Mobilgeräte: Unterstützte Versionen für diese Funktion: Frontline Standard, Enterprise Standard und Enterprise Plus, Education Standard, Education Plus und Endpoint Education-Upgrade, Cloud Identity Premium. Versionen vergleichen
Chrome OS-Geräte: Chrome Enterprise erforderlich für Gerätebasierte Zertifikate.
Mit Zertifikaten von Ihrer lokalen Zertifizierungsstelle können Sie steuern, wie Nutzer über Mobilgeräte und Chrome OS-Geräte in Ihrer Organisation auf WLANs, interne Apps und interne Websites zugreifen. Google Cloud Certificate Connector ist ein Windows-Dienst, mit dem sich Zertifikate und Authentifizierungsschlüssel von Ihrem SCEP-Server (Simple Certificate Enrollment Protocol) sicher auf den Mobilgeräten und Chrome OS-Geräten der Nutzer aktivieren lassen. Weitere Informationen
Für Chrome OS-Geräte können Sie nutzer- oder gerätebasierte Zertifikate einrichten. Ein Nutzerzertifikat wird einem Gerät für einen bestimmten Nutzer hinzugefügt und ist für diesen Nutzer zugänglich. Ein Gerätezertifikat wird dem Gerät zugewiesen und kann von jedem Nutzer verwendet werden, der auf dem Gerät angemeldet ist. Weitere Informationen finden Sie im Hilfeartikel Clientzertifikate auf Chrome-Geräten verwalten.
Wenn Sie den WLAN-Zugriff sowohl für Mobilgeräte als auch für Chrome OS-Geräte steuern möchten, müssen Sie separate SCEP-Profile und WLANs einrichten, da Mobilgeräte und Chrome OS-Geräte verschiedene RSA-Schlüsseltypen unterstützen.
Hinweise zum Schlüsselspeicher:
- Auf Mobilgeräten werden private Schlüssel für die Zertifikate auf Google-Servern generiert. Sie werden dort gelöscht, nachdem das Zertifikat auf dem Gerät installiert wurde oder spätestens nach 24 Stunden.
- Bei Chrome OS-Geräten werden private Schlüssel für die Zertifikate auf dem Chrome-Gerät generiert. Der entsprechende öffentliche Schlüssel wird vorübergehend auf Google-Servern gespeichert und nach der Installation des Zertifikats dauerhaft gelöscht.
Systemanforderungen
- In Ihrer Organisation wird Microsoft Active Directory Certificate Service für einen SCEP-Server und Microsoft Network Device Enrollment Service (NDES) zur Verteilung der Zertifikate verwendet.
- Mobilgeräte:iOS- und Android-Geräte mit erweiterter Mobilgeräteverwaltung Weitere Informationen zu den Geräteanforderungen
- Chrome OS-Geräte
- Gerätezertifikate: Chrome OS-Version 89 oder höher und mit Chrome Enterprise verwaltet
- Nutzerzertifikate: Chrome OS-Version 86 oder höher Hinweis:Bei Versionen vor 87 müssen Nutzer das Gerät neu starten oder einige Stunden warten, bis das Nutzerzertifikat bereitgestellt wird.
Hinweise
- Wenn Sie für den Antragstellernamen des Zertifikats den Active Directory-Nutzernamen verwenden möchten, müssen Sie Ihr Active Directory-Verzeichnis und das Google-Verzeichnis mit Google Cloud Directory Sync (GCDS) synchronisieren. Gegebenenfalls müssen Sie hierfür GCDS einrichten.
- Falls Sie noch kein CA-Zertifikat in die Google Admin-Konsole hochgeladen haben, fügen Sie eines hinzu. Weitere Informationen
- Sehen Sie sich die bekannten Probleme an, um unerwartetes Verhalten zu vermeiden.
Bekannte Probleme
- Zertifikate können nicht widerrufen werden, nachdem sie auf einem Gerät installiert wurden.
- SCEP-Profile unterstützen keine dynamischen Identitätsbestätigungen.
