Avisering

Duet AI heter nu Gemini for Google Workspace. Läs mer

Enbart Gmail: Ladda upp krypteringsnycklar för kryptering på klientsidan

Utgåvor som stöds för den här funktionen: Enterprise Plus, Education Standard och Education Plus,  Jämför utgåvor

Om du vill användaGoogle Workspace-kryptering på klientsidan (CSE) för Gmail måste du aktivera Gmail API och ge det åtkomst till hela organisationen. För varje användare måste du sedan använda Gmail API för att ladda upp ett S/MIME-certifikat (Secure/Multipurpose Internet Mail Extensions) (offentlig nyckel) och privat nyckelmetadata till Gmail. Om du använder en krypteringsnyckeltjänst måste du även kryptera (eller "wrap") användarnas privata nyckelmetadata med nyckeltjänsten.

Du kan när som helst byta till en annan nyckeltjänst genom att ladda upp nya S/MIME-certifikat och privat nyckelmetadata som krypteras av den nya tjänsten.

Om S/MIME

S/MIME är ett allmänt godkänt branschstandardprotokoll för digital signering och kryptering av e-postmeddelanden, för ökad integritet och säkerhet. Gmail CSE använder S/MIME 3.2 IETF-standarden för att skicka och ta emot säker MIME-data. För S/MIME krävs att e-postavsändare och mottagare har X.509-certifikat betrodda av Gmail.

Obs! Du kan även använda S/MIME utan ytterligare kryptering och integritet som CSE tillhandahåller. Använd endast det här alternativet om du inte behöver förhindra att Googles servrar dekrypterar din data med CSE. Mer information finns i Aktivera S/MIME med värd för meddelandekryptering.

Innan du börjar

Se till att du har utfört de här stegen:

  1. Välj en nyckeltjänst.
  2. Anslut till identitetsleverantören (IdP).
  3. Konfigurera den externa nyckeltjänsten eller kryptering av maskinvarunyckel.
  4. Tilldela organisationsenheter eller grupper en nyckeltjänst eller kryptering av maskinvarunyckel.

    Om du använder flera nyckeltjänster behöver du se till att de har tilldelats lämpliga organisationsenheter eller konfigurationsgrupper. 

Konfigurera Gmail API

Obs! Programmeringskunskaper krävs för att använda API:er.

Öppna avsnitt  |  Komprimera alla

Steg 1: Aktivera Gmail API
  1. Skapa ett nytt GCP-projekt. Mer information finns i Skapa och hantera projekt.

    Notera projekt-id:t: Du använder det för att bevilja domänomfattande åtkomst för API.

  2. Öppna Google API Console och aktivera Gmail API för det nya projektet. Mer information finns i Aktivera ett API i Google Cloud-projektet.
Steg 2: Skapa ett domänomfattande tjänstkonto
  1. I Google Cloud Console går du till sidan Tjänstkonton och skapar ett domänomfattande tjänstkonto. Mer information finns i Skapa och hantera tjänstkonton.
  2. Skapa en privat nyckel för ett tjänstkonto och spara nyckeln i en JSON-fil i det lokala systemet, till exempel svc_acct_creds.json. Den här filen innehåller de användaruppgifter du använder när du konfigurerar Gmail för användare. Mer information finns i Skapa och hantera tjänstkontonycklar.
Steg 3: Ge Gmail API domänåtkomst

I det här steget använder du tjänstkontot som du skapade för att ge alla dina användare redigeringsåtkomst till Gmail API:t. 

  1. Följ anvisningarna för att styra API-åtkomst med domänomfattande delegering.
  2. Ange följande när du blir ombedd:

    Klient-id: Klient-id för tjänstkontot som skapades i steg 2 ovan.

    OAuth-omfattning: gmail.settings.basic

Aktivera Gmail CSE för användare

Aktivera CSE för Gmail för organisationsenheterna eller grupperna. Mer information finns i Aktivera eller inaktivera kryptering på klientsidan.

Obs! För organisationsenheter kan du ställa in att alla e-postmeddelanden (skriv, svara och vidarebefordra) ska krypteras som standard. Användaren kan fortfarande inaktivera kryptering vid behov. Requires having the Assured Controls add-on. 

