إعداد الشهادات للأجهزة الجوّالة المُدارة والأجهزة التي تعمل بنظام التشغيل Chrome

الأجهزة الجوّالة: الإصدارات المتوافقة مع هذه الميزة: Frontline Standard؛ Enterprise Standard وEnterprise Plus؛ Education Standard وEducation Plus وEndpoint Education Upgrade؛ النسخة المدفوعة من Cloud Identity. مقارنة إصدارك

الأجهزة التي تعمل بنظام التشغيل Chrome: مطلوب استخدام Chrome Enterprise للحصول على الشهادات المستندة إلى الأجهزة.

يمكنك التحكم في وصول المستخدمين إلى شبكات Wi-Fi والتطبيقات الداخلية والمواقع الإلكترونية الداخلية لمؤسستك على الأجهزة الجوّالة والأجهزة التي تعمل بنظام التشغيل Chrome من خلال توزيع الشهادات من مرجع التصديق (CA) داخل الشركة. Google Cloud Certificate Connector هي خدمة تعمل على نظام التشغيل Windows لتوزيع الشهادات ومفاتيح المصادقة بشكلٍ آمن من خادم Simple Sign Enrollment Protocol ‏(SCEP) إلى الأجهزة الجوَّالة للمستخدمين والأجهزة التي تعمل بنظام التشغيل Chrome. مزيد من المعلومات

بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، يمكنك إعداد الشهادات المستندة إلى المستخدمين أو الأجهزة. تتم إضافة شهادة المستخدم إلى جهاز مستخدم محدّد ويمكن لهذا المستخدم المحدّد الوصول إليها. يتم تخصيص شهادة الجهاز بناءً على الجهاز ويمكن لأي مستخدم سجّل الدخول إلى الجهاز الوصول إليها. ولمعرفة التفاصيل، يُرجى الاطّلاع على إدارة شهادات العميل على أجهزة Chrome.

إذا كنت تريد التحكّم في الوصول إلى شبكة Wi-Fi على كل من الأجهزة الجوّالة والأجهزة التي تعمل بنظام التشغيل Chrome، ستحتاج إلى إعداد ملفات SCEP شخصية وشبكات Wi-Fi منفصلة لأنّ الأجهزة الجوّالة والأجهزة التي تعمل بنظام التشغيل Chrome تتوافق مع أنواع مفاتيح RSA المختلفة.

ملاحظات حول تخزين المفاتيح:

• بالنسبة إلى الأجهزة الجوّالة، يتم إنشاء المفاتيح الخاصة للشهادات على خوادم Google. تتم إزالة المفاتيح من خوادم Google نهائيًا بعد تثبيت الشهادة على الجهاز أو بعد 24 ساعة، أيهما أقرب.
• بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، يتم إنشاء المفاتيح الخاصة للشهادات على جهاز Chrome. يتم تخزين المفتاح العام المقابل مؤقتًا على خوادم Google ويتم إزالته نهائيًا بعد تثبيت الشهادة.

متطلبات النظام

• أن تستخدم مؤسستك خدمة Microsoft Active Directory Certificate Service لخادم SCEP وخدمة Microsoft Network Device Enrollment Service ‏(NDES) لتوزيع الشهادات.
• الأجهزة الجوّالة: الأجهزة التي تعمل بنظامي التشغيل iOS وAndroid ضمن الإدارة المتقدّمة للأجهزة الجوّالة. تعرَّف على المزيد من المعلومات عن متطلبات الجهاز.
• الأجهزة التي تعمل بنظام التشغيل Chrome:
  • شهادات الأجهزة: الإصدار 89 من نظام التشغيل Chrome أو الإصدارات الأحدث، وتتم إدارته من خلال Chrome Enterprise
  • شهادات المستخدمين: الإصدار 86 من نظام التشغيل Chrome أو الإصدارات الأحدث ملاحظة: بالنسبة إلى الإصدارات الأقدم من 87، على المستخدمين إعادة تشغيل الجهاز أو الانتظار بضع ساعات حتى يتم نشر شهادة المستخدم.

قبل البدء

• إذا كنت تريد أن يستخدم اسم "موضوع" الشهادة أسماء المستخدمين المُدرجة في Active Directory، يجب مزامنة دليل Active Directory ودليل Google مع أداة مزامنة دليل Google Cloud‏ (GCDS). لذا، يمكنك إعداد "أداة مزامنة دليل Google Cloud" إذا لزم الأمر.
• إذا لم يسبق لك تحميل شهادة CA في وحدة تحكُّم المشرف في Google، يمكنك إضافة شهادة.
• راجِع المشاكل المعروفة لتجنُّب أي سلوك غير متوقع.

