Ta funkcja jest dostępna w tych wersjach: Enterprise Plus; Education Fundamentals, Education Standard, Teaching and Learning Upgrade i Education Plus. Porównanie wersji
W konsoli administracyjnej Google możesz skonfigurować hostowane szyfrowanie S/MIME, aby chronić użytkowników w organizacji przed phishingiem, szkodliwymi załącznikami i innymi zagrożeniami w poczcie e-mail. S/MIME zwiększa bezpieczeństwo poczty e-mail przez szyfrowanie i dodawanie do wiadomości podpisu cyfrowego. Wiadomości są odszyfrowywane przy użyciu kombinacji klucza publicznego i prywatnego.
Gdy standard S/MIME jest hostowany, organizacja korzystająca z niego do szyfrowania przechowuje klucz prywatny. Szyfrowanie po stronie klienta Google Workspace (CSE) umożliwia też użytkownikom wysyłanie i odbieranie zaszyfrowanych wiadomości S/MIME. Jednak w przypadku szyfrowania po stronie klienta klucze prywatne są zarządzane przez zewnętrzną usługę kluczy, co zapewnia większą prywatność i ochronę danych. Więcej informacji o szyfrowaniu po stronie klienta
Możesz też dostosować ustawienia Gmaila tak, aby niektóre wiadomości wymagały szyfrowania S/MIME. Więcej informacji
Krok 1. Włączanie hostowanego szyfrowania S/MIME w konsoli administracyjnej Google
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu AplikacjeGoogle WorkspaceGmailUstawienia użytkownika.
- Po lewej stronie w sekcji Organizacje wybierz domenę lub organizację, którą chcesz skonfigurować.
Ważne: aby używać zaawansowanych ustawień S/MIME do przesyłania certyfikatów głównych i zarządzania nimi, musisz włączyć szyfrowanie S/MIME w organizacji najwyższego poziomu (zwykle w Twojej domenie). Dowiedz się więcej o S/MIME i certyfikatach głównych
-
Przewiń stronę do ustawienia S/MIME i zaznacz pole Włącz szyfrowanie S/MIME dla wysyłanych i odbieranych e-maili.
-
(Opcjonalnie) Aby zezwolić użytkownikom w organizacji na przesyłanie certyfikatów, zaznacz pole Zezwalaj użytkownikom na przesyłanie własnych certyfikatów.
-
(Dodatkowe opcje kontroli) Aby przesłać certyfikaty główne i nimi zarządzać:
- Obok opcji Zaakceptuj te dodatkowe certyfikaty główne dla określonych domen kliknij Dodaj.
- W oknie Dodaj certyfikat główny kliknij Prześlij certyfikat główny.
- Wybierz plik certyfikatu i kliknij Otwórz. Pojawi się komunikat weryfikacyjny dotyczący certyfikatu. Zawiera on nazwę podmiotu i datę ważności.
- W sekcji Poziom szyfrowania wybierz poziom szyfrowania tego certyfikatu.
- W sekcji Lista adresów wpisz co najmniej jedną domenę, która będzie używać certyfikatu głównego podczas komunikacji. Poszczególne domeny oddziel przecinkami. Nazwy domen mogą zawierać symbole wieloznaczne. Więcej informacji o używaniu symboli wieloznacznych w nazwach domen znajdziesz w dokumencie RFC 6125.
- (Opcjonalnie) Aby zezwolić na pary kluczy szyfrowane po stronie klienta z certyfikatami powiązanymi z adresem e-mail innym niż podstawowy adres e-mail użytkownika, wybierz opcję niezgodności certyfikatów (W przypadku tych domen zezwalaj na certyfikaty z adresami e-mail, które nie pasują do obecnych adresów e-mail użytkowników).
Ze względów bezpieczeństwa ta opcja jest zalecana tylko wtedy, gdy jest to wymagane przez organizację. Ta funkcja jest obsługiwana w przypadku szyfrowania po stronie klienta, ale nie w przypadku hostowanego szyfrowania S/MIME. Więcej informacji o niezgodności certyfikatów znajdziesz w artykule Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME.
- Kliknij Gotowe.
- Powtórz te czynności, aby przesłać więcej łańcuchów certyfikatów.
- Jeśli Twoja domena lub organizacja musi używać algorytmu SHA-1 (Secure Hash Algorithm 1), zaznacz pole Zezwalaj na korzystanie ze standardu SHA-1 w całej organizacji (niezalecane). Więcej informacji o używaniu SHA-1 znajdziesz w artykule Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME.
- Kliknij Zapisz.
Zmiany mogą zacząć obowiązywać w ciągu 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji Wiadomości wysyłane w tym czasie nie są szyfrowane.
