รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade และ Education Plus เปรียบเทียบรุ่นของคุณ
S/MIME ที่โฮสต์และการเข้ารหัสฝั่งไคลเอ็นต์ (CSE) คือฟีเจอร์ของ Google Workspace ที่ช่วยให้ผู้ใช้ส่งและรับข้อความอีเมล S/MIME ได้
Google มีข้อกำหนดของใบรับรองและใบรับรอง CA ที่เชื่อถือได้สำหรับ S/MIME ซึ่งหากใบรับรองไม่เป็นไปตามข้อกำหนดเหล่านี้ คุณอาจพบว่าข้อความบางรายการไม่น่าเชื่อถือ หากต้องการแก้ไขปัญหานี้ โปรดยอมรับใบรับรองรูทอื่นๆ จากผู้ออกใบรับรอง (CA) รูทที่คุณเชื่อถือ
หากต้องการยอมรับใบรับรองรูทเพิ่มเติม ให้เพิ่มลงในคอนโซลผู้ดูแลระบบของ Google จากนั้น ระบุอย่างน้อยหนึ่งโดเมนที่ใช้ใบรับรอง นอกจากนั้น คุณยังปรับระดับการเข้ารหัสและโปรไฟล์การตรวจสอบของใบรับรองได้ด้วย
โปรดดูขั้นตอนโดยละเอียดในการเปิด S/MIME ใน Google Workspace ที่หัวข้อเปิดใช้ S/MIME ที่โฮสต์สำหรับการเข้ารหัสข้อความ หากต้องการดูข้อมูลเพิ่มเติมเกี่ยวกับ CSE โปรดไปที่หัวข้อเกี่ยวกับการเข้ารหัสฝั่งไคลเอ็นต์
- หลักเกณฑ์ของใบรับรองรูท
- เปลี่ยนโดเมนสำหรับใบรับรองรูท
- ลบใบรับรองรูท
- แลกเปลี่ยนข้อความ S/MIME ระหว่างโดเมน
- ใช้ใบรับรองที่แตกต่างกันสำหรับการลงนามและการเข้ารหัส
- อนุญาตให้ใบรับรองไม่ตรงกัน (ไม่แนะนำ)
- อนุญาต SHA-1 (ไม่แนะนำ)
- แก้ปัญหาการอัปโหลดใบรับรองรูท
หลักเกณฑ์ของใบรับรองรูท
ใบรับรองรูทต้องเป็นไปตามหลักเกณฑ์เหล่านี้จึงจะใช้ร่วมกับ S/MIME ใน Google Workspace ได้
- ใบรับรองต้องอยู่ในรูปแบบ .pem และมีใบรับรองรูทเพียงใบเดียวเท่านั้น
- ชุดใบรับรองต้องมีใบรับรองกลางอย่างน้อยหนึ่งรายการ
- แต่ละชุดใบรับรองควรมีใบรับรองผู้ใช้ปลายทาง ซึ่งหากไม่มีรวมอยู่ Google จะดำเนินการตรวจสอบขั้นต่ำเท่านั้น
- ใบรับรองของผู้ใช้ปลายทางไม่ควรมีคีย์ส่วนตัว
สำคัญ: ต้องมีใบรับรอง CA ระดับกลางอย่างน้อย 1 รายการในชุด ซึ่งหมายความว่าระดับรูทต้องไม่ได้ออกใบรับรองเอนทิตีปลายทางโดยตรง
เปลี่ยนโดเมนสำหรับใบรับรองรูท
คุณไม่สามารถแก้ไขวันที่หมดอายุของใบรับรองหรือแก้ไขเพื่อแทนที่ใบรับรองได้ คุณต้องลบใบรับรองและอัปโหลดใบรับรองใหม่ การลบใบรับรองรูทจะไม่ส่งผลต่อใบรับรองของผู้ใช้ปลายทางที่อัปโหลดแล้ว