- In manchen Fällen funktioniert die SCEP-Profilübernahme zwischen Organisationseinheiten nicht. Wenn Sie beispielsweise ein SCEP-Profil für eine Organisationseinheit festlegen und das SCEP-Profil einer untergeordneten Organisationseinheit ändern, kann keines der SCEP-Profile der übergeordneten Organisationseinheit wieder von der untergeordneten Organisationseinheit übernommen werden.
- Auf Mobilgeräten können SCEP-Profile nicht auf VPN- oder Ethernet-Konfigurationen angewendet werden, sondern nur auf WLAN-Verbindungen.
- Auf Chrome OS-Geräten können SCEP-Profile nicht direkt auf VPN- oder Ethernet-Konfigurationen angewendet werden. Wenn Sie ein SCEP-Profil indirekt auf VPN- oder Ethernet-Konfigurationen anwenden möchten, verwenden Sie Aussteller- oder Betreffmuster, um das zu verwendende Zertifikat automatisch auszuwählen.
- Auf Geräten mit Chrome OS können Zertifikate nur für Nutzer bereitgestellt werden, die auf einem verwalteten Gerät angemeldet sind. Nutzer und Gerät müssen derselben Domain angehören.
Schritt 1: Google Cloud Certificate Connector herunterladen
Führen Sie auf dem SCEP-Server oder auf einem Windows-Computer die folgenden Schritte aus. Verwenden Sie dazu ein Konto, mit dem die Anmeldung als Dienstkonto auf dem SCEP-Server möglich ist. Halten Sie die Anmeldedaten für das Konto bereit.
Wenn Sie in Ihrer Organisation mehrere Server nutzen, können Sie auf allen denselben Zertifikat-Connector verwenden. Laden Sie die Installationsdatei, die Konfigurationsdatei und die Schlüsseldatei auf einen Computer herunter und führen Sie die Installation nach der folgenden Anleitung aus. Kopieren Sie die drei Dateien dann auf den nächsten Computer und folgen Sie der Einrichtungsanleitung.
Hinweis: Sie müssen Google Cloud Certificate Connector und die zugehörigen Komponenten nur einmal herunterladen, wenn Sie die Zertifikate für Ihre Organisation einrichten. Ein Zertifikat-Connector kann für alle Zertifikate und SCEP-Profile genutzt werden.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ GeräteNetzwerke.
- Klicken Sie auf Sichere SCEP-Profile Connector herunterladen.
- Klicken Sie im Abschnitt "Connector für Google Cloud-Zertifikate" auf Herunterladen. Auf dem Computer wird ein Ordner erstellt, der den Zertifikat-Connector enthält. Wir empfehlen, die anderen Konfigurationsdateien für den Connector in diesen Ordner herunterzuladen.
- Klicken Sie im Abschnitt „Konfigurationsdatei für Connector herunterladen“ auf Herunterladen. Die Datei
config.json
wird heruntergeladen. - Klicken Sie im Abschnitt „Schlüssel für Dienstkonto abrufen“ auf Schlüssel generieren. Die Datei
key.json
wird heruntergeladen. - Führen Sie das Installationsprogramm aus.
- Klicken Sie im Installationsassistenten auf Weiter.
- Stimmen Sie den Bedingungen der Lizenzvereinbarung zu und klicken Sie auf Weiter.
- Wählen Sie das Konto aus, für das der Dienst installiert wird, und klicken Sie auf Weiter. Das Konto muss entsprechende Berechtigungen haben, sodass damit die Anmeldung als Dienstkonto auf dem SCEP-Server möglich ist.
- Wählen Sie den Installationsort aus. Wir empfehlen die Verwendung der Standardeinstellung. Klicken Sie auf Weiter.
- Geben Sie die Anmeldedaten für das Dienstkonto ein und klicken Sie auf Weiter. Der Dienst wird installiert.
- Klicken Sie auf Fertigstellen, um die Installation abzuschließen.
