支援這項功能的版本:Enterprise Plus 和 Education Fundamentals、Education Standard、Teaching and Learning Upgrade 和 Education Plus。 版本比較
代管式 S/MIME 和用戶端加密 (CSE) 是 Google Workspace 的功能,可讓使用者收發 S/MIME 電子郵件。
Google 提供了適用於 S/MIME 的憑證規定和信任的 CA 憑證。如果您的憑證不符合這些規定,您可能會發現某些郵件不受信任。如要解決這個問題,您可以接受來自您信任的根憑證授權單位 (CA) 提供的其他根憑證。
如要接受其他根憑證,請在 Google 管理控制台中新增該憑證。接著,請至少指定一個要套用憑證的網域。另外,您也可以選擇調整憑證的加密等級和驗證設定檔。
如需在 Google Workspace 中開啟 S/MIME 的詳細步驟,請參閱「為郵件加密功能啟用代管式 S/MIME」。如要進一步瞭解 CSE,請參閱「關於用戶端加密」。
根憑證規定
根憑證必須符合下列規範,才能在 Google Workspace 中與 S/MIME 搭配使用:
- 憑證必須為 .pem 格式,且只能包含一個根憑證。
- 憑證鏈結必須至少包含一個中繼憑證。
- 每個憑證鏈結都應有使用者憑證。如果沒有使用者憑證,Google 會執行最低程度的驗證。
- 使用者憑證不能包含私密金鑰。
重要資訊:鏈結中必須含有至少一個中繼 CA 憑證。也就是說,根「不得」直接核發終端實體憑證。
變更根憑證的網域
您無法編輯憑證的到期日,也不能透過編輯來替換憑證。如果需要替換憑證,則必須刪除原有的憑證再上傳新憑證。刪除根憑證不會影響已上傳的任何使用者憑證。
如何變更根憑證的網域:
- 在 Google 管理控制台中,前往「使用者設定」分頁的「S/MIME」設定。
- 在額外根憑證的表格中選取要變更的憑證,然後按一下「編輯」。
- 更新網域,然後按一下「儲存」。
刪除根憑證
如何刪除根憑證:
- 在 Google 管理控制台中,前往「使用者設定」分頁的「S/MIME」設定。
- 在其他根憑證的表格中,選取您要移除的憑證,然後按一下「刪除」。
使用不同的憑證簽署及加密
這項功能僅適用於 CSE,不適用代管式 S/MIME。
一般來說,機構會使用單一憑證來簽署及加密郵件。不過,如果貴機構需使用不同的憑證來簽署及加密郵件,請使用 Gmail CSE API 上傳加密公開憑證和每位使用者的簽名公開憑證。
進一步瞭解如何使用 Gmail CSE API 管理使用者憑證。
在網域之間交換 S/MIME 郵件
如要允許不同網域的使用者交換 S/MIME 郵件,您必須在 Google 管理控制台中進行額外步驟。請根據網域使用者憑證的核發方式,按照適用的建議步驟操作。
- 兩個網域的使用者憑證都是由信任的根 CA 核發:當這兩個網域中的所有使用者憑證都是由 Google 信任的根 CA 核發時,您不需要採取其他步驟。Gmail 一律信任這些根 CA 憑證。
- 兩個網域的使用者憑證都是由同一個不受信任的根 CA 核發:在這種情況下,不受信任的根 CA 會為您網域「以及」您要交換 S/MIME 郵件的網域核發使用者憑證。
請按照「啟用代管式 S/MIME」的步驟,將不受信任的根 CA 新增至 Google 管理控制台。在「新增根憑證」方塊的「地址清單」欄位中輸入其他網域。
- 單一網域的使用者憑證由不受信任的根 CA 核發:在這種情況下,單一網域的使用者憑證是由不受信任的根 CA 核發。其他網域的使用者憑證是由不同的根 CA 核發。
請按照「啟用代管式 S/MIME」的步驟,將其他網域的根CA 新增至 Google 管理控制台。在「新增根憑證」方塊的「地址清單」欄位中輸入其他網域。
只在必要時使用
請只在必要時使用本節的憑證選項,並確實瞭解使用這個選項時可能造成的影響。允許憑證不符 (不建議)有時候,使用者憑證的關聯電子郵件地址可能與使用者的主要電子郵件地址不同。舉例來說,Brandon Pham 的憑證使用的電子郵件地址是 b.pham@solarmora.com,但 Brandon 大部分的工作電子郵件都是使用 Brandon.pham@solarmora.com。這種情況稱為憑證不符。
重要事項:基於安全考量,Google 建議您只在貴機構要求時,才允許憑證不符選項。開啟這個選項後,要是有憑證不符的情況 (可能是未經授權的使用者或惡意使用者所致),使用者和管理員將不會收到警告。
「允許憑證不符」選項僅適用於 CSE,不適用於代管的 S/MIME。如要設定 CSE 以允許憑證不符的情況,當您在代管的 S/MIME 設定中新增根憑證時,請選取憑證不符選項。詳細步驟請參閱「新增根憑證」。
如果選取「允許憑證不符」選項,收件者仍可解密及讀取憑證不符的來信。系統也可能會解密及讀取憑證不符 (在設定啟用前收到) 的舊郵件。不過,與使用者憑證相關聯的電子郵件地址不會儲存至收件者的聯絡人中。如要同步處理及儲存電子郵件地址,請使用 Google Cloud Directory Sync。
「允許憑證不符」選項僅適用於內部聯絡人,或是與 GCDS 同步的聯絡人,不適用於外部聯絡人。
雖然某些電子郵件用戶端允許使用 SHA-1 雜湊簽名,但這些簽名似乎不受信任。這是因為 SHA-1 已因安全性問題而遭淘汰。
在「S/MIME」設定中新增根憑證時,請僅在以下情況選取「允許全域使用 SHA-1」選項:
- 在貴機構通訊時使用 SHA-1 密碼編譯雜湊函數保障 S/MIME 郵件安全性,而且
- 您希望這些通訊內容顯示為可信任的內容時。
選取這個選項後,Gmail 會信任透過 SHA-1 傳送的郵件中附加的 S/MIME 憑證。
排解憑證上傳問題
如果無法上傳憑證,請查看下列可能原因,並嘗試建議的解決方案:
憑證不符合受信任的最低要求
請確認憑證並非自行簽署、未撤銷,且金鑰長度不短於 1,024 位元,然後再次嘗試上傳。
編輯憑證,變更地址清單中的網域。舉例來說,如果您上傳了自訂憑證,但郵件仍遭視為不受信任,請嘗試編輯該憑證的許可網域清單。
憑證的簽名無效
請確認憑證使用有效的簽名,然後再次嘗試上傳。
憑證已過期
驗證憑證上的日期介於「在此日期之後」和「在此日期之前」欄位指定的日期範圍內,然後再次嘗試上傳。
憑證鏈結至少有一個無效的憑證。
請確認憑證的格式正確,然後再次嘗試上傳。
憑證含有多個根憑證
您無法上傳含有多個根憑證的憑證。請確認憑證只有一個根憑證,然後再次嘗試上傳。
無法剖析憑證
請確認憑證的格式正確,然後再次嘗試上傳。
伺服器傳回不明的回應
請確認憑證的格式正確,然後再次嘗試上傳。
無法上傳憑證
連線至伺服器時可能發生問題。這通常是暫時性問題,請稍候幾分鐘再嘗試上傳內容。如果仍然無法上傳憑證,請檢查憑證的格式是否正確。