Notifikasi

Duet AI kini menjadi Gemini untuk Google Workspace. Pelajari lebih lanjut

Mengelola sertifikat tepercaya untuk S/MIME (lanjutan)

Edisi yang didukung untuk fitur ini: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade, dan Education PlusBandingkan edisi

S/MIME dan Enkripsi sisi klien (CSE) yang dihosting adalah fitur Google Workspace yang memungkinkan pengguna Anda mengirim dan menerima pesan email S/MIME.

Google memberikan persyaratan sertifikat dan Sertifikat CA tepercaya untuk S/MIME. Jika sertifikat Anda tidak memenuhi persyaratan ini, Anda mungkin akan melihat bahwa pesan tertentu tidak tepercaya. Untuk memperbaikinya, Anda dapat menerima root certificate lain, dari root certificate authority (CA) yang Anda percayai.

Untuk menerima root certificate tambahan, tambahkan root certificate di konsol Google Admin Anda. Kemudian, tentukan minimal satu domain tempat sertifikat diterapkan. Anda juga dapat menyesuaikan profil validasi dan tingkat enkripsi sertifikat (opsional).

Untuk melihat detail langkah mengaktifkan S/MIME di Google Workspace, buka Mengaktifkan S/MIME yang dihosting untuk enkripsi pesan. Untuk mempelajari lebih lanjut CSE, buka Detail enkripsi sisi klien.

Di halaman ini

Panduan root certificate

Root certificate harus memenuhi panduan berikut agar dapat digunakan dengan S/MIME di Google Workspace:

  • Sertifikat harus dalam format .pem dan hanya dapat berisi satu root certificate.
  • Rantai sertifikat harus berisi minimal satu intermediate certificate.
  • Setiap rantai sertifikat harus memiliki sertifikat pengguna akhir. Jika tidak ada, Google hanya dapat melakukan verifikasi minimum.
  • Sertifikat pengguna akhir tidak boleh berisi kunci pribadi.

Penting: Setidaknya satu Sertifikat CA perantara harus ada dalam rantai. Artinya, root tidak boleh menerbitkan sertifikat entitas akhir secara langsung.

Mengubah domain root certificate

Anda tidak dapat mengedit tanggal habis masa berlaku sertifikat maupun mengganti sertifikat terkait. Anda harus menghapus sertifikat, lalu mengupload yang baru. Menghapus root certificate tidak akan memengaruhi sertifikat pengguna akhir apa pun yang sudah diupload.

Guna mengubah domain untuk root certificate:

  1. Di konsol Google Admin, buka setelan S/MIME pada tab Setelan Pengguna.
  2. Di tabel root certificate tambahan, pilih sertifikat yang ingin diubah, lalu klik Edit
  3. Perbarui domain, lalu klik Simpan.

Menghapus root certificate

Untuk menghapus root certificate:

  1. Di konsol Google Admin, buka setelan S/MIME pada tab Setelan Pengguna.
  2. Di tabel root certificate tambahan, pilih sertifikat yang ingin dihapus, lalu klik Hapus

Memecahkan masalah upload sertifikat

Periksa hal berikut untuk mengidentifikasi dan menyelesaikan error saat mengupload:

  • Sertifikat tidak memenuhi persyaratan minimum untuk dipercaya. Pastikan sertifikat tidak ditandatangani sendiri, tidak dicabut, dan panjang kunci tidak kurang dari 1.024 bit. Kemudian, coba upload lagi.
  • Sertifikat memiliki tanda tangan yang tidak valid. Pastikan sertifikat memiliki tanda tangan yang valid, lalu coba upload lagi.
  • Sertifikat sudah habis masa berlakunya. Pastikan tanggal pada sertifikat berada dalam rentang tanggal yang ditentukan di kolom Tidak Sebelum (Tanggal) dan Tidak Setelah (Tanggal). Kemudian, coba upload lagi.
  • Rantai sertifikat yang diupload berisi setidaknya satu sertifikat yang tidak valid. Pastikan sertifikat diformat dengan benar, lalu coba upload lagi.
  • Sertifikat yang diupload berisi beberapa root certificate. Pastikan sertifikat hanya memiliki satu root certificate, lalu coba upload lagi.
  • Sertifikat tidak dapat diuraikan. Pastikan sertifikat diformat dengan benar, lalu coba upload lagi.
  • Server tidak dapat menguraikan sertifikat, atau terdapat beberapa respons yang tidak dikenal dari server. Pastikan sertifikat diformat dengan benar, lalu coba upload lagi.
  • Tidak dapat mengupload sertifikat. Terjadi masalah saat berkomunikasi dengan server. Masalah ini mungkin bersifat sementara; tunggu beberapa menit, lalu coba lagi. Jika proses upload tetap gagal, pastikan sertifikat diformat dengan benar.
  • Edit root certificate. Anda dapat mengedit sertifikat untuk mengubah domain di daftar alamat. Misalnya, jika telah mengupload sertifikat kustom, tetapi pesan Anda masih dianggap "tidak dipercaya", coba ubah daftar domain yang diizinkan.