Konfigurera CSE S/MIME-certifikat för användare

När du har konfigurerat Gmail API och aktiverat Gmail CSE för användare på administratörskonsolen kan du konfigurera CSE S/MIME-certifikat och privat nyckelmetadata för användarna. 

Öppna avsnitt  |  Komprimera alla

Steg 1: Förbered S/MIME-certifikat och privat nyckelmetadata

För varje användare som ska använda CSE för att skicka eller ta emot e-post:

Med hjälp av en certifikatutfärdare (CA) genererar du ett offentligt/privat nyckelpar för S/MIME med en certifikatkedja. S/MIME-bladcertifikatet måste innehålla användarens primära Gmail-adress som ämnesnamn eller ämne för SAN-tillägg.

Du kan göra något av följande:

  • Använd ett CA-rotcertifikat som är betrott av Google: En lista med rotcertifikat finns i CA-certifikat som är betrodda av Gmail för S/MIME.
  • Använd en certifikatutfärdare som inte är betrodd av Google: Om du till exempel vill använda din egen certifikatutfärdare kan du lägga till rotcertifikatet i administratörskonsolen. Mer information finns i Hantera betrodda certifikat för S/MIME.

    Obs! Om du använder en certifikatutfärdare som inte är betrodd av Google och användarna skickar e-postmeddelanden som är krypterade på klientsidan utanför organisationen måste mottagaren också lita på certifikatutfärdaren.

Steg 2: Radera certifikat och metadata för privat nyckel

Använd nyckeltjänsten för att kryptera metadata för privata S/MIME-nycklar. Kontakta nyckeltjänsten för att göra detta eller följ anvisningarna som tillhandahålls.

Om du använder kryptering av maskinvarunyckel: Hoppa över detta steg och omge inte metadata om privat nyckel för användare som ska använda kryptering av maskinvarunyckel. I detta fall behöver du inte kapsla in metadatan eftersom användarnas privata nycklar för Gmail finns på deras smartkort.   Requires having the Assured Controls add-on.

Steg 3: Ladda upp användarnas S/MIME-certifikat och privat nyckelmetadata till Gmail

Använd Gmail API för att ladda upp alla användares S/MIME-certifikatkedja för offentlig nyckel och metadata för privat nyckel till Gmail, och ange dem som önskade nycklar för användarna genom att skapa en identitet.

Jämför följande steg för varje användare med den privata nyckelfil som du laddar ned när du skapar ett domänomfattande tjänstkonto för autentisering:

  1. Ladda upp certifikatkedjan och metadata för den privata nyckeln med Gmails AP-anrop keypairs.create.
  2. Aktivera nyckelparet för användarens primära e-postadress med hjälp av Gmail API-anropet identities.create.

    Anropet identities.create kräver det nyckelpar-id som returneras i svarstexten i anropet keypairs.create.

    Obs! Aktivera nyckelparet för en användares e-postadress:

    • Skapar en CSE-identitet som är auktoriserad att skicka e-post från användarens konto.
    • Konfigurerar Gmail för användning av privat nyckelmetadata för signering av utgående CSE-e-post.
    • Publicerar certifikatet på en delad domänomfattande lagringsplats så att andra CSE-användare i organisationen kan kryptera meddelanden som skickas till den här användaren.

Slutför de här stegen genom att använda ett skript som har gränssnitt med Gmail API. Du kan göra något av följande:

När du har laddat upp certifikaten kan det ta upp till 24 timmar innan de blir tillgängliga i Gmail, men det går vanligtvis mycket snabbare. 

(Valfritt) Använd Googles exempelskript Python för att ladda upp användarnas certifikat och kapslade privata nycklar till Gmail

Om du vill slutföra steg 3 ovan kan du använda Python-skriptet som Google tillhandahåller i stället för att skriva ett eget skript. 

Ladda ned skriptet

Ladda ned Python-skriptpaketet (.zip) till din dator (Mac, Linux eller Windows) och extrahera filerna i din arbetskatalog.

