Dispositivi mobili: Versioni supportate per questa funzionalità: Frontline Standard; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Cloud Identity Premium. Confronta la tua versione
Dispositivi Chrome OS: è necessario Chrome Enterprise per i certificati basati sui dispositivi.
Puoi controllare gli accessi degli utenti alle reti Wi-Fi e alle app e siti web interni della tua organizzazione sui dispositivi mobili e Chrome OS distribuendo certificati rilasciati dall'autorità di certificazione (CA) locale. Google Cloud Certificate Connector è un servizio Windows che distribuisce in modo sicuro certificati e chiavi di autorizzazione dal server SCEP (Simple Certificate Enrollment Protocol) ai dispositivi mobili e Chrome OS degli utenti. Scopri di più
Per i dispositivi Chrome OS puoi configurare certificati basati sugli utenti o sui dispositivi. Un certificato dell'utente viene aggiunto a un dispositivo per un utente specifico ed è accessibile da quell'utente. Un certificato del dispositivo viene assegnato in base al dispositivo ed è accessibile da qualsiasi utente che ha eseguito l'accesso a quel dispositivo. Per maggiori dettagli, vedi Gestire i certificati client sui dispositivi Chrome.
Se vuoi controllare l'accesso alla rete Wi-Fi per i dispositivi mobili e Chrome OS, dovrai configurare profili SCEP e reti Wi-Fi separati perché i dispositivi mobili e i dispositivi Chrome OS supportano diversi tipi di chiavi RSA.
Note sull'archiviazione delle chiavi:
- Per i dispositivi mobili, le chiavi private per i certificati vengono generate sui server di Google. Le chiavi vengono eliminate dai server di Google dopo l'installazione dei certificati sui dispositivi o trascorse 24 ore dalla generazione, a seconda dell'evento che si verifica per primo.
- Per i dispositivi Chrome OS, le chiavi private per i certificati vengono generate sul dispositivo Chrome. La chiave pubblica corrispondente viene archiviata temporaneamente sui server di Google ed eliminata dopo l'installazione del certificato.
Requisiti di sistema
- Per la distribuzione dei certificati è necessario che la tua organizzazione utilizzi Microsoft Active Directory Certificate Service per un server SCEP e Microsoft Network Device Enrollment Service (NDES).
- Dispositivi mobili: dispositivi iOS e Android soggetti alla Gestione dispositivi mobili avanzata. Scopri di più sui requisiti dei dispositivi.
- Dispositivi Chrome OS:
- Certificati dei dispositivi: dispositivi Chrome OS 89 o versioni successive e gestiti con Chrome Enterprise
- Certificati utente: dispositivi Chrome OS 86 o versioni successive. Nota: per le versioni precedenti alla 87, gli utenti devono riavviare il dispositivo o attendere un paio d'ore perché venga eseguito il deployment del certificato.
Prima di iniziare
- Se necessiti del certificato Nome soggetto per utilizzare i nomi utente di Active Directory, devi sincronizzare Active Directory e Google Directory tramite Google Cloud Directory Sync (GCDS). Se necessario, configura GCDS.
- Se non hai già caricato un certificato CA nella Console di amministrazione Google, aggiungine uno.
- Esamina i problemi noti per evitare comportamenti imprevisti.
Problemi noti
- I certificati non possono essere revocati dopo che sono stati installati su un dispositivo.
- I profili SCEP non supportano le verifiche dinamiche.
- In alcuni casi, l'ereditarietà dei profili SCEP tra le unità organizzative può interrompersi. Ad esempio, se imposti un profilo SCEP per un'unità organizzativa e modifichi il profilo SCEP di un'unità organizzativa secondaria, nessuno dei profili SCEP dell'unità organizzativa principale può essere ereditato di nuovo dall'unità organizzativa secondaria.
- Per i dispositivi mobili, i profili SCEP non possono essere applicati a configurazioni di reti VPN o Ethernet, ma solo a reti Wi-Fi.
- Per i dispositivi Chrome OS, i profili SCEP non possono essere applicati direttamente a configurazioni di reti VPN o Ethernet. Per applicare indirettamente un profilo SCEP a configurazioni di reti VPN o Ethernet, utilizza pattern dell'emittente o del soggetto per selezionare automaticamente il certificato da utilizzare.