Bertukar pesan S/MIME antar-domain

Untuk mengizinkan orang di domain yang berbeda bertukar pesan S/MIME, Anda mungkin perlu melakukan beberapa langkah tambahan di konsol Google Admin Anda. Ikuti langkah yang direkomendasikan di sini, berdasarkan cara sertifikat pengguna diterbitkan untuk domain.

  • Sertifikat pengguna di kedua domain yang diterbitkan oleh root CA tepercaya: Jika semua sertifikat pengguna di kedua domain diterbitkan oleh root CA tepercaya Google, Anda tidak perlu melakukan langkah tambahan. Sertifikat root CA ini selalu dipercaya oleh Gmail.
  • Sertifikat pengguna di kedua domain yang diterbitkan oleh root CA yang sama dan tidak tepercaya: Dalam hal ini, root CA yang tidak tepercaya menerbitkan sertifikat pengguna untuk domain Anda dan domain yang ingin Anda gunakan untuk bertukar pesan/MIME.

    Tambahkan root CA yang tidak tepercaya ke konsol Google Admin Anda, dengan mengikuti langkah di Mengaktifkan S/MIME yang dihosting. Di kotak Tambahkan root certificate, masukkan domain lain di kolom Daftar alamat.

  • Masalah sertifikat pengguna di satu domain oleh root CA yang tidak tepercaya: Dalam hal ini, sertifikat pengguna di satu domain diterbitkan oleh root CA yang tidak tepercaya. Sertifikat pengguna di domain lain diterbitkan oleh root CA yang berbeda.

    Tambahkan root CA pada domain lain ke konsol Google Admin Anda, dengan mengikuti langkah di Mengaktifkan S/MIME yang dihosting. Di kotak Tambahkan root certificate, masukkan domain lain di kolom Daftar alamat

Berbagai sertifikat untuk pemberian tanda tangan dan enkripsi

Fitur ini hanya tersedia dengan CSE. Data ini tidak tersedia dengan S/MIME yang dihosting.

Biasanya, organisasi akan menggunakan satu sertifikat untuk menandatangani dan mengenkripsi pesan. Namun, jika organisasi Anda memerlukan sertifikat lain untuk menandatangani dan mengenkripsi pesan, gunakan Gmail CSE API untuk mengupload sertifikat publik enkripsi dan sertifikat publik tanda tangan bagi setiap pengguna.

Pelajari lebih lanjut cara menggunakan Gmail CSE API untuk mengelola sertifikat pengguna.

Mengizinkan ketidakcocokan sertifikat (tidak direkomendasikan)

Fitur ini hanya tersedia dengan CSE. Data ini tidak tersedia dengan S/MIME yang dihosting.

Penting: Demi alasan keamanan, sebaiknya izinkan ketidakcocokan sertifikat hanya jika fitur ini diwajibkan oleh organisasi Anda. Jika opsi ini aktif, pengguna dan admin tidak akan mendapatkan peringatan saat ada ketidakcocokan sertifikat dari pengguna yang tidak sah atau berniat jahat.

Terkadang, alamat email yang berkaitan dengan sertifikat pengguna dapat berbeda dari alamat email utama pengguna. Misalnya, sertifikat Brandon Pham menggunakan alamat email b.pham@solarmora.com, tetapi Brandon menggunakan alamat brandon.pham@solarmora.com untuk sebagian besar email kantornya. Hal ini disebut ketidakcocokan sertifikat.

Untuk menyiapkan CSE dan memungkinkan ketidakcocokan sertifikat, pilih opsi ketidakcocokan sertifikat saat menambahkan root certificate di setelan S/MIME yang dihosting. Baca detail langkah untuk menambahkan root certificate.

Jika opsi Izinkan ketidakcocokan sertifikat dipilih, penerima dapat mendekripsi dan melihat pesan masuk dengan ketidakcocokan sertifikat. Namun, sertifikat terkait tidak disimpan secara otomatis ke kontak mereka.

Pesan sebelumnya (dengan ketidakcocokan sertifikat) yang diterima sebelum opsi setelan ini aktif dapat didekripsi dan dilihat. Jika opsi tersebut diaktifkan lalu dinonaktifkan, pesan lama dan baru (dengan ketidakcocokan sertifikat) yang dapat didekripsi saat opsi ini diaktifkan tidak dapat didekripsi lagi.

Mengizinkan SHA-1 (tidak direkomendasikan)

Meskipun beberapa program email mengizinkan tanda tangan SHA-1 yang di-hash, tanda tangan ini ditampilkan sebagai tidak tepercaya. Hal ini karena SHA-1 tidak digunakan lagi akibat terjadi masalah keamanan. 

Saat menambahkan root certificate baru ke setelan S/MIME, pilih opsi Izinkan SHA-1 secara global hanya jika:

  • Organisasi Anda berkomunikasi menggunakan fungsi hash kriptografi SHA-1 untuk keamanan pesan S/MIME, dan
  • Anda ingin komunikasi ini ditampilkan sebagai tepercaya.

Jika opsi ini dipilih, Gmail akan memercayai sertifikat S/MIME yang dilampirkan ke email masuk dengan SHA-1.

Topik terkait

Mengaktifkan S/MIME yang dihosting untuk enkripsi pesan

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
11381102936123639275
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false