Yalnızca Gmail: İstemci tarafı şifreleme için şifreleme anahtarlarını yükleme

Bu özellik için desteklenen sürümler: Enterprise Plus, Education Standard ve Education Plus.  Sürümünüzü karşılaştırın

Gmail için Google Workspace istemci tarafı şifreleme (İTŞ) özelliğini kullanmak üzere Gmail API'yi etkinleştirmeniz ve kuruluşunuzun tamamına erişmesine izin vermeniz gerekir. Ardından, her kullanıcı için Gmail API'yi kullanarak bir S/MIME (Güvenli/Çok Amaçlı İnternet Posta Uzantıları) sertifikası (ortak anahtar) ve özel anahtar meta verilerini Gmail'e yüklemeniz gerekir. Şifreleme anahtarı hizmeti kullanıyorsanız anahtar hizmetinizden yararlanarak kullanıcıların özel anahtar meta verilerini de şifrelemeniz (veya "sarmalamanız") gerekir.

Yeni hizmetiniz tarafından şifrelenmiş yeni S/MIME sertifikalarını ve özel anahtar meta verilerini yükleyerek dilediğiniz zaman farklı bir anahtar hizmetine geçebilirsiniz.

S/MIME hakkında

S/MIME, iletilerin bütünlüğünü ve güvenliğini sağlamak amacıyla e-postaları dijital olarak imzalamak ve şifrelemek için yaygın olarak kullanılan bir endüstri standardı protokolüdür. Güvenli MIME verileri gönderilebilmesi ve alınabilmesi için Gmail'deki İTŞ özelliğinde S/MIME 3.2 IETF standardı kullanılır. S/MIME söz konusu olduğunda, e-posta gönderenlerinin ve alıcılarının Gmail tarafından güvenilen X.509 sertifikalarına sahip olması gerekir.

Not: S/MIME'yi, İTŞ özelliğinde sunulan ek şifreleme ve gizlilik katmanı olmadan da kullanabilirsiniz. Bu alternatifi yalnızca verilerinizin şifresinin Google sunucuları tarafından İTŞ ile çözülmesini önlemeniz gerekmiyorsa kullanın. Ayrıntılı bilgi için İleti şifreleme için barındırılan S/MIME özelliğini etkinleştirme başlıklı makaleye göz atın.

Başlamadan önce

Aşağıdaki adımları tamamladığınızdan emin olun:

  1. Anahtar hizmeti seçin.
  2. Kimlik sağlayıcınıza (IdP) bağlanın.
  3. Harici anahtar hizmetinizi veya donanım anahtarı şifrelemesini ayarlayın.
  4. Kuruluş birimlerine veya gruplara anahtar hizmeti ya da donanım anahtarı şifrelemesi atayın.

    Birden fazla anahtar hizmeti kullanıyorsanız bu hizmetlerin uygun kuruluş birimlerine veya yapılandırma gruplarına atandığından emin olun. 

Gmail API'yi ayarlama

Not: API kullanmak için programlama bilgisi gerekir.

Bölümü aç  |  Tümünü daralt

1. Adım: Gmail API'yi etkinleştirin
  1. Yeni bir GCP projesi oluşturun. Ayrıntılı bilgi için Proje oluşturma ve yönetme başlıklı makaleye göz atın.

    Proje kimliğini not edin: API'ye alan genelinde erişim izni vermek için bu kimliği kullanırsınız.

