이 기능은 Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade, Education Plus 버전에서 사용할 수 있습니다. 사용 중인 버전 비교하기
호스팅된 S/MIME 및 클라이언트 측 암호화(CSE)는 사용자가 S/MIME 이메일 메시지를 주고받을 수 있도록 하는 Google Workspace 기능입니다.
Google은 S/MIME용 인증서 요구사항과 신뢰할 수 있는 CA 인증서를 제공합니다. 인증서가 이 요구사항을 충족하지 않는 경우 특정 메일이 신뢰할 수 없다고 표시될 수 있습니다. 이 문제를 해결하려면 신뢰할 수 있는 루트 인증 기관(CA)에서 발행된 다른 루트 인증서를 허용하면 됩니다.
루트 인증서를 추가로 허용하려면 Google 관리 콘솔에서 인증서를 추가하세요. 그런 다음 인증서를 적용할 도메인을 하나 이상 지정합니다. 필요한 경우 인증서 암호화 수준 및 검증 프로필을 조정할 수도 있습니다.
Google Workspace에서 S/MIME를 사용 설정하는 자세한 단계는 메일 암호화에 호스팅된 S/MIME 사용 설정하기를 참고하세요. CSE에 대한 자세한 내용은 클라이언트 측 암호화에 관한 정보를 참고하세요.
- 루트 인증서 가이드라인
- 루트 인증서의 도메인 변경하기
- 루트 인증서 삭제하기
- 루트 인증서 업로드 문제 해결하기
- 도메인 간에 S/MIME 메일을 주고받도록 허용하기
- 서명 및 암호화에 사용되는 여러 인증서
- 인증서 불일치 허용하기(권장하지 않음)
- SHA-1 허용하기(권장하지 않음)
루트 인증서 가이드라인
Google Workspace에서 S/MIME로 루트 인증서를 사용하려면 루트 인증서가 다음 가이드라인을 충족해야 합니다.
- 인증서는 .pem 형식이어야 하며 루트 인증서를 하나만 포함해야 합니다.
- 인증서 체인에는 하나 이상의 중간 인증서가 있어야 합니다.
- 각 인증서 체인에는 최종 사용자 인증서가 있어야 합니다. 그렇지 않으면 Google은 최소한의 인증만 합니다.
- 최종 사용자 인증서에 비공개 키가 포함되면 안 됩니다.
중요: 하나 이상의 중개 CA 인증서가 체인에 있어야 합니다. 즉, 루트에서는 최종 엔티티 인증서를 바로 발행할 수 없습니다.
루트 인증서의 도메인 변경하기
인증서 만료일을 수정하거나 수정을 통해 인증서를 교체할 수 없습니다. 인증서를 삭제하고 새 인증서를 업로드해야 합니다. 루트 인증서를 삭제하더라도 이미 업로드된 최종 사용자 인증서에는 영향이 없습니다.
루트 인증서의 도메인을 변경하려면 다음 안내를 따르세요.
- Google 관리 콘솔의 사용자 설정 탭에서 S/MIME 설정으로 이동합니다.
- 추가 루트 인증서 표에서 변경하려는 인증서를 선택하고 수정을 클릭합니다.
- 도메인을 업데이트한 다음 저장을 클릭합니다.
루트 인증서 삭제하기
루트 인증서를 삭제하려면 다음 안내를 따르세요.
- Google 관리 콘솔의 사용자 설정 탭에서 S/MIME 설정으로 이동합니다.
- 추가 루트 인증서 표에서 삭제할 인증서를 선택하고 삭제를 클릭합니다.
인증서 업로드 문제 해결하기
업로드 오류를 파악하고 해결하려면 다음에 해당되는 경우인지 확인하세요.
- 신뢰할 수 있는 최소 요건을 충족하지 않는 인증서입니다. 인증서가 자체 서명되거나 취소된 것이 아닌지, 또는 키의 길이가 1,024비트 미만이 아닌지 확인합니다. 그런 다음 다시 업로드해 봅니다.
- 인증서의 서명이 잘못되었습니다. 인증서에 유효한 서명이 있는지 확인한 후 다시 업로드해 봅니다.
- 인증서가 만료되었습니다. 인증서의 날짜가 Not Before (Date) 및 Not After (Date) 입력란에 지정한 기간 내에 있는지 확인합니다. 그런 다음 다시 업로드해 봅니다.
- 업로드된 인증서 체인에 잘못된 인증서가 하나 이상 포함되어 있습니다. 인증서의 형식이 올바른지 확인한 후 다시 업로드해 봅니다.
- 업로드된 인증서에 여러 개의 루트 인증서가 포함되어 있습니다. 인증서에 루트 인증서가 하나만 있는지 확인한 후 다시 업로드해 봅니다.
- 인증서를 파싱하지 못했습니다. 인증서의 형식이 올바른지 확인한 후 다시 업로드해 봅니다.
- 서버가 인증서를 파싱할 수 없었거나 알 수 없는 서버의 응답이 있었습니다. 인증서의 형식이 올바른지 확인한 후 다시 업로드해 봅니다.
- 인증서를 업로드하지 못했습니다. 서버와 통신하는 중에 오류가 발생했습니다. 일시적인 문제일 수 있습니다. 잠시 후에 다시 시도합니다. 계속 업로드할 수 없으면 인증서의 형식이 올바른지 확인합니다.
- 루트 인증서를 수정합니다. 인증서를 수정하여 주소 목록의 도메인을 변경할 수 있습니다. 예를 들어 맞춤 인증서를 업로드했는데 여전히 메일이 '신뢰할 수 없음'으로 간주되면 허용된 도메인 목록을 변경합니다.