Krok 2. Ponowne załadowanie Gmaila
Gdy włączysz hostowane szyfrowanie S/MIME w konsoli administracyjnej Google, poproś użytkowników o ponowne załadowanie Gmaila. Gdy to zrobią, w wierszu tematu wiadomości pojawi się kłódka. Jeśli wiadomość jest zaszyfrowana przy użyciu hostowanego szyfrowania S/MIME, kłódka jest zielona.
Krok 3. Prześlij certyfikaty
Aby korzystać z hostowanego szyfrowania S/MIME, należy przesłać certyfikaty użytkowników S/MIME do Gmaila. Certyfikat powinien spełniać obecne standardy kryptograficzne oraz standardy kryptograficzne kluczy publicznych PKCS #12 (Public-Key Cryptography Standards) do formatowania plików archiwum.
Dostarczona i utrzymywana przez Google lista zaufanych certyfikatów ma zastosowanie tylko do obsługi S/MIME w Gmailu.
Zalecamy, aby administratorzy przesyłali certyfikaty przy użyciu interfejsu Gmail S/MIME API. Zawiera on też opcje zarządzania, które umożliwiają między innymi wyświetlanie, usuwanie i ustawianie domyślnych kluczy użytkowników. Dowiedz się więcej o interfejsie Gmail S/MIME API.
Możesz też zezwolić użytkownikom na przesyłanie certyfikatów w ustawieniach Gmaila:
- Otwórz Gmaila.
- Wybierz Ustawienia Zobacz wszystkie ustawienia.
- Wybierz kartę Konta.
- Obok Wyślij jako wybierz Edytuj informacje.
Pojawi się okno Edytowanie ustawień szyfrowania i adresu e-mail. Jeśli nie widzisz tej opcji, skontaktuj się z administratorem.
- Kliknij Prześlij certyfikat osobisty.
- Wybierz certyfikat i kliknij Otwórz. Pojawi się prośba o wpisanie hasła dla certyfikatu.
- Wpisz hasło i kliknij Dodaj certyfikat.
Krok 4. Wymienianie się kluczami między użytkownikami
Aby rozpocząć wymianę wiadomości w standardzie S/MIME, użytkownicy muszą wymienić się kluczami z adresatami e-maili na jeden z tych sposobów:
- Można wysłać do adresatów wiadomość podpisaną przy użyciu S/MIME. Wiadomość jest podpisana cyfrowo i zawiera klucz publiczny użytkownika. Za pomocą tego klucza publicznego adresaci mogą szyfrować wiadomości wysyłane do użytkownika.
- Można poprosić adresatów o wysłanie wiadomości do użytkownika. Otrzymane wiadomości będą podpisane przy użyciu S/MIME. Klucze zostaną automatycznie zachowane i staną się dostępne. Wiadomości wysyłane do adresata są szyfrowane przy użyciu S/MIME.
Zastępowanie ustawień S/MIME w organizacji podrzędnej
Domyślnie jednostki organizacyjne dziedziczą ustawienia S/MIME z jednostki organizacyjnej najwyższego poziomu. Opcjonalnie możesz zastąpić odziedziczone ustawienia SMIME w przypadku jednostek organizacyjnych. Ta funkcja jest przydatna, jeśli chcesz wyłączyć lub dostosować ustawienia S/MIME w w jednostkach organizacyjnych.
Aby zastąpić ustawienia S/MIME:
-
Zaloguj się w usłudze konsoli administracyjnej Google.
Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).
-
W konsoli administracyjnej otwórz Menu AplikacjeGoogle WorkspaceGmailUstawienia użytkownika.
-
Po lewej stronie w sekcji Organizacje wybierz jednostkę organizacyjną, którą chcesz skonfigurować.
- Przewiń stronę do ustawienia S/MIME i kliknij je, aby rozwinąć.
Etykieta pod etykietą ustawienia S/MIME będzie wskazywać: Dziedziczone (nazwa organizacji lub domeny) albo Zastąpione.
- Kliknij Zastąp, aby zapisać zmiany w organizacji podrzędnej dziedziczącej ustawienia S/MIME.
Po zapisaniu ustawień w organizacji podrzędnej pod etykietą ustawień S/MIME pojawi się komunikat Zastąpione. Oprócz tego na drzewie struktury jednostek organizacyjnych po lewej stronie obok organizacji podrzędnych, w których zastąpiono ustawienia, wyświetla się kropka.
Wskazówka: jeśli w organizacji podrzędnej zastąpiono ustawienia z organizacji wyższego poziomu, możesz użyć przycisku Odziedzicz, aby ustawienia były dziedziczone z organizacji wyższego poziomu.
Przydatne materiały
Zarządzanie zaufanymi certyfikatami dla szyfrowania S/MIME (zaawansowane)