  2. Google API Konsolu'na gidin ve yeni proje için Gmail API'yi etkinleştirin. Ayrıntılı bilgi için Google Cloud projenizde bir API'yi etkinleştirme başlıklı makaleye göz atın.
2. Adım: Alan genelinde bir hizmet hesabı oluşturun
  1. Google Cloud Console'da Hizmet hesapları sayfasına gidin ve alan genelinde bir hizmet hesabı oluşturun. Ayrıntılı bilgi için Hizmet hesapları oluşturma ve yönetme başlıklı makaleye göz atın.
  2. Hizmet hesabı özel anahtarı oluşturun ve anahtarı svc_acct_creds.json gibi yerel sisteminizdeki bir JSON dosyasına kaydedin. Bu dosya, kullanıcılar için Gmail'i kurarken kullanacağınız kimlik bilgilerini içerir. Ayrıntılı bilgi için Hizmet hesabı anahtarları oluşturma ve yönetme başlıklı makaleyie göz atın.
3. Adım: Gmail API'ye alan genelinde erişim izni verin

Gmail API'ye tüm kullanıcılarınız için düzenleme erişimi vermek amacıyla bu adımda, oluşturduğunuz hizmet hesabını kullanırsınız. 

  1. Alan genelinde yetkiyle API erişimini kontrol etme başlıklı makaledeki talimatları uygulayın.
  2. İstendiğinde aşağıdakileri girin:

    İstemci kimliği: Yukarıdaki 2. adımda oluşturduğunuz hizmet hesabının istemci kimliğidir.

    OAuth kapsamı: gmail.settings.basic

Kullanıcılar için Gmail İTŞ'yi etkinleştirme

Gmail'deki İTŞ özelliğini kuruluş birimleri veya gruplar için etkinleştirin. Ayrıntılı bilgi için İstemci tarafı şifrelemeyi etkinleştirme veya devre dışı bırakma başlıklı makaleye göz atın.

Not: Kuruluş birimleri için, tüm e-postaları (oluşturma, yanıtlama ve yönlendirme) varsayılan olarak şifrelenecek şekilde ayarlayabilirsiniz. Kullanıcı gerekirse şifrelemeyi devre dışı bırakabilir. Requires having the Assured Controls or Assured Controls Plus add-on. 

Kullanıcılar için İTŞ S/MIME sertifikalarını ayarlama

Gmail API'yi kurduktan ve Yönetici Konsolu'nda kullanıcılar için Gmail İTŞ'yi açtıktan sonra, kullanıcılarınız için İTŞ S/MIME sertifikalarını ve özel anahtar meta verilerini ayarlayabilirsiniz. 

Bölümü aç  |  Tümünü daralt

1. Adım: S/MIME sertifikalarını ve özel anahtar meta verilerini hazırlayın

Gmail İTŞ'yi e-posta göndermek veya almak için kullanacak her kullanıcı için:

Bir sertifika yetkilisinden (CA) yararlanarak bir sertifika zincirine sahip S/MIME ortak/özel anahtar çifti oluşturun. S/MIME varlık sertifikasında, konu adı veya SAN uzantısı konusu olarak kullanıcının birincil Gmail adresi olmalıdır.

Bunun için aşağıdakilerden birini yapabilirsiniz:

  • Google tarafından güvenilen bir CA kök sertifikası kullanın: Kök sertifikaların listesi için S/MIME için Gmail tarafından güvenilen CA sertifikaları başlıklı makaleye göz atın.
  • Google tarafından güvenilmeyen bir CA kullanın: Örneğin, kendi CA'nızı kullanmak için kök sertifikasını Yönetici Konsolu'na ekleyebilirsiniz. Ayrıntılı bilgi için S/MIME için güvenilir sertifikaları yönetme başlıklı makaleye göz atın.

    Not: Google tarafından güvenilmeyen bir CA kullanırsanız ve kullanıcılar kuruluşunuzun dışına istemci tarafında şifrelenmiş e-postalar gönderecekse alıcının da CA'ya güvenmesi gerekir.

2. Adım: Sertifikaları ve özel anahtar meta verilerini sarmalayın

S/MIME özel anahtarlarının meta verilerini şifrelemek veya "sarmalamak" için anahtar hizmetinizi kullanın. Bunun için anahtar hizmetinize başvurun veya belirtilen talimatları uygulayın.