- Verschieben Sie die Konfigurations- und die Schlüsseldatei (
config.json
undkey.json
) in den während der Installation erstellten Ordner. Er befindet sich normalerweise unterC:\Program Files\Google Cloud Certificate Connector
. - Starten Sie den Dienst:
- Öffnen Sie "Windows-Dienste".
- Wählen Sie Google Cloud Certificate Connector aus der Liste aus.
- Klicken Sie auf Starten. Der Status ändert sich in Aktiv. Der Dienst wird automatisch neu gestartet, wenn der Computer neu gestartet wird.
Wenn Sie später einen neuen Dienstkontoschlüssel herunterladen, müssen Sie den Dienst neu starten, um den Schlüssel zu aktivieren.
Schritt 2: SCEP-Profil hinzufügen
Mit dem SCEP-Profil wird das Zertifikat definiert, über das Nutzer auf Ihr WLAN-Netzwerk zugreifen können. Sie weisen das Profil bestimmten Nutzern zu, indem Sie es einer Organisationseinheit hinzufügen. Sie können mehrere SCEP-Profile einrichten, um den Zugriff nach Organisationseinheit und Gerätetyp zu verwalten.
Hinweis: Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ GeräteNetzwerke.
- Klicken Sie auf SCEP-Profil erstellen.
-
Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen. Hinweis: Wir empfehlen Ihnen, das SCEP-Profil für jede Organisationseinheit festzulegen, für die Sie das Profil anwenden möchten, da ein bekanntes Problem vorliegt.
- Klicken Sie auf Sicheres SCEP-Profil hinzufügen.
- Geben Sie die Details zur Konfiguration des Profils ein. Wenn Ihre Zertifizierungsstelle eine bestimmte Vorlage ausgibt, sollten die Informationen damit übereinstimmen.
- SCEP-Profilname: Ein aussagekräftiger Name. Er wird bei der Konfiguration des WLAN-Netzwerks in der Profilliste und in der Profilauswahl angezeigt.
- Format des Antragstellernamens: Das Format für den Namen des Zertifikatsinhabers. Wenn Sie Vollständig definierter Name auswählen, entspricht der allgemeine Name des Zertifikats dem Nutzernamen.
- Alternativer Antragstellername: Hier können Sie einen alternativen Namen angeben. Standardmäßig ist keine Option ausgewählt.
Für Chrome OS-Geräte können Sie auf Grundlage von Nutzer- und Geräteattributen alternative Antragstellernamen festlegen. Wenn Sie eine benutzerdefinierte Zertifikatsignierungsanfrage verwenden möchten, konfigurieren Sie die Zertifikatsvorlage in der Zertifizierungsstelle so, dass ein Zertifikat mit den in der Anfrage definierten Werten erwartet und erstellt wird. Dafür müssen Sie mindestens einen Wert für den CommonName angeben.
Sie können die folgenden Platzhalter verwenden. Alle Werte sind optional.
${DEVICE_DIRECTORY_ID}
: Verzeichnis-ID eines Geräts${USER_EMAIL}
: E-Mail-Adresse des angemeldeten Nutzers${USER_EMAIL_DOMAIN}
: Domain des angemeldeten Nutzers${DEVICE_SERIAL_NUMBER}
: Seriennummer des Geräts${DEVICE_ASSET_ID}
: Asset-ID, die dem Gerät vom Administrator zugewiesen wurde${DEVICE_ANNOTATED_LOCATION}
: Standort, der dem Gerät vom Administrator zugewiesen wurde${USER_EMAIL_NAME}
: erster Teil der E-Mail-Adresse des angemeldeten Nutzers (vor dem @)
Wenn kein Platzhalterwert verfügbar ist, wird ein leerer String eingefügt.
- Signaturalgorithmus: Die Hashfunktion zur Verschlüsselung des Authentifizierungsschlüssels. "SHA256 mit RSA" ist hier die einzige Option.
- Schlüsselverwendung: Optionen zur Verwendung des Schlüssels, der Schlüsselverschlüsselung und ‑signatur. Sie können mehrere Optionen auswählen.