- Per gli utenti di dispositivi Chrome OS, il deployment dei certificati può essere effettuato solo per gli utenti che hanno eseguito l'accesso a un dispositivo gestito. L'utente e il dispositivo devono appartenere allo stesso dominio.
Passaggio 1: scarica Google Cloud Certificate Connector
Segui i passaggi illustrati di seguito sul server SCEP oppure su un computer Windows con un account autorizzato ad accedere al server SCEP come servizio. Tieni le credenziali dell'account a portata di mano.
Se la tua organizzazione ha diversi server, puoi utilizzare su tutti lo stesso agente del connettore di certificati. Scarica e installa il file di installazione, il file di configurazione e il file della chiave su un computer, come illustrato nei passaggi riportati di seguito. Successivamente, copia i tre file sull'altro computer e segui le istruzioni di configurazione su quel computer.
Nota: il download di Google Cloud Certificate Connector e dei relativi componenti deve essere effettuato soltanto una volta, al momento della configurazione dei certificati per l'organizzazione. I certificati e i profili SCEP possono condividere un singolo connettore di certificati.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu DispositiviReti.
- Fai clic su SCEP sicuriScarica Connector.
- Nella sezione Google Cloud Certificate Connector, fai clic su Scarica. Il download crea sul desktop una cartella contenente il connettore di certificati. Ti consigliamo di scaricare gli altri file di configurazione del connettore in questa cartella.
- Nella sezione Scarica il file di configurazione del connettore, fai clic su Scarica. Viene scaricato il file
config.json
. - Nella sezione Genera una chiave account di servizio, fai clic su Genera chiave. Viene scaricato il file
key.json
. - Esegui il programma di installazione del connettore di certificati.
- Nella procedura guidata di installazione, fai clic su Next (Avanti).
- Accetta i termini del contratto di licenza e fai clic su Next (Avanti).
- Scegli l'account per il quale stai installando il servizio e fai clic su Next (Avanti). L'account deve disporre dei privilegi necessari per accedere come servizio sul server SCEP.
- Seleziona il percorso di installazione. Ti consigliamo di utilizzare l'impostazione predefinita. Fai clic su Next (Avanti).
- Inserisci le credenziali dell'account di servizio e fai clic su Next (Avanti). Il servizio viene installato.
- Fai clic su Finish (Fine) per completare l'installazione.
- Sposta il file di configurazione e quello della chiave (
config.json
ekey.json
) nella cartella di Google Cloud Certificate Connector creata durante l'installazione, che di solito si trova nel seguente percorso:C:\Programmi\Google Cloud Certificate Connector
. - Avvia il servizio Google Cloud Certificate Connector:
- In Windows, apri Servizi.
- Seleziona Google Cloud Certificate Connector nell'elenco dei servizi.
- Fai clic su Avvia per avviare il servizio. Assicurati che lo stato passi a In esecuzione. Il servizio si riavvia automaticamente al riavvio del computer.
Se, in un secondo momento, scarichi una nuova chiave dell'account di servizio, riavvia il servizio per applicarla.
Passaggio 2: aggiungi un profilo SCEP
Un profilo SCEP definisce il certificato che consente agli utenti di accedere alla rete Wi-Fi. Puoi assegnare il profilo a utenti specifici aggiungendolo a un'unità organizzativa. Puoi configurare diversi profili SCEP per gestire gli accessi in base all'unità organizzativa e al tipo di dispositivo.
Prima di iniziare: se devi configurare un reparto o un team per questa impostazione, vedi Aggiungi un'unità organizzativa.
-
Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
-
Nella Console di amministrazione, vai a Menu DispositiviReti.
- Fai clic su Crea Profilo SCEP.
-
(Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato Mostrami come fare Nota: a causa di un problema noto, ti consigliamo di impostare il profilo SCEP per ogni unità organizzativa a cui vuoi applicare il profilo.
- Fai clic su Aggiungi profilo sicuro SCEP.
- Inserisci i dettagli di configurazione per il profilo. Se la CA pubblica un modello specifico, accertati che i dettagli del profilo corrispondano al modello.
- Nome del profilo SCEP: il nome che descrive il profilo. Il nome viene visualizzato nell'elenco dei profili e nel selettore dei profili della configurazione della rete Wi-Fi.
- Formato del nome del soggetto: scegli come identificare il proprietario del certificato. Se selezioni Nome distinto completo, il nome comune (CN) del certificato corrisponde al nome utente.
