.

Voer voor elke gebruiker de volgende stappen uit met het privésleutelbestand dat u heeft gedownload toen u een domeinbreed serviceaccount maakte voor verificatie:

  1. Upload de certificaatketen en metadata van de privésleutel met de Gmail API-aanroep keypairs.create.
  2. Zet het sleutelpaar aan voor het primaire e-mailadres van de gebruiker met de Gmail API-aanroep identities.create.

    Voor de aanroep identities.create is de sleutelpaar-ID vereist die wordt geretourneerd in de reactietekst van de aanroep van keypairs.create.

    Opmerking: Zo zet u het sleutelpaar aan voor het e-mailadres van een gebruiker:

    • Er wordt een VCZ-identiteit gemaakt die is geautoriseerd om e-mails te sturen vanuit het account van de gebruiker.
    • Hiermee wordt Gmail ingesteld om de metadata van de privésleutel te gebruiken om uitgaande VCZ-mail te ondertekenen.
    • Het certificaat wordt gepubliceerd in een gedeelde domeinbrede opslagplaats, zodat andere VCZ-gebruikers in uw organisatie naar deze gebruiker gestuurde berichten kunnen versleutelen.

Gebruik een script dat integreert met de Gmail API om deze stappen te voltooien. U heeft deze opties:

Nadat u de certificaten heeft geüpload, kan het tot 24 uur duren voordat ze beschikbaar zijn in Gmail, maar meestal gaat dit veel sneller. 

(Optioneel) Gebruik het Python-voorbeeldscript om certificaten en verpakte privésleutels van gebruikers te uploaden naar Gmail

Voor de voltooiing van stap 3 hierboven kunt u het Python-script van Google gebruiken in plaats van uw eigen script te schrijven.

Opmerking: Dit script vraagt naar de 3 bereiken die u kunt gebruiken om de Gmail API domeinbrede toegang te geven (eerder op deze pagina vermeld): gmail.settings.readonly, gmail.settings.basic en gmail.settings.sharing. Als u het script wilt gebruiken, kunt u alle 3 de bereiken aanzetten of het bereik dat u niet gebruikt uit het script verwijderen.

Het script downloaden

Download het scriptpakket voor Python (.zip) naar uw computer (Mac, Linux of Windows) en pak de bestanden uit in uw werkdirectory.

Een virtuele omgeving maken en modules installeren

Gebruik een opdrachtregel uit uw werkdirectory en voer de volgende opdrachten in:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Het script aanroepen

python cse_cmd.py -h

Certificaten en sleutels van gebruikers uploaden

Stap 1: Maak een directory om alle verpakte privésleutels op te slaan

  • U kunt bijvoorbeeld de directory $root/wrapped_keys maken.
  • De bestandsnaam voor elke verpakte privésleutel moet het volledige e-mailadres van de gebruiker zijn met de .wrap-extensie. Bijvoorbeeld: $root/wrapped_keys/user1@example.com.wrap
  • Zorg dat het verpakte privésleutelbestand een json-object met 2 verplichte velden bevat:
{
      'kacls_url': 'url van de sleutelservice die is ingesteld in de Beheerdersconsole',
      'wrapped_private_key': 'bytes van verpakte privésleutel'
    }

Stap 2: Maak een directory om alle certificaten op te slaan

  • Certificaten moeten de indeling P7 PEM hebben, dus u kunt de directory $root/p7pem_certs maken.
  • Zorg dat het certificaatbestand de volledige keten van de rootcertificeringsinstantie (CA) bevat.
  • De bestandsnaam voor elk certificaat moet het volledige e-mailadres van de gebruiker zijn met de extensie .p7pem. Bijvoorbeeld: $root/p7pem_certs/user1@example.com.p7pem

Als u een P7B-bestand heeft, kunt u de volgende openssl-reactie openen om deze te converteren naar de P7 PEM-indeling:

openssl pkcs7 -inform DER -in {old_name.p7b} -outform PEM -out {new_name.p7pem}

Stap 3: Upload de sleutelparen en identiteiten van de gebruikers

Voor deze stap heeft u het json-bestand nodig met de inloggegevens voor het serviceaccount. Dit heeft u opgeslagen op uw computer bij Stap 2: Maak een serviceaccount hierboven.

De makkelijkste manier om de sleutelparen en identiteiten van gebruikers te uploaden, is door de opdracht insert uit te voeren. Elke opdracht moet een argument hebben, bijvoorbeeld:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

U kunt ook het volgende doen voor elke gebruiker:

  1. Voer insert_keypair uit en noteer de sleutelpaar-ID.
  2. Voer insert_identity uit op die sleutelpaar-ID.

U kunt de sleutelpaar-ID ook vinden door de opdracht list_keypair uit te voeren.

Stap 4: Controleer of gebruikers CSE-sleutelparen en -identiteiten hebben

Zorg dat gebruikers een geldig sleutelpaar en een geldige identiteit hebben in Gmail door de volgende opdrachten uit te voeren voor elke gebruiker:

list_keypair

list_identity

Overschakelen naar een andere sleutelservice voor Gmail VCZ

Als u wilt overschakelen naar een andere sleutelservice voor Gmail VCZ, herhaalt u stap 2 en 3 onder Gmail VCZ instellen voor gebruikers hierboven. Gebruik de nieuwe sleutelservice om de privésleutels te verpakken.

Opmerking: Als u nieuwe certificaten uploadt voor gebruikers, wordt content niet gemigreerd naar de nieuwe sleutelservice. Gebruikers hebben nog wel toegang tot e-mails die zijn versleuteld met de vorige certificaten en metadata van de privésleutel die is verpakt door de oude sleutelservice.

Berichten migreren naar Gmail als e-mails met versleuteling aan de clientzijde

Nu Gmail VCZ is ingesteld, kunt u ervoor kiezen berichten te importeren. Ga naar Berichten migreren naar Gmail als e-mails met versleuteling aan de clientzijde

Was dit nuttig?

Hoe kunnen we dit verbeteren?

Meer hulp nodig?

Probeer de volgende stappen:

Posten in de Help-community Krijg antwoorden van communityleden
Contact opnemen Vertel ons meer zodat we u kunnen helpen
true
Start vandaag nog met een gratis proefperiode van 14 dagen

Professionele e-mail, online opslag, gedeelde agenda's, videovergaderingen en meer. Start vandaag nog met uw gratis proefperiode voor G Suite.

Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
1133416260208882786
true
Zoeken in het Helpcentrum
true
true
true
true
true
73010
false
false