Skapa en virtuell miljö och installera moduler

Ange följande kommandon från kommandotolken från arbetskatalogen:

python3 -m venv cli_env
source cli_env/bin/activate
pip install -r requirements.txt

Anropa skriptet

python cse_cmd.py -h

Ladda upp användarens certifikat och nycklar

Steg 1: Skapa en katalog för att lagra alla kapslade privata nycklar

  • Du kan till exempel skapa katalogen $root/wrapped_keys.
  • Filnamnet för varje inkapslad privat nyckel måste vara användarens fullständiga e-postadress med tillägget .wrap. Exempel: $root/wrapped_keys/user1@example.com.wrap
  • Kontrollera att den kapslade privata nyckelfilen har ett JSON-objekt med två obligatoriska fält:
{
'kacls_url': 'webbadress för nyckeltjänsten som har konfigurerats i administratörskonsolen',
'wrapped_private_key': 'inkapslade privata nyckelbyte'
}

  Steg 2: Skapa en katalog för att lagra alla certifikat

  • Certifikat måste ha formatet P7 PEM. Därför kan du skapa katalogen $root/p7pem_certs.
  • Kontrollera att certifikatfilen innehåller hela kedjan till rotcertifikatutfärdaren (CA). 
  • Filnamnet för varje certifikat måste vara användarens fullständiga e-postadress med tillägget .p7pem. Exempel: $root/p7pem_certs/user1@example.com.p7pem

Om du har en P7B-fil: Du kan använda följande openssl-kommentar för att konvertera den till P7 PEM-formatet:

openssl pkcs7 - informera DER -in {gammalt_namn.p7b} -utform PEM -ut {new_name.p7pem}

Steg 3: Ladda upp användarnas nyckelpar och identiteter

För detta steg behöver du JSON-filen med användaruppgifterna för tjänstkontot som du sparade på datorn i Steg 2: Skapa ett tjänstkonto ovan. 

Det enklaste sättet att ladda upp användarnas nyckelpar och identiteter är att köra kommandot insert. Observera att varje kommando måste ha ett argument, till exempel:

python cse_cmd.py insert
      --creds $root/svc_acct_creds.json
      --inkeydir $root/wrapped_keys
      --incertdir $root/p7pem_certs

Du kan även göra följande för varje användare:

  1. Kör insert_keypair och notera nyckelpars-id:t.
  2. Kör insert_identity med detta nyckelpar-id.

Du kan också få ett nyckelpar-id genom att köra kommandot list_keypair.

Steg 4: Verifiera att användarna har CSE-nyckelpar och identiteter

Kontrollera att användarna har giltiga nyckelpar och identiteter i Gmail genom att köra följande kommandon för varje användare:

list_keypair

list_identity

Om du vill byta till en annan nyckeltjänst för Gmail CSE

Om du vill byta till en annan nyckeltjänst för Gmail CSE upprepar du steg 2 och 3 under Konfigurera Gmail CSE för användare ovan och använder den nya nyckeltjänsten för att omge de privata nycklarna.

Obs! Om du laddar upp nya certifikat för användare migreras inte innehåll till den nya nyckeltjänsten. Användarna kan dock fortsätta få åtkomst till e-postmeddelanden som har krypterats med tidigare certifikat och privat nyckelmetadata som omges av den gamla nyckeltjänsten.

Migrera meddelanden till Gmail som e-postmeddelanden som är krypterade på klientsidan

Nu när Gmail CSE har konfigurerats kan du välja att importera meddelanden. Mer information finns i Migrera meddelanden till Gmail som e-postmeddelanden som är krypterade på klientsidan.

Var det här till hjälp?

Hur kan vi förbättra den?

Behöver du mer hjälp?

Testa detta härnäst:

Gör ett inlägg i hjälpforumet Få svar från communityn
Kontakta oss Berätta mer så hjälper vi dig
true
Testa kostnadsfritt i 14 dagar

E-post för arbetet, onlinelagring, delade kalendrar, videomöten med mera. Påbörja din kostnadsfria provperiod på G Suite i dag.

Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
12974384636779819099
true
Sök i hjälpcentret
true
true
true
true
true
73010
false
false