الإصدارات المتوافقة مع هذه الميزة: Enterprise Plus; Education Fundamentals وEducation Standard وTeaching and Learning Upgrade وEducation Plus. مقارنة إصدارك
إنّ ميزتا "S/MIME المُستضاف" "والتشفير من جهة العميل (CSE)" تابعتين لـ Google Workspace والتي تسمح للمستخدمين بإرسال رسائل S/MIME الإلكترونية واستلامها.
توفّر Google متطلبات الشهادات وشهادات CA موثوق بها لمعيار S/MIME. إذا لم تستوفِ شهاداتك هذه المتطلبات، من الممكن أن تكون بعض الرسائل غير موثوق بها. ولإصلاح ذلك، يمكنك قبول شهادات جذر أخرى من مراجع التصديق الجذر (CAs) التي تثق بها.
لقبول شهادة جذر إضافية، يمكنك إضافتها في وحدة تحكُّم المشرف في Google. ثم حدد نطاقًا واحدًا على الأقل ينطبق عليه الشهادة. يمكنك أيضًا ضبط مستوى تشفير الشهادة والملف الشخصي للتحقق اختياريًا.
لمعرفة الخطوات التفصيلية لتفعيل S/MIME في Google Workspace، يُرجى الانتقال إلى تفعيل S/MIME المستضاف لتشفير الرسائل. لمزيد من المعلومات حول ميزة "التشفير من جهة العميل"، يُرجى الانتقال إلى المقالة لمحة حول ميزة "التشفير من جهة العميل".
- إرشادات شهادة الجذر
- تغيير نطاق شهادة الجذر
- حذف شهادة جذر
- تحديد مشاكل تحميل شهادات الجذر الجذر وحلّها
- تبادل رسائل S/MIME بين النطاقات
- الشهادات المختلفة للتوقيع والتشفير
- السماح بعدم تطابق الشهادة (لا يُنصح به)
- السماح بخوارزمية SHA-1 (غير مستحسن)
إرشادات شهادة الجذر
يجب أن تستوفي شهادات الجذر الإرشادات التالية حى تستخدم مع معيار S/MIME في Google Workspace:
- يجب أن تكون الشهادة بتنسيق .pem وأن تحتوي على شهادة جذر واحدة فقط.
- يجب أن تتألّف سلسلة الشهادات من شهادة متوسطة واحدة على الأقل.
- يجب أن تتضمن كل سلسلة شهادات شهادة مستخدم نهائي. وإذا لم يتم تضمينها، لن تنفِّذ Google سوى الحد الأدنى من التحقُّق.
- يجب ألا تتضمّن شهادة المستخدم المفتاح الخاص.
ملاحظة مهمة: يجب أن تتوفّر شهادة CA متوسطة واحدة على الأقل في السلسلة. بمعنى أنه يجب ألا يُصدِر الجذر شهادات الكيان النهائي مباشرةً.
تغيير نطاق شهادة الجذر
لا يمكنك تعديل تاريخ انتهاء صلاحية الشهادة أو تعديلها لاستبدالها بشهادة اخرى. يجب حذف الشهادة وتحميل شهادة جديدة. ولن يؤثر حذف شهادة جذر في أي شهادات للمستخدم قد تم تحميلها من قبل.
لتغيير نطاق شهادة جذر:
- في وحدة تحكُّم المشرف في Google، انتقل إلى الإعداد S/MIME من علامة التبويب إعدادات المستخدم.
- في قائمة شهادات الجذر الإضافية، اختَر الشهادة التي تريد تغييرها، ثم انقر على تعديل.
- عدِّل النطاق، ثم انقر على حفظ.
حذف شهادة جذر
لحذف شهادة جذر:
- في وحدة تحكُّم المشرف في Google، انتقل إلى الإعداد S/MIME من علامة التبويب إعدادات المستخدم.
- في جدول شهادات الجذر الإضافية، اختَر الشهادة التي تريد إزالتها وانقر على حذف.
تحديد مشاكل تحميل الشهادات وحلّها
يمكنك التحقُّق مما يلي لتحديد أخطاء التحميل وإصلاحها:
- لا تستوفي الشهادة الحد الأدنى من المتطلبات لتكون موثوقة. تحقق من أن الشهادة غير موقعة ذاتيًا، ولم يتم إبطالها، وأن طول المفتاح لا يقل عن 1024 بت. ثم حاول التحميل مرة أخرى.