- Schlüsselgröße (Bits): Die Größe des RSA-Schlüssels. Wählen Sie für Chrome OS-Geräte 2048 aus.
- SCEP-Server-URL: Die URL des SCEP-Servers.
- Gültigkeit des Zertifikats (in Jahren): Die Gültigkeitsdauer des Gerätezertifikats. Diese muss als Zahl eingegeben werden.
- Verlängerung innerhalb von (Angabe in Tagen): Gibt an, wie lange vor Ablauf das Zertifikat verlängert werden kann.
- Erweiterte Schlüsselverwendung: Weitere Optionen zur Verwendung des Schlüssels. Hier können Sie mehrere Werte auswählen.
- Art der Identitätsbestätigung: Wenn Sie möchten, dass Google bei der Anforderung eines Zertifikats vom SCEP-Server eine bestimmte Wortgruppe zur Identitätsbestätigung angibt, wählen Sie Statisch aus und geben Sie die Wortgruppe ein. Wählen Sie Keine aus, falls Sie die Bestätigung nicht möchten.
- Name der Vorlage: Der Name der vom NDES-Server verwendeten Vorlage.
- Zertifizierungsstelle: Der Name des Zertifikats, das Sie zur Verwendung als Zertifizierungsstelle hochgeladen haben.
- Netzwerktyp, für den dieses Profil gilt: Der Typ der Netzwerke, für die das SCEP-Profil verwendet wird.
- Plattformen, für die dieses Profil gilt: Die Geräteplattformen, für die das SCEP-Profil verwendet wird. Klicken Sie für Chrome OS-Geräte je nach bereitzustellendem Zertifikatstyp das Kästchen Chromebook (Nutzer), Chromebook (Gerät) oder beide an.
- Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.
Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.
Nachdem Sie ein Profil hinzugefügt haben, wird es zusammen mit seinem Namen und den Plattformen, auf denen es aktiviert wurde, in der Liste angezeigt. In der Spalte Plattform sehen Sie ein blaues Symbol hinter den Plattformen, für die das Profil aktiviert ist. Bei den anderen Plattformen ist das Symbol grau. Wenn Sie ein Profil ändern möchten, bewegen Sie den Mauszeiger auf die zu ändernde Zeile und klicken Sie auf „Bearbeiten“ .
Das SCEP-Profil wird automatisch für die Nutzer in der Organisationseinheit aktiviert.
Schritt 3: Schlüsselspeicher für Google Cloud Certificate Connector konfigurieren
Überspringen Sie diesen Schritt, wenn Ihr Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wird oder Ihre SCEP-Server-URL mit HTTP beginnt.
Wenn Ihr Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, z. B. im Falle eines selbst signierten Zertifikats, müssen Sie es in den Schlüsselspeicher von Google Cloud Certificate Connector importieren. Andernfalls kann das Gerätezertifikat nicht bereitgestellt werden und das Gerät kann keine Verbindung herstellen.
- Melden Sie sich in Ihrer Zertifizierungsstelle an.
- Wenn noch keine Java JRE installiert ist, installieren Sie eine, damit Sie keytool.exe verwenden können.
- Öffnen Sie die Eingabeaufforderung.
- Exportieren Sie Ihr CA-Zertifikat und konvertieren Sie es mit den folgenden Befehlen in eine PEM-Datei:
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- Importieren Sie das CA-Zertifikat in den Schlüsselspeicher. Führen Sie aus dem Unterverzeichnis des während der Installation erstellten Google Cloud Certificate Connector-Ordners, in der Regel C:\Programme\Google Cloud Certificate Connector, den folgenden Befehl aus:
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
Ersetzen Sie
java-home-dir
durch den Pfad zur JRE im Google Cloud Certificate Connector-Ordner undcert-export-dir
durch den Pfad zum Zertifikat, das Sie in Schritt 4 exportiert haben.
Schritt 4: WLANs so konfigurieren, dass das SCEP-Profil erforderlich ist (optional)
Nachdem die Mobilgeräte oder Chrome OS-Geräte der Nutzer Zertifikate vom SCEP-Server empfangen haben, können Sie die WLANs so konfigurieren, dass eine Zertifikatauthentifizierung erforderlich ist.