المشاكل المعروفة

• لا يمكن إبطال الشهادات بعد تثبيتها على الجهاز.
• لا تتيح ملفات SCEP الشخصية الاختبارات الديناميكية.
• يمكن أن يتوقف اكتساب ملف SCEP الشخصي بين الوحدات التنظيمية في بعض الحالات. مثلاً، في حال ضبط ملف SCEP شخصي لوحدة تنظيمية وتغيير ملف SCEP شخصي لوحدة تنظيمية فرعية، لا يمكن للوحدة التنظيمية الفرعية اكتسابأي من ملفات SCEP الشخصية للوحدة التنظيمية الأساسية مرة أخرى.
• بالنسبة إلى الأجهزة الجوّالة، لا يمكن تطبيق ملفات SCEP الشخصية على إعدادات الشبكة الافتراضية الخاصة أو شبكة إيثرنت، بل على شبكة Wi-Fi فقط.
• بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، لا يمكن تطبيق ملفات SCEP الشخصية مباشرةً على إعدادات الشبكة الافتراضية الخاصة أو شبكة إيثرنت. لتطبيق ملف SCEP شخصي بشكل غير مباشر على إعدادات الشبكة الافتراضية الخاصة أو شبكة إيثرنت، يمكنك استخدام نمط جهة الإصدار أو نمط الموضوع لاختيار الشهادة التي تريد استخدامها تلقائيًا.
• وبالنسبة إلى مستخدمي الأجهزة التي تعمل بنظام التشغيل Chrome، لا يمكن نشر الشهادات إلا للمستخدمين الذين سجّلوا الدخول إلى جهاز مُدَار. يجب أن ينتمي المستخدم والجهاز إلى النطاق نفسه.

الخطوة 1: تنزيل Google Cloud Certificate Connector

نفّذ الخطوات التالية على خادم SCEP أو جهاز كمبيوتر يعمل بنظام التشغيل Windows باستخدام حساب يمكنه تسجيل الدخول كخدمة على خادم SCEP. واحرص على توفر بيانات اعتماد الحساب.

إذا كانت مؤسستك تشغّل عدة خوادم، يمكنك استخدام وكيل مُوصِّل الشهادات نفسه عليها جميعًا. نزّل ملف التثبيت وملف الإعداد وملف المفتاح وثبتها على جهاز كمبيوتر واحد كما هو موضح في الخطوات التالية. ثم انسخ هذه الملفات الثلاثة إلى جهاز الكمبيوتر الآخر واتبع إرشادات الإعداد على ذلك الكمبيوتر.

ملاحظة: نزّل Google Cloud Certificate Connector ومكوناته مرة واحدة فقط، عند إعداد الشهادات في مؤسستك لأول مرة. ويمكن لشهاداتك وملفاتك الشخصية على SCEP مشاركة مُوصِّل شهادات واحد.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكُّم المشرف"، انتقِل إلى رمز القائمة  الأجهزةالشبكات.
3. انقر على SCEP آمنتنزيل Connector.
4. في قسم Google Cloud Certificate Connector، انقر على تنزيل. يؤدي التنزيل إلى إنشاء مجلد على سطح المكتب يحتوي على مُوصِّل الشهادات. ونقترح عليك تنزيل ملفات إعداد المُوصِّلات الأخرى إلى هذا المجلد.
5. في القسم "تنزيل ملف إعداد المُوصِّل"، انقر على تنزيل. يتم تنزيل الملف config.json.
6. في القسم "الحصول على مفتاح حساب الخدمة"، انقر على إنشاء مفتاح. يتم تنزيل الملف key.json.
7. شغّل أداة تثبيت موصِّل الشهادات.
   1. في معالج التثبيت، انقر على التالي.
   2. اقبل بنود اتفاقية الترخيص وانقر على التالي.
   3. اختَر الحساب الذي تم تثبيت الخدمة له وانقر على التالي. يجب أن يكون للحساب امتيازات تسجيل الدخول كخدمة على خادم SCEP.
   4. اختَر موقع التثبيت. نوصي باستخدام الإعداد التلقائي. انقر على التالي.
   5. أدخل بيانات اعتماد حساب الخدمة، ثم انقر على التالي. يتم تثبيت الخدمة.
   6. انقر على إنهاء لإكمال التثبيت.
8. انقِل ملفي الإعداد والمفتاح (config.json وkey.json) إلى مجلد Google Cloud Certificate Connector الذي تم إنشاؤه أثناء التثبيت: C:\Program Files\Google Cloud Certificate Connector.
9. شغِّل خدمة Google Cloud Certificate Connector:
   1. افتح خدمات Windows.
   2. اختر Google Cloud Certificate Connector في قائمة الخدمات.
   3. انقر على بدء لبدء الخدمة. تأكَّد من أن الحالة تتغير إلى قيد التشغيل. ستتم إعادة تشغيل الخدمة تلقائيًا في حالة إعادة تشغيل الكمبيوتر.