- تتضمّن الشهادة توقيعًا غير صالح. يُرجى التحقُّق من أن الشهادة تشتمل على توقيع صالح، ثم إعادة المحاولة.
- انتهت صلاحية الشهادة. يُرجى التحقُّق من أنّ التاريخ الوارد في الشهادة يقع ضمن النطاق الزمني المحدَّد في الحقلين "ليس قبل (التاريخ)" و"ليس بعد (التاريخ)". ثم حاول التحميل مرة أخرى.
- تحتوي سلسلة الشهادات التي تم تحميلها على شهادة غير صالحة واحدة على الأقل. يُرجى التحقُّق من صحة تنسيق الشهادة، ثم حاول التحميل مرة أخرى.
- إنّ الشهادة التي تم تحمليها تحتوي على شهادات جذر متعدّدة. يُرجى التحقُّق من أنّ الشهادة تتضمن شهادة جذر واحدة فقط، ثم محاولة التحميل مرة أخرى.
- تعذُّر تحليل الشهادة. يُرجى التحقُّق من صحة تنسيق الشهادة، ثم إعادة المحاولة.
- لم يتمكّن الخادم من تحليل الشهادة، أو كان هناك بعض الاستجابات غير المعروفة من الخادم. يُرجى التحقُّق من صحة تنسيق الشهادة، ثم حاول التحميل مرة أخرى.
- يتعذّر تحميل الشهادة. حدثت مشكلة عند الاتصال بالخادم. ومن المرجًّح أن تكون هذه المشكلة مؤقتة، لذا يُرجى الانتظار بضع دقائق وإعادة المحاولة. في حال تعذُّر التحميل باستمرار، يمكنك التأكُّد من صحة تنسيق الشهادة.
- تعديل شهادة جذر. يمكنك تعديل شهادة لتغيير النطاقات في قائمة العناوين. على سبيل المثال، إذا حمَّلت شهادات مُخصَّصة ولا تزال رسائلك "غير موثوق بها"، يمكنك محاولة تغيير قائمة النطاقات المسموح بها.
تبادل رسائل S/MIME بين النطاقات
للسماح للأشخاص في نطاقات مختلفة بتبادل رسائل S/MIME، قد تحتاج إلى اتخاذ بضع خطوات إضافية في وحدة تحكم المشرف في Google. يُرجى اتّباع الخطوات المقترحة في هذه الصفحة، بناءً على كيفية إصدار شهادات المستخدم للنطاق.
- شهادات المستخدم لكلا النطاقين والتي تم إصدارها من مرجع تصديق جذر موثوق به: عندما يتم إصدار جميع شهادات المستخدم في كلا النطاقين من خلال مرجع تصديق جذر موثوق به من Google، لا يلزم اتخاذ أي خطوات إضافية. تكون شهادات CA الجذر هذه موثوقة دائمًا من خلال Gmail.
- شهادات المستخدم لكلا النطاقين الصادرة عن المرجع المصدق الجذري غير الموثوق به: في هذه الحالة، يُصدر مرجع تصديق جذر غير موثوق به شهادات المستخدم لنطاقك والنطاق الذي ترغب في تبادله/رسائل MIME باستخدام.
يمكنك إضافة المرجع المصدق الجذري غير الموثوق به إلى "وحدة تحكم المشرف في Google"، باتباع الخطوات الواردة في تفعيل S/MIME المستضاف. في المربع إضافة شهادة الجذر، أدخل النطاق الآخر في حقل قائمة العناوين.
- مشاكل شهادات مستخدم نطاق واحد من مرجع تصديق جذر غير موثوق به: في هذه الحالة، يتم إصدار شهادات مستخدم نطاق واحد من مرجع تصديق جذر غير موثوق به. يتم إصدار شهادات المستخدم للنطاق الآخر من قِبل مرجع تصديق مختلف الجذر.
يمكنك إضافة مرجع تصديق جذر النطاق الآخر إلى وحدة تحكم المشرف في Google، باتباع الخطوات الواردة في تفعيل S/MIME المستضاف. في المربع إضافة شهادة الجذر، أدخل النطاق الآخر في حقل قائمة العناوين.