วิธีเปลี่ยนโดเมนสำหรับใบรับรองรูท
- ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่การตั้งค่า S/MIME ในแท็บการตั้งค่าผู้ใช้
- ในตารางใบรับรองรูทเพิ่มเติม ให้เลือกใบรับรองที่ต้องการเปลี่ยนแปลงแล้วคลิกแก้ไข
- อัปเดตโดเมน จากนั้นคลิกบันทึก
ลบใบรับรองรูท
หากต้องการลบใบรับรองรูท ให้ทำดังนี้
- ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่การตั้งค่า S/MIME ในแท็บการตั้งค่าผู้ใช้
- ในตารางใบรับรองรูทเพิ่มเติม ให้เลือกใบรับรองที่ต้องการนำออกแล้วคลิกลบ
ใช้ใบรับรองที่แตกต่างกันสำหรับการลงนามและการเข้ารหัส
ฟีเจอร์นี้ใช้ได้กับ CSE เท่านั้น แต่จะใช้ไม่ได้กับ S/MIME ที่โฮสต์
โดยทั่วไปองค์กรจะใช้ใบรับรองใบเดียวทั้งสำหรับการลงนามและเข้ารหัสข้อความ อย่างไรก็ตาม หากองค์กรของคุณต้องการใบรับรองที่แตกต่างกันในการลงนามและเข้ารหัสข้อความ ให้ใช้ API CSE ของ Gmail เพื่ออัปโหลดใบรับรองสาธารณะสำหรับการเข้ารหัสและใบรับรองสาธารณะสำหรับลายเซ็นให้กับผู้ใช้แต่ละราย
ดูข้อมูลเพิ่มเติมเกี่ยวกับการใช้ API CSE ของ Gmail เพื่อจัดการใบรับรองผู้ใช้
แลกเปลี่ยนข้อความ S/MIME ระหว่างโดเมน
หากต้องการอนุญาตให้ผู้ใช้ในโดเมนต่างๆ แลกเปลี่ยนข้อความ S/MIME ได้ คุณอาจต้องทำตามขั้นตอนเพิ่มเติมในคอนโซลผู้ดูแลระบบของ Google โปรดทําตามขั้นตอนที่แนะนำที่นี่ โดยขึ้นอยู่กับวิธีการออกใบรับรองของผู้ใช้สำหรับโดเมน
- ใบรับรองผู้ใช้ของทั้ง 2 โดเมนที่ออกโดย CA รูทที่เชื่อถือได้: เมื่อใบรับรองผู้ใช้ทั้งหมดในทั้งสองโดเมนออกโดย CA รูทที่ Google เชื่อถือ คุณไม่จําเป็นต้องดําเนินการใดๆ เพิ่มเติม Gmail จะเชื่อถือใบรับรอง CA รูทเหล่านี้เสมอ
- ใบรับรองผู้ใช้ของทั้ง 2 โดเมนออกโดย CA รูทที่ไม่น่าเชื่อถือเดียวกัน: ในกรณีนี้ CA รูทที่ไม่น่าเชื่อถือออกใบรับรองผู้ใช้สำหรับโดเมนของคุณและโดเมนที่คุณต้องการแลกเปลี่ยนข้อความ S/MIME ด้วย
เพิ่ม CA รูทที่ไม่เชื่อถือในคอนโซลผู้ดูแลระบบของ Google โดยทำตามขั้นตอนในหัวข้อเปิดใช้ S/MIME ที่โฮสต์ ในช่องเพิ่มใบรับรองรูท ให้ป้อนโดเมนอื่นในช่องรายการที่อยู่