Donanım anahtarı şifrelemesi kullanıyorsanız: Bu adımı atladığınızdan ve donanım anahtarı şifrelemesi kullanacak kullanıcılar için özel anahtar meta verilerini sarmalamadığınızdan emin olun. Bu durumda, kullanıcıların Gmail'e yönelik özel anahtarları akıllı kartlarında bulunduğundan meta verilerin sarmalanması gerekmez.   Requires having the Assured Controls or Assured Controls Plus add-on.

3. adım: Kullanıcıların S/MIME sertifikalarını ve özel anahtar meta verilerini Gmail'e yükleyin

Her kullanıcının ortak anahtar S/MIME sertifika zincirini ve özel anahtar meta verilerini Gmail'e yüklemek ve kimlik oluşturarak bunları kullanıcıların tercih ettiği anahtarlar olarak ayarlamak için Gmail API'yi kullanın.

Kimlik doğrulama için alan genelinde bir hizmet hesabı oluştururken indirdiğiniz özel anahtar dosyasını kullanarak her kullanıcı için şu adımları tamamlayın:

  1. Gmail AP'nin keypairs.create çağrısını kullanarak sertifika zincirini ve özel anahtar meta verilerini yükleyin.
  2. Gmail API'nin identities.create çağrısını kullanarak kullanıcının birincil e-posta adresi için anahtar çiftini etkinleştirin.

    identities.create çağrısı için keypairs.create çağrısının yanıt gövdesinde döndürülen anahtar çifti kimliğini gerekir.

    Not: Bir kullanıcının e-posta adresi için anahtar çiftini etkinleştirme:

    • Kullanıcının hesabından e-posta gönderme yetkisi olan bir İTŞ kimliği oluşturur.
    • Gmail'i, giden İTŞ postalarını imzalamak için özel anahtar meta verilerini kullanacak şekilde yapılandırır.
    • Kuruluşunuzdaki diğer İTŞ kullanıcılarının bu kullanıcıya gönderilen iletileri şifreleyebilmesi için sertifikayı alan genelinde paylaşılan bir depoda yayınlar.

Bu adımları tamamlamak için Gmail API ile arayüz oluşturan bir komut dosyası kullanın. Bunun için aşağıdakilerden birini yapabilirsiniz:

Yüklediğiniz sertifikaların Gmail'de kullanılabilir hale gelmesi 24 saati bulabilir. Ancak bu işlem genellikle çok daha kısa sürer. 

(İsteğe bağlı) Kullanıcıların sertifikalarını ve sarmalanmış özel anahtarlarını Gmail'e yüklemek için Google'ın Python örnek komut dosyasını kullanma

Yukarıdaki 3. adımı tamamlamak için, kendi komut dosyanızı yazmak yerine Google'ın sağladığı Python komut dosyasını kullanabilirsiniz. 

Komut dosyasını indirme

Python komut dosyası paketini (.zip) bilgisayarınıza (Mac, Linux veya Windows) indirin ve dosyaları çalışma dizininize ayıklayın.

Sanal ortam oluşturma ve modülleri yükleme

Çalışma dizininizdeki bir komut satırını kullanarak aşağıdaki komutları girin:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Komut dosyasını çağırma

python cse_cmd.py -h

Kullanıcının sertifikalarını ve anahtarlarını yükleme

1. Adım: Sarmalanmış tüm özel anahtarları depolamak için bir dizin oluşturun

  • Örneğin, $root/wrapped_keys dizinini oluşturabilirsiniz.
  • Sarmalanmış her özel anahtarın dosya adı, kullanıcının .wrap uzantısına sahip tam e-posta adresi olmalıdır. Örneğin: $root/wrapped_keys/kullanici1@example.com.wrap
  • Sarmalanmış özel anahtar dosyasında, iki zorunlu alan içeren JSON nesnesinin bulunduğundan emin olun:
{
      'kacls_url': 'Yönetici Konsolu'nda yapılandırılmış anahtar hizmetinin URL'si',
      'wrapped_private_key': 'sarmalanmış özel anahtar baytları'
    }