- Nome alternativo del soggetto: inserisci un SAN (Subject Alternative Name). Il valore predefinito è Nessuno.
Per i dispositivi Chrome OS, puoi definire nomi alternativi dei soggetti in base agli attributi degli utenti e dei dispositivi. Per utilizzare una richiesta di firma del certificato (CSR) personalizzata, configura il modello di certificato nell'autorità di certificazione in modo che sia richiesto e generato un certificato con i valori del soggetto definiti nella richiesta stessa. Come requisito minimo sarà necessario fornire un valore per il CommonName del soggetto.
Puoi utilizzare i seguenti segnaposto. Tutti i valori sono facoltativi.
${DEVICE_DIRECTORY_ID}
: l'ID di directory del dispositivo.${USER_EMAIL}
: l'indirizzo email dell'utente che ha effettuato l'accesso.${USER_EMAIL_DOMAIN}
: il nome di dominio dell'utente che ha effettuato l'accesso.${DEVICE_SERIAL_NUMBER}
: il numero di serie del dispositivo.${DEVICE_ASSET_ID}
: l'ID risorsa assegnato al dispositivo dall'amministratore.${DEVICE_ANNOTATED_LOCATION}
: la posizione assegnata al dispositivo dall'amministratore.${USER_EMAIL_NAME}
: la parte che precede il carattere "@" dell'indirizzo email dell'utente che ha eseguito l'accesso.
Se un valore segnaposto non è disponibile, viene sostituito da una stringa vuota.
- Algoritmo di firma: la funzione hash utilizzata per criptare la chiave di autorizzazione. L'unica opzione disponibile è SHA256 con RSA.
- Utilizzo della chiave: opzioni relative alla modalità di utilizzo della chiave, della crittografia della chiave e della firma. Puoi selezionarne più di una:
- Dimensioni della chiave (bit): le dimensioni della chiave RSA. Per i dispositivi Chrome OS, seleziona 2048.
- URL del server SCEP: l'URL del server SCEP.
- Periodo di validità del certificato (anni): periodo di tempo durante il quale il certificato del dispositivo è valido. Inserisci un numero.
- Numero di giorni per il rinnovo: quanto tempo prima della scadenza del certificato del dispositivo è possibile effettuare un tentativo di rinnovo del certificato.
- Utilizzo esteso della chiave: modalità di utilizzo della chiave. Puoi scegliere più di un valore.
- Tipo di verifica: per richiedere a Google di fornire una frase di verifica specifica quando richiede un certificato al server SCEP, seleziona Statico e inserisci la frase. Se selezioni Nessuno, il server non richiederà questa verifica.
- Nome modello: il nome del modello utilizzato dal server NDES.
- Autorità di certificazione: il nome di un certificato che hai caricato per essere utilizzato come autorità di certificazione.
- Tipo di rete a cui si applica questo profilo: il tipo delle reti che utilizzano il profilo SCEP.
- Piattaforme a cui si applica questo profilo: le piattaforme dei dispositivi che utilizzano il profilo SCEP. Per i dispositivi Chrome OS, assicurati di selezionare Chromebook (utente), Chromebook (dispositivo) o entrambi, a seconda del tipo di certificato che vuoi implementare.
- Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per unità organizzativa.
Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.
Una volta aggiunto, il profilo viene inserito nell'elenco insieme al nome e alle piattaforme per le quali è abilitato. Nella colonna Piattaforma, un'icona blu contrassegna le piattaforme per le quali il profilo è abilitato e un'icona grigia indica quelle per le quali non lo è. Per modificare un profilo, posiziona il puntatore sulla relativa riga e fai clic su Modifica.
Il profilo SCEP viene automaticamente distribuito agli utenti che appartengono all'unità organizzativa cui è associato.
Passaggio 3: configura l'archivio chiavi di Google Cloud Certificate Connector
Se il certificato viene emesso da un'autorità di certificazione attendibile o se l'URL del server SCEP inizia con HTTP, salta questo passaggio.
Se il certificato non è stato emesso da un'autorità di certificazione attendibile, ad esempio un certificato autofirmato, devi importarlo nell'archivio chiavi di Google Cloud Certificate Connector. In caso contrario, il provisioning del certificato del dispositivo non potrà essere eseguito e il dispositivo non riuscirà a connettersi.
- Accedi alla CA.
- Se non è già installato, installa un ambiente Java JRE in modo da poter utilizzare keytool.exe.
- Apri un prompt dei comandi.
- Esporta il certificato CA e convertilo in un file PEM eseguendo questi comandi:
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- Importa il certificato CA nell'archivio chiavi. Dalla sottodirectory della cartella di Google Cloud Certificate Connector creata durante l'installazione, generalmente C:\Programmi\Google Cloud Certificate Connector, esegui questo comando:
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
Sostituisci
java-home-dir
con il percorso al JRE nella cartella Google Cloud Certificate Connector ecert-export-dir
con il percorso del certificato che hai esportato nel passaggio 4.
(Facoltativo) Passaggio 4: configura le reti Wi-Fi in modo che richiedano il profilo SCEP
Quando i dispositivi mobili o Chrome OS degli utenti hanno ricevuto i certificati dal server SCEP, puoi configurare le reti Wi-Fi in modo che richiedano l'autenticazione mediante certificato.
Per controllare l'accesso alla rete Wi-Fi per i dispositivi mobili e Chrome OS, configura reti Wi-Fi separate per ciascuno. Ad esempio, configura una rete Wi-Fi per i dispositivi mobili e assegna un profilo SCEP per i dispositivi mobili e configura un'altra rete Wi-Fi per i dispositivi Chrome OS e assegna un profilo SCEP per i dispositivi Chrome OS.
Per selezionare il certificato e applicare il profilo SCEP a una rete Wi-Fi:
- Aggiungi una configurazione di rete Wi-Fi o modificane una esistente.
- Nella sezione Accesso alla piattaforma, seleziona la casella Android, iOS o entrambe.
- Nella sezione Dettagli, seleziona le seguenti impostazioni:
- In Impostazioni di sicurezza, seleziona WPA/WPA2 Enterprise (802.1 X) o WEP dinamico (802.1 X).
- In Protocollo EAP, seleziona EAP-TLS o EAP-TTLS.
- In Profilo SCEP, seleziona il profilo SCEP da applicare alla rete in fase di configurazione.
- Fai clic su Salva.
Una volta completata la configurazione, la prima volta che gli utenti tenteranno di connettersi alla rete Wi-Fi, il loro dispositivo dovrà fornire il certificato.
- Per i dispositivi Android e Chrome OS, il certificato corrispondente al profilo SCEP e la rete vengono compilati automaticamente e l'utente può fare semplicemente clic su Connetti.
- Sui dispositivi iOS, l'utente deve scegliere il certificato da utilizzare e fare clic su Connetti.
Come funziona l'autenticazione mediante certificato con Google Cloud Certificate Connector
Google Cloud Certificate Connector è un servizio Windows che stabilisce una connessione esclusiva tra il server SCEP e Google. Il connettore di certificati è configurato e reso sicuro mediante un file di configurazione e un file della chiave, entrambi riservati esclusivamente alla tua organizzazione.
Per assegnare certificati dei dispositivi ai dispositivi e agli utenti, devi utilizzare i profili SCEP. Per assegnare un profilo, scegli un'unità organizzativa e aggiungi il profilo a quell'unità. Il profilo include l'autorità di certificazione che emette i certificati dei dispositivi. Quando un utente registra il suo dispositivo mobile o Chrome OS per la gestione, la gestione degli endpoint Google recupera il profilo SCEP dell'utente e installa il certificato sul suo dispositivo. Per i dispositivi Chrome OS, il certificato del dispositivo viene installato prima dell'accesso dell'utente, mentre il certificato dell'utente viene installato dopo l'accesso. Se il dispositivo è già registrato, il certificato viene installato nell'ambito di un normale ciclo di sincronizzazione.
Quando un utente tenta di connettersi alla rete, gli viene richiesto di fornire il certificato. Sui dispositivi Android, il certificato viene selezionato automaticamente e l'utente può fare semplicemente clic su Connetti. Sui dispositivi iOS, l'utente deve selezionare il certificato manualmente e poi connettersi. Il dispositivo accede alla rete dell'organizzazione utilizzando una chiave negoziata da Google attraverso il connettore dei certificati. Google memorizza temporaneamente la chiave durante la negoziazione di sicurezza, ma la elimina una volta che è stata installata sul dispositivo (o trascorse 24 ore dalla sua generazione).
Google, Google Workspace e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.