為郵件加密功能啟用代管式 S/MIME

支援這項功能的版本：Enterprise Plus 和 Education Fundamentals、Education Standard、Teaching and Learning Upgrade 和 Education Plus。 版本比較

您可以在 Google 管理控制台中設定代管的安全/多用途網際網路郵件延伸標準 (S/MIME)，協助貴機構的使用者防範網路釣魚、有害附件和其他電子郵件威脅。S/MIME 會為郵件加密並加入數位簽章，藉此提升電子郵件的安全性。郵件解密作業會結合使用公開金鑰和私密金鑰

如果 S/MIME 經過「代管」，使用 S/MIME 加密的機構會儲存私密金鑰。Google Workspace 用戶端加密 (CSE) 功能也可讓使用者收發經過加密的 S/MIME 郵件。但使用 CSE 時，私密金鑰會由外部金鑰服務管理，以加強保護隱私及資料。進一步瞭解 CSE。

您也可以自訂部分 Gmail 設定，要求某些郵件需使用 S/MIME。瞭解詳情

步驟 1：在 Google 管理控制台中開啟代管式 S/MIME

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「應用程式」「Google Workspace」「Gmail」「使用者設定」。
在左側的「機構」之下，選取您要設定的網域或機構。
重要事項：如要使用進階 S/MIME 控制選項上傳及管理根憑證，您必須在頂層機構 (通常是您的網域) 中啟用 S/MIME。進一步瞭解 S/MIME 和根憑證。
捲動至 S/MIME 設定，然後勾選 [允許在收發電子郵件時使用 S/MIME 加密功能] 方塊。
(選用) 如要允許貴機構的使用者上傳憑證，請勾選「允許使用者自行上傳憑證」方塊。
(選用其他控制選項) 如要上傳及管理根憑證：
1. 在「為特定網域接受這些額外根憑證」旁邊，按一下 [新增]。
2. 在「新增根憑證」視窗中，按一下「上傳根憑證」。
3. 瀏覽並選取憑證檔案，然後按一下 [開啟]。系統隨即會顯示該憑證的相關驗證訊息，其中包含主體名稱和到期日。
4. 在「加密等級」之下，選擇要與該憑證配合使用的加密等級。
5. 在「位址清單」之下，輸入要在通訊時使用根憑證的網域 (至少一個)。請以半形逗號分隔每個網域。網域名稱可包含萬用字元。如要進一步瞭解如何在網域名稱中使用萬用字元，請參閱「RFC 6125」。
6. (選用) 如要允許含有憑證的 CSE 金鑰組，與使用者主要電子郵件地址以外的電子郵件地址建立關聯，請選取憑證不符選項 (針對這些網域，允許憑證的電子郵件地址與使用者目前的電子郵件地址不符)。
  基於安全考量，建議您只在貴機構要求的情況下才這麼做。這項功能支援 CSE，而不支援代管式 S/MIME。如要進一步瞭解憑證不符情形，請參閱「管理信任的 S/MIME 憑證」。
7. 按一下 [完成]。
8. 重複上述步驟即可上傳更多憑證鏈結。
如果網域或機構必須使用安全雜湊演算法 1 (SHA-1)，請勾選「允許全域使用 SHA-1 (不建議)」方塊。如要進一步瞭解如何使用 SHA-1，請參閱「管理 S/MIME 信任的憑證」。
按一下「儲存」。

變更最多可能需要 24 小時才會生效，但通常不會這麼久。瞭解詳情在這段期間傳送的郵件不會經過加密。

步驟 2：請使用者重新載入 Gmail

在 Google 管理控制台啟用代管式 S/MIME 後，請引導使用者重新載入 Gmail。郵件主旨中會顯示鎖頭圖示。如果郵件經過代管式 S/MIME 加密，鎖頭就會變成綠色。

步驟 3：上傳憑證

如要使用代管式 S/MIME 加密功能，必須先將 S/MIME 使用者憑證上傳至 Gmail。憑證必須符合現行的密碼編譯標準，並使用公開金鑰密碼編譯標準 (PKCS) #12 封存檔案格式。

這份由 Google 提供及維護的信任憑證清單僅適用於 Gmail 的 S/MIME 功能。

我們建議管理員透過 Gmail S/MIME API 上傳憑證。您也可以使用 Gmail S/MIME API 管理檢視、刪除及設定預設使用者金鑰等工作。如要進一步瞭解 Gmail S/MIME API，請參閱這篇文章。

您也可以允許使用者在他們自己的 Gmail 設定中上傳憑證：

前往 Gmail。
依序選擇「設定」圖示「查看所有設定」。
選取「帳戶」分頁標籤。
在「以這個地址寄送郵件」旁邊，選取「編輯資訊」。
系統隨即會顯示「編輯電子郵件地址和加密設定」視窗。如果沒有看到這個選項，請與管理員聯絡。
按一下 [上傳個人憑證]。
選取憑證，然後按一下 [開啟]。系統會提示您輸入憑證密碼。
輸入密碼，然後按一下 [新增憑證]。

步驟 4：請使用者交換金鑰

如要開始交換 S/MIME 郵件，您的使用者必須透過下列其中一種方式與郵件收件者交換金鑰：

將經過 S/MIME 簽署的郵件寄給收件者。郵件會經過數位簽署，並納入使用者的公開金鑰。收件者可以使用這個公開金鑰將他們傳送給使用者的郵件加密。
請收件者傳送郵件給使用者。使用者收到的郵件會經過 S/MIME 簽署，系統也會自動儲存金鑰，供日後使用。往後寄給收件者的郵件都會進行 S/MIME 加密。

覆寫子機構的 SMIME 設定

根據預設，機構單位會沿用頂層機構單位的 SMIME 設定。您可以視需要為機構單位覆寫沿用的 SMIME 設定。如果您要為機構單位停用或自訂 SMIME 設定，這項功能就能派上用場。

如何覆寫 SMIME 設定：

登入 Google 管理控制台。
請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。
在管理控制台中，依序點選「選單」圖示「應用程式」「Google Workspace」「Gmail」「使用者設定」。
在左側的「機構」下方，選取要設定的機構單位。
捲動至 S/MIME 設定，然後按一下將其展開。
S/MIME 設定標籤下方的標籤會顯示「沿用來源：(機構或網域名稱)」或「已覆寫」。
按一下 [覆寫] 即可針對沿用 SMIME 設定的子機構儲存所做變更。
儲存子機構的設定後，SMIME 設定標籤下方就會顯示「已覆寫」。在左側的機構單位結構樹中，系統也會在覆寫的子機構旁邊顯示「圓點」標記。

提示：如果您的子機構覆寫了上層機構的設定，您可以使用 [沿用] 按鈕來沿用該上層機構的設定。

這對您有幫助嗎？

我們應如何改進呢？