  2. Adım: Tüm sertifikaları depolamak için bir dizin oluşturun

  • Sertifikaların P7 PEM biçiminde olması gerekir. Dolayısıyla $root/p7pem_certs dizinini oluşturabilirsiniz.
  • Sertifika dosyasının, kök sertifika yetkilisine (CA) olan zincirin tamamını içerdiğinden emin olun. 
  • Her sertifikanın dosya adı, kullanıcının .p7pem uzantısına sahip tam e-posta adresi olmalıdır. Örneğin: $root/p7pem_certs/kullanici1@example.com.p7pem

P7B dosyanız varsa: P7 PEM biçimine dönüştürmek için aşağıdaki openssl komutunu kullanabilirsiniz:

openssl pkcs7 -inform DER -in {eski_ad.p7b} -outform PEM -out {yeni_ad.p7pem}

3. Adım: Kullanıcıların anahtar çiftlerini ve kimliklerini yükleyin

Bu adım için yukarıdaki 2. Adım: Hizmet hesabı oluşturun bölümünde bilgisayarınıza kaydettiğiniz hizmet hesabının kimlik bilgilerini içeren JSON dosyasına ihtiyacınız olacak. 

Kullanıcıların anahtar çiftlerini ve kimliklerini yüklemenin en kolay yolu insert komutunu çalıştırmaktır. Her komutun bağımsız değişkeni olması gerektiğini unutmayın. Örneğin:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

Alternatif olarak, her kullanıcı için aşağıdakileri yapabilirsiniz:

  1. insert_keypair komutunu çalıştırın ve anahtar çifti kimliğini not edin.
  2. Bu anahtar çifti kimliğini kullanarak insert_identity komutunu çalıştırın.

Anahtar çifti komutunu list_keypair komutunu çalıştırarak da edinebilirsiniz.

4. Adım: Kullanıcıların İTŞ anahtar çiftleri ve kimliklerine sahip olduğunu doğrulayın

Her kullanıcı için aşağıdaki komutları çalıştırarak Gmail'de geçerli anahtar çiftlerine ve kimliklere sahip olduklarına emin olun:

list_keypair

list_identity

Gmail'deki İTŞ özelliği için farklı bir anahtar hizmetine geçme

Gmail'deki İTŞ özelliği için farklı bir anahtar hizmetine geçmek istiyorsanız yukarıdaki Gmail'deki İTŞ özelliğini kullanıcılar için ayarlama bölümünde yer alan 2 ve 3. adımları tekrar edip özel anahtarları sarmalamak üzere yeni anahtar hizmetinizi kullanın.

Not: Kullanıcılar için yeni sertifikalar yüklendiğinde içerikler yeni anahtar hizmetine taşınmaz. Ancak kullanıcılar eski sertifikalar tarafından şifrelenmiş e-postalara ve eski anahtar hizmeti tarafından sarmalanmış özel anahtar meta verilerine erişmeye devam edebilir.

İletileri istemci tarafında şifrelenmiş e-postalar olarak Gmail'e taşıma

Gmail'deki İTŞ özelliği ayarlandığına göre artık iletileri içe aktarabilirsiniz. Ayrıntılar için İletileri istemci tarafında şifrelenmiş e-postalar olarak Gmail'e taşıma başlıklı makaleye bakın.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?

Daha fazla yardıma mı ihtiyacınız var?

Bir sonraki adımları deneyin:

Yardım topluluğunda yayınlayın Topluluk üyelerinden sorularınıza cevap alın
Bize ulaşın Bize daha fazla bilgi verin, size yardımcı olalım
true
14 günlük ücretsiz deneme sürümünüzü hemen kullanmaya başlayın

Profesyonel e-posta, çevrimiçi depolama, paylaşılan takvimler, video toplantılar ve daha fazlası. G Suite ücretsiz deneme sürümünüzü hemen kullanmaya başlayın.

Arama
Aramayı temizle
Aramayı kapat
Ana menü
9739336321182244596
true
Yardım Merkezinde Arayın
true
true
true
true
true
73010
false
false