- ใบรับรองผู้ใช้ของโดเมนหนึ่งออกโดย CA รูทที่ไม่น่าเชื่อถือ: ในกรณีนี้ ใบรับรองผู้ใช้ของโดเมนหนึ่งออกโดย CA รูทที่ไม่น่าเชื่อถือ ส่วนใบรับรองผู้ใช้ของโดเมนอื่นจะออกโดย CA รูทอื่น
เพิ่ม CA รูทของโดเมนอื่นในคอนโซลผู้ดูแลระบบของ Google โดยทำตามขั้นตอนในหัวข้อเปิดใช้ S/MIME ที่โฮสต์ ในช่องเพิ่มใบรับรองรูท ให้ป้อนโดเมนอื่นในช่องรายการที่อยู่
ใช้เมื่อจำเป็นเท่านั้น
ใช้ตัวเลือกใบรับรองในส่วนนี้เมื่อจำเป็นเท่านั้น และตรวจสอบให้แน่ใจว่าคุณเข้าใจถึงผลกระทบที่อาจเกิดขึ้นเมื่อใช้งาน อนุญาตให้ใบรับรองไม่ตรงกัน (ไม่แนะนำ)บางครั้งอีเมลที่เชื่อมโยงกับใบรับรองของผู้ใช้อาจแตกต่างจากอีเมลหลักของผู้ใช้ ตัวอย่างเช่น ใบรับรองของ Brandon Pham ใช้อีเมล b.pham@solarmora.com แต่ Brandon ใช้ที่อยู่ brandon.pham@solarmora.com สำหรับอีเมลที่ทำงานส่วนใหญ่ของเขา ซึ่งเรียกว่าเป็นใบรับรองที่ไม่ตรงกัน
สำคัญ: ด้วยเหตุผลด้านความปลอดภัย Google ขอแนะนำให้อนุญาตให้ใบรับรองไม่ตรงกันเฉพาะเมื่อองค์กรของคุณต้องการฟีเจอร์นี้ เมื่อเปิดใช้ตัวเลือกนี้ ผู้ใช้และผู้ดูแลระบบจะไม่ได้รับคำเตือนเมื่อมีใบรับรองไม่ตรงกัน ซึ่งอาจเกิดจากผู้ใช้ที่ไม่ได้รับอนุญาตหรือเป็นอันตรายได้
ตัวเลือกอนุญาตใบรับรองที่ไม่ตรงกันใช้ได้เฉพาะกับ CSE เท่านั้น และไม่สามารถใช้กับ S/MIME ที่โฮสต์ หากต้องการตั้งค่า CSE เพื่ออนุญาตให้มีใบรับรองที่ไม่ตรงกัน ให้เลือกตัวเลือกใบรับรองที่ไม่ตรงกันเมื่อเพิ่มใบรับรองรูทในการตั้งค่า S/MIME ที่โฮสต์ ดูขั้นตอนโดยละเอียดสำหรับการเพิ่มใบรับรองรูท
เมื่อเลือกตัวเลือกอนุญาตใบรับรองที่ไม่ตรงกัน ผู้รับจะถอดรหัสและอ่านข้อความขาเข้าที่มีใบรับรองไม่ตรงกันได้ ข้อความก่อนหน้าที่มีใบรับรองไม่ตรงกัน (ได้รับก่อนเปิดการตั้งค่า) ก็สามารถถอดรหัสและอ่านได้เช่นกัน อย่างไรก็ตาม อีเมลที่เชื่อมโยงกับใบรับรองของผู้ใช้จะไม่ถูกบันทึกลงในรายชื่อติดต่อของผู้รับ หากต้องการซิงค์และบันทึกอีเมล ให้ใช้ Google Cloud Directory Sync
ตัวเลือกอนุญาตใบรับรองที่ไม่ตรงกันใช้งานได้กับรายชื่อติดต่อภายในหรือรายชื่อติดต่อที่ซิงค์กับ GCDS เท่านั้น แต่จะใช้ไม่ได้กับผู้ติดต่อภายนอก