الشهادات المختلفة للتوقيع والتشفير
لا تتوفّر هذه الميزة إلا مع ميزة "التشفير من جهة العميل". ولا تتوفّر هذه الميزة مع S/MIME المُستضاف.
تستخدم المؤسسات عادةً شهادة واحدة من أجل توقيع الرسائل وتشفيرها. ومع ذلك، في حال كانت مؤسستك تتطلّب شهادات مختلفة من أجل توقيع الرسائل وتشفيرها، يمكنك استخدام واجهة برمجة التطبيقات الخاصة بميزة التشفير من جهة العميل في Gmail CSE API لتحميل الشهادة العلنية للتشفير والشهادة العلنية للتوقيع لكل مستخدم.
تعرَّف على مزيد من المعلومات حول استخدام واجهة برمجة التطبيقات الخاصة بميزة "التشفير من جهة العميل" في Gmail لإدارة شهادات المستخدم.
السماح بعدم تطابق الشهادة (لا يُنصح به)
لا تتوفّر هذه الميزة إلا مع ميزة "التشفير من جهة العميل". ولا تتوفّر هذه الميزة مع S/MIME المُستضاف.
ملاحظة مهمة: لأسباب تتعلق بالأمان، ننصحك بعدم السماح بحالات عدم تطابق الشهادات إلا عندما تكون هذه الميزة مطلوبة من قِبل مؤسستك. حيث يؤدي تفعيل هذا الخيار إلى عدم تلقّى المستخدمون والمشرفون تحذيرًا عند عدم تطابق الشهادة، وقد يكون السبب في ذلك هو مستخدم غير مُصرَّح به أو مستخدم ضار.
في بعض الأحيان يكون عنوان البريد الإلكتروني المرتبط بشهادة المستخدم مختلفًا عن عنوان البريد الإلكتروني الرئيسي الخاص بالمستخدم. على سبيل المثال، تستخدم شهادة "سمير فهمي" عنوان البريد الإلكتروني "s.fahmy@solarmora.com"، بينما يستخدم "سمير" العنوان "Samir.fahmy@solarmora.com" لمعظم رسائل البريد الإلكتروني المتعلقة بالعمل. وهذا ما يسمى بعدم تطابق الشهادة.
لإعداد ميزة "التشفير من جهة العميل" للسماح بعدم تطابق الشهادات، عليك تحديد خيار عدم تطابق الشهادات عند إضافة شهادات الجذر في إعدادات S/MIME المُستضاف. يُرجى الاطّلاع على الخطوات التفصيلية لإضافة شهادات الجذر.
عند تحديد الخيار السماح بعدم تطابق الشهادة، يمكن للمُستلِمين فك تشفير وقراءة الرسائل الواردة التي لا تتضمن شهادة غير متطابقة. ومع ذلك، لا يتم حفظ الشهادة تلقائيًا في جهات الاتصال التابعة لهم.
يمكن فك تشفير وقراءة الرسائل السابقة (التي تتضمن شهادة غير متطابقة) تم استلامها قبل تفعيل خيار هذا الإعداد. وفي حال تفعيل الخيار ثم إيقافه، لن يعود بإمكانك فك تشفير الرسائل السابقة والجديدة (التي تتضمن شهادة غير متطابقة) التي كان من الممكن فك تشفيرها عندما كان الخيار مفعلًا.
السماح بخوارزمية SHA-1 (غير مستحسن)
على الرغم من أنّ بعض برامج البريد الإلكتروني تسمح بتوقيعات SHA-1 المجزّأة، إلا أن هذه التوقيعات تظهر غير موثوق بها. والسبب في ذلك هو إيقاف خوارزمية SHA-1 نهائيًا بسبب مشاكل متعلقة بالأمان.
عند إضافة شهادة جذر جديدة إلى الإعداد S/MIME، يمكنك تحديد الخيار السماح بخوارزمية SHA-1 بشكلٍ عام فقط في حال:
- تتواصل مؤسستك باستخدام وظيفة التجزئة المشفرة SHA-1 لأمان الرسائل باستخدام S/MIME،
- مع رغبتك في ظهور هذه الرسائل بأنها موثوق بها.
عند تحديد هذا الخيار، يثق Gmail بشهادات S/MIME المرفقة بالبريد الوارد باستخدام خوارزمية SHA-1.