Wenn Sie den WLAN-Zugriff sowohl auf Mobilgeräten als auch auf Chrome OS-Geräten steuern möchten, richten Sie für beide ein separates WLAN ein. Sie können beispielsweise ein WLAN für Mobilgeräte einrichten und ihm ein SCEP-Profil für Mobilgeräte zuweisen. Dann richten Sie ein weiteres WLAN-Netzwerk für Chrome OS-Geräte ein und legen für Chrome OS-Geräte ein SCEP-Profil fest.
So wählen Sie das Zertifikat aus und wenden das SCEP-Profil auf ein WLAN-Netzwerk an:
- Fügen Sie eine WLAN-Konfiguration hinzu oder ändern Sie eine vorhandene Konfiguration.
- Klicken Sie im Bereich "Plattformzugriff" auf das Kästchen Android oder iOS oder auf beide.
- Legen Sie im Abschnitt "Details" folgende Einstellungen fest:
- Wählen Sie unter Sicherheitseinstellungen die Option WPA/WPA2 Enterprise (802.1 X) oder Dynamic WEP (802.1 X) aus.
- Unter Erweitertes Authentifizierungsprotokoll wählen Sie EAP-TLS oder EAP-TTLS aus.
- Zuletzt wählen Sie das gewünschte SCEP-Profil aus.
- Klicken Sie auf Speichern.
Wenn Nutzer nun zum ersten Mal versuchen, eine Verbindung zum WLAN herzustellen, wird das Zertifikat vom Gerät angefordert.
- Bei Android- und Chrome OS-Geräten wird das Zertifikat für das jeweilige SCEP-Profil und das Netzwerk automatisch ausgefüllt und der Nutzer klickt auf Verbinden.
- Bei iOS-Geräten muss der Nutzer das zu verwendende Zertifikat auswählen und dann auf Verbinden klicken.
Funktionsweise der Authentifizierung per Zertifikat über Google Cloud Certificate Connector
Google Cloud Certificate Connector ist ein Windows-Dienst, der eine exklusive Verbindung zwischen Ihrem SCEP-Server und Google herstellt. Der Zertifikat-Connector wird durch eine Konfigurationsdatei und eine Schlüsseldatei konfiguriert und gesichert. Beide Dateien sind nur für Ihre Organisation vorgesehen.
Sie weisen Geräten und Nutzern mit SCEP-Profilen Gerätezertifikate zu. Sie fügen das Profil einfach einer Organisationseinheit hinzu, um es den Nutzern darin zuzuordnen. Im Profil ist die Zertifizierungsstelle für Gerätezertifikate enthalten. Wenn ein Nutzer sein Mobilgerät oder Chrome OS-Gerät für die Verwaltung registriert, ruft die Google-Endpunktverwaltung das SCEP-Profil des Nutzers ab und installiert das Zertifikat auf dem Gerät. Bei Chrome OS-Geräten wird ein Gerätezertifikat installiert, bevor sich der Nutzer anmeldet. Ein Nutzerzertifikat wird hingegen installiert, nachdem der Nutzer sich angemeldet hat. Wenn das Gerät bereits registriert ist, erfolgt die Zertifikatinstallation bei der nächsten regulären Synchronisierung.
Dann wird beim Versuch, eine Verbindung mit Ihrem Netzwerk herzustellen, das Zertifikat angefordert. Auf Android-Geräten wird das Zertifikat automatisch ausgewählt und der Nutzer klickt auf Verbinden. Auf iOS-Geräten muss der Nutzer das Zertifikat auswählen und kann dann die Verbindung herstellen. Der Zugriff des Geräts auf das Netzwerk Ihrer Organisation erfolgt mit einem Schlüssel, der von Google über den Zertifikat-Connector ausgehandelt wird. Der Schlüssel wird während der Aushandlung temporär gespeichert und nach der Installation oder spätestens nach 24 Stunden gelöscht.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.