إذا نزِّلت مفتاح حساب خدمة جديدًا في وقت لاحق، أعِد تشغيل الخدمة لتطبيقه.

الخطوة 2: إضافة ملف شخصي في خادم SCEP

يحدد الملف الشخصي في خادم SCEP الشهادة التي تتيح للمستخدمين الدخول إلى شبكة Wi-Fi التابعة لك. ويمكنك تخصيص الملف الشخصي لمستخدمين محددين من خلال إضافته إلى وحدة تنظيمية. كما يُتاح لك إعداد ملفات شخصية متعددة في خادم SCEP لإدارة الوصول حسب الوحدة التنظيمية ونوع الجهاز.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكُّم المشرف"، انتقِل إلى رمز القائمة  الأجهزةالشبكات.
3. انقر على إنشاء ملف SCEP شخصي.
4. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك ملاحظة: ننصحك بإعداد ملف SCEP الشخصي لكل وحدة تنظيمية تريد تطبيق الملف الشخصي عليها بسبب مشكلة معروفة.
5. انقر على إضافة ملف SCEP شخصي آمن.
6. أدخِل تفاصيل الإعداد للملف الشخصي. إذا كان مرجع التصديق يصدر نموذجًا معينًا، طابق تفاصيل الملف الشخصي بالنموذج.
   • اسم ملف SCEP الشخصي - اسم وصفي للملف الشخصي. يُعرَض الاسم في قائمة الملفات الشخصية وفي محدد الملف الشخصي في إعداد شبكة Wi-Fi.
   • تنسيق اسم الموضوع - اختَر كيفية تعريف مالك الشهادة. إذا اخترت الاسم المميز بالكامل، سيكون "الاسم الشائع" للشهادة هو اسم المستخدم للشخص.
   • اسم بديل للموضوع - أدخِل الاسم البديل للموضوع (SAN). القيمة التلقائية هي بدون.

     بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، يمكنك تحديد أسماء بديلة للموضوع بناءً على سمات المستخدم والجهاز. ولاستخدام طلب توقيع شهادة مُخصَّص (CSR)، يمكنك ضبط نموذج الشهادة في مرجع التصديق لتوقُّع شهادة وإنشائها باستخدام قيم الموضوع المُحدَّدة في الطلب نفسه. وعليك توفير قيمة CommonName على الأقل للموضوع.

     يمكنك استخدام العناصر النائبة التالية. وتُعد جميع القيم اختيارية.

     • ${DEVICE_DIRECTORY_ID}: معرّف دليل الجهاز
     • ${USER_EMAIL}: عنوان البريد الإلكتروني التابع للمستخدم الذي سجّل الدخول
     • ${USER_EMAIL_DOMAIN}: اسم نطاق المستخدم الذي سجّل الدخول
     • ${DEVICE_SERIAL_NUMBER}: الرقم التسلسلي للجهاز
     • ${DEVICE_ASSET_ID}: رقم تعريف الأصل الذي منحه المشرف للجهاز
     • ${DEVICE_ANNOTATED_LOCATION}: الموقع الجغرافي الذي حدّده المشرف للجهاز
     • ${USER_EMAIL_NAME}: الجزء الأول (قبل العلامة @) من عنوان البريد الإلكتروني للمستخدم الذي سجّل الدخول

     إذا لم تكن قيمة العنصر النائب متوفّرة، يتم استبدالها بسلسلة فارغة.

   • خوارزمية التوقيع: هي وظيفة التجزئة المستخدَمة لتشفير مفتاح المصادقة. تتوفر SHA256 with RSA فقط.
   • استخدام المفتاح - خيارات تحدد كيفية استخدام المفتاح وترميز المفتاح والتوقيع. ويمكنك اختيار أكثر من إعداد.
   • حجم المفتاح (بوحدة البت): هو حجم مفتاح RSA. بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، اختَر 2048.
   • عنوان URL لخادم SCEP - عنوان URL لخادم SCEP.
   • فترة صلاحية الشهادة (بالسنوات) - المدة التي تظل فيها شهادة الجهاز صالحة. وعليك إدخالها كرقم.
   • التجديد خلال أيام - المدة التي تسبق انتهاء صلاحية شهادة الجهاز ويمكن خلالها محاولة تجديد الشهادة.
   • استخدام المفتاح الموسَّع - كيفية استخدام المفتاح. يمكنك اختيار أكثر من قيمة واحدة.
   • نوع الاختبار - يُستخدَم لإلزام Google بتقديم عبارة اختبار محددة عندما يطلب شهادة من خادم SCEP، اختر ثابت وأدخِل العبارة. إذا اخترت بدون، لا يتطلب الخادم هذا الفحص.
   • اسم النموذج - اسم النموذج الذي يستخدمه خادم NDES.
   • مرجع التصديق - اسم الشهادة التي حمّلتَها لاستخدامها كمرجع تصديق.
   • نوع الشبكة الذي ينطبق عليه هذا الملف الشخصي - نوع الشبكات التي تستخدم ملف SCEP الشخصي.
   • الأنظمة الأساسية التي ينطبق عليها هذا الملف الشخصي - الأنظمة الأساسية للأجهزة التي تستخدم ملف SCEP الشخصي. بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، احرِص على وضع علامة في المربع Chromebook (المستخدم) أو Chromebook (الجهاز) أو كليهما، حسب نوع الشهادة التي تريد نشرها.
7. انقر على حفظ. أو يمكنك النقر على إلغاء الوحدة التنظيمية.

   لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب.

بعد إضافة ملف شخصي، يتم عرضه مع اسمه والأنظمة الأساسية التي تم تفعيله عليها. في عمود النظام الأساسي، يكون الملف الشخصي مفعَّلاً للأنظمة الأساسية ذات الرموز الزرقاء، وغير مفعَّل للأنظمة الأساسية ذات الرموز الرمادية. لتعديل ملف شخصي، أشِر إلى الصف وانقر على رمز التعديل .

يتم توزيع ملف SCEP الشخصي تلقائيًا على المستخدمين في الوحدة التنظيمية.

الخطوة 3: ضبط ملف تخزين المفاتيح في Google Cloud Certificate Connector

في حال كانت الشهادة صادرة من مرجع تصديق موثوق به أو كان عنوان URL لخادم SCEP يبدأ ببروتوكول HTTP، يمكنك تخطي هذه الخطوة.

إذا لم يتم إصدار الشهادة من مرجع تصديق موثوق به، مثل شهادة موقعة ذاتيًا، عليك استيراد الشهادة إلى ملف تخزين المفاتيح في Google Cloud Certificate Connector. وبخلاف ذلك، لا يمكن توفير شهادة الجهاز ولا يمكن للجهاز الاتصال.

1. سجِّل الدخول إلى مرجع التصديق.
2. إذا لم يسبق لك تثبيت لغة البرمجة Java JRE، يمكنك تثبيتها حتى يمكنك استخدام keytool.exe.
3. افتح موجه الأوامر.
4. يمكنك تصدير شهادة CA وتحويلها إلى ملف PEM من خلال تشغيل الأوامر التالية:

   certutil ‑ca.cert C:\root.cer
   certutil ‑encode cacert.cer cacert.pem

5. يمكنك استيراد شهادة CA إلى ملف تخزين المفاتيح. من الدليل الفرعي لمجلد Google Cloud Certificate Connector الذي تم إنشاؤه أثناء التثبيت، عادةً C:\Program Files\Google Cloud Certificate Connector، شغّل الأمر التالي:

   java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

   استبدل java-home-dir بمسار JRE في المجلد Google Cloud Certificate Connector وcert-export-dir بمسار الشهادة التي صدرتها في الخطوة 4.

الخطوة 4: إعداد شبكات Wi-Fi لطلب ملف SCEP الشخصي (اختياري)

بعد أن تتلقى الأجهزة الجوّالة أو الأجهزة التي تعمل بنظام التشغيل Chrome للمستخدم شهادات من خادم SCEP، يمكنك إعداد شبكات Wi-Fi لطلب مصادقة الشهادة.

للتحكُّم في الوصول إلى شبكة Wi-Fi على كل من الأجهزة الجوّالة والأجهزة التي تعمل بنظام التشغيل Chrome، يمكنك إعداد شبكات Wi-Fi منفصلة لكل جهاز. على سبيل المثال، يمكنك إعداد شبكة Wi-Fi واحدة للأجهزة الجوّالة وتخصيص ملف SCEP شخصي للأجهزة الجوّالة لها، وإعداد شبكة Wi-Fi أخرى للأجهزة التي تعمل بنظام التشغيل Chrome، وتخصيص ملف SCEP شخصي للأجهزة التي تعمل بنظام التشغيل Chrome.

لاختيار الشهادة وتطبيق ملف SCEP الشخصي على شبكة Wi-Fi:

1. أضِف إعداد Wi-Fi أو عدِّل إعدادًا حاليًا.
2. في القسم وصول النظام الأساسي، ضع علامة في المربع Android أو iOS أو كليهما.
3. في قسم التفاصيل، اضبط ما يلي:
   1. بالنسبة إلى إعدادات الأمان، اختر WPA/WPA2 