แม้ว่าโปรแกรมรับส่งอีเมลบางโปรแกรมจะอนุญาตให้ใช้ลายเซ็นที่แฮชแบบ SHA-1 แต่ลายเซ็นเหล่านี้แสดงว่าไม่น่าเชื่อถือ ระบบเลิกใช้งาน SHA-1 แล้วเนื่องจากปัญหาด้านความปลอดภัย
เมื่อคุณเพิ่มใบรับรองรูทใหม่ในการตั้งค่า S/MIME ให้เลือกตัวเลือกอนุญาตให้ SHA-1 ได้ทั้งหมดเฉพาะในกรณีต่อไปนี้
- องค์กรสื่อสารโดยใช้ฟังก์ชันการแฮชที่เข้ารหัสลับแบบ SHA-1 เพื่อรักษาความปลอดภัยของข้อความ S/MIME และ
- คุณต้องการให้การสื่อสารเหล่านี้ปรากฏว่าเชื่อถือได้
เมื่อเลือกตัวเลือกนี้ Gmail จะเชื่อถือใบรับรอง S/MIME ที่แนบมากับอีเมลขาเข้าด้วย SHA-1
แก้ปัญหาการอัปโหลดใบรับรอง
หากคุณประสบปัญหาในการอัปโหลดใบรับรอง ให้ตรวจสอบสาเหตุที่เป็นไปได้เหล่านี้แล้วลองวิธีแก้ปัญหาที่แนะนำ
ใบรับรองไม่ตรงตามข้อกำหนดขั้นต่ำที่จะทำให้เชื่อถือได้
ตรวจสอบว่าใบรับรองไม่ได้ลงนามด้วยตนเอง ไม่ได้ถูกเพิกถอน และความยาวคีย์คือ 1,024 บิตขึ้นไป จากนั้นลองอัปโหลดอีกครั้ง
แก้ไขใบรับรองเพื่อเปลี่ยนโดเมนในรายการที่อยู่ ตัวอย่างเช่น หากคุณได้อัปโหลดใบรับรองที่กำหนดเองและระบบยังคงระบุว่าข้อความไม่น่าเชื่อถือ ให้ลองแก้ไขรายการโดเมนที่อนุญาตของใบรับรอง
ลายเซ็นของใบรับรองไม่ถูกต้อง
ตรวจสอบว่าใบรับรองมีลายเซ็นถูกต้องแล้วลองอัปโหลดอีกครั้ง
ใบรับรองหมดอายุ
ตรวจสอบว่าวันที่ในใบรับรองอยู่ในช่วงวันที่ที่ระบุในช่องหลังจาก (วันที่)และไม่เกิน (วันที่) จากนั้นลองอัปโหลดอีกครั้ง
ชุดใบรับรองมีใบรับรองที่ไม่ถูกต้องอย่างน้อยหนึ่งรายการ
ตรวจสอบว่าได้จัดรูปแบบใบรับรองอย่างถูกต้องแล้วลองอัปโหลดอีกครั้ง
ใบรับรองประกอบด้วยใบรับรองรูทหลายรายการ
คุณไม่สามารถอัปโหลดใบรับรองที่มีใบรับรองรูทมากกว่าหนึ่งรายการ ตรวจสอบว่าใบรับรองมีใบรับรองรูทเพียงใบเดียว จากนั้นลองอัปโหลดอีกครั้ง
แยกวิเคราะห์ใบรับรองไม่ได้
ตรวจสอบว่าได้จัดรูปแบบใบรับรองอย่างถูกต้องแล้วลองอัปโหลดอีกครั้ง
เซิร์ฟเวอร์ส่งคืนคำตอบที่ไม่รู้จัก
ตรวจสอบว่าได้จัดรูปแบบใบรับรองอย่างถูกต้องแล้วลองอัปโหลดอีกครั้ง
อัปโหลดใบรับรองไม่ได้
อาจมีปัญหาในการเชื่อมต่อกับเซิร์ฟเวอร์ โดยทั่วไปนี่เป็นปัญหาชั่วคราว โปรดรอสักครู่แล้วลองอัปโหลดอีกครั้ง หากการอัปโหลดยังคงล้มเหลว ให้ตรวจสอบว่าใบรับรองมีรูปแบบที่ถูกต้อง