도메인 간에 S/MIME 메일을 주고받도록 허용하기
다른 도메인 사용자와 S/MIME 메일을 주고받도록 허용하려면 Google 관리 콘솔에서 몇 가지 추가 조치를 취해야 할 수도 있습니다. 도메인에서 사용자 인증서를 발급하는 방식에 따라 여기에 설명된 권장 단계를 따르세요.
- 두 도메인의 사용자 인증서가 모두 신뢰할 수 있는 루트 CA에서 발급된 경우: 두 도메인의 사용자 인증서가 모두 Google에서 신뢰하는 루트 CA에서 발급된 경우 별도로 취해야 할 조치는 없습니다. 이러한 루트 CA 인증서는 Gmail에서 항상 신뢰합니다.
- 두 도메인의 사용자 인증서가 모두 신뢰할 수 없는 동일한 루트 CA에서 발급된 경우: 이 경우 신뢰할 수 없는 루트 CA에서 내 도메인의 사용자 인증서 및 S/MIME 메일을 주고받으려는 도메인의 사용자 인증서를 발급했습니다.
호스팅된 S/MIME 사용 설정하기의 단계에 따라 신뢰할 수 없는 루트 CA 인증서를 Google 관리 콘솔에 추가합니다. 루트 인증서 추가 상자의 주소 목록 입력란에 다른 도메인을 입력합니다.
- 한 도메인의 사용자 인증서가 신뢰할 수 없는 루트 CA에서 발급된 경우: 이 경우 신뢰할 수 없는 루트 CA에서 한 도메인의 사용자 인증서를 발급했습니다. 다른 도메인의 사용자 인증서는 다른 루트 CA에서 발급되었습니다.
호스팅된 S/MIME 사용 설정하기의 단계에 따라 다른 도메인의 루트 CA 인증서를 Google 관리 콘솔에 추가합니다. 루트 인증서 추가 상자의 주소 목록 입력란에 다른 도메인을 입력합니다.
서명 및 암호화에 사용되는 여러 인증서
이 기능은 CSE에만 사용할 수 있으며, 호스팅된 S/MIME에는 사용할 수 없습니다.
일반적으로 조직에서는 메일 서명 및 암호화에 단일 인증서를 사용합니다. 하지만 조직에서 메일 서명 및 암호화에 다른 인증서가 필요한 경우 Gmail CSE API를 사용하여 각 사용자의 암호화 공개 인증서 및 서명 공개 인증서를 업로드하세요.
Gmail CSE API를 사용하여 사용자 인증서를 관리하는 방법 자세히 알아보기
인증서 불일치 허용하기(권장하지 않음)
이 기능은 CSE에만 사용할 수 있으며, 호스팅된 S/MIME에는 사용할 수 없습니다.
중요: 보안상의 이유로, 조직에서 이 기능을 요구하는 경우에만 인증서 불일치를 허용하는 것이 좋습니다. 이 옵션을 사용 설정하면 승인되지 않은 사용자 또는 악의적인 사용자로 인해 발생할 수 있는 인증서 불일치가 발생하더라도 사용자와 관리자에게 경고가 표시되지 않습니다.
사용자 인증서에 연결된 이메일 주소가 사용자의 기본 이메일 주소와 다른 경우가 있습니다. 예를 들어 Brandon Pham의 인증서는 이메일 주소 b.pham@solarmora.com을 사용하지만 Brandon은 대부분의 업무용 이메일에서 brandon.pham@solarmora.com 주소를 사용합니다. 이를 '인증서 불일치'라고 합니다.
인증서 불일치를 허용하도록 CSE를 설정하려면 호스팅된 S/MIME 설정에 루트 인증서를 추가할 때 인증서 불일치 옵션을 선택합니다. 루트 인증서를 추가하는 자세한 단계를 참고하세요.
인증서 불일치 허용 옵션을 선택하면 수신자가 인증서가 일치하지 않는 수신 메일을 복호화하고 읽을 수 있습니다. 하지만 인증서가 연락처에 자동으로 저장되지는 않습니다.
이 설정 옵션이 사용 설정되기 전에 수신된 이전 메일(인증서 불일치 포함)은 복호화하고 읽을 수 있습니다. 이 옵션을 사용 중지한 경우, 옵션을 선택했을 때 복호화될 수 있었던 이전 메일 및 새 메일(인증서 불일치 포함)은 더 이상 복호화할 수 없습니다.
SHA-1 허용하기(권장하지 않음)
일부 이메일 클라이언트는 SHA-1 해시된 서명을 허용하지만 이러한 서명은 신뢰할 수 없는 것으로 표시됩니다. 이는 보안 문제로 인해 SHA-1이 지원 중단되었기 때문입니다.
S/MIME 설정에 새 루트 인증서를 추가할 때 다음 요건을 둘 다 충족하는 경우에만 전체적으로 SHA-1 허용 옵션을 선택하세요.
- 조직에서 S/MIME 메일 보안을 위해 SHA-1 암호화 해시 함수를 사용하여 커뮤니케이션합니다.
- 그리고 이러한 커뮤니케이션을 신뢰할 수 있는 커뮤니케이션으로 표시하고자 합니다.
이 옵션을 선택하면, SHA-1을 사용하여 수신 메일에 첨부된 S/MIME 인증서를 Gmail이 신뢰할 수 있는 것으로 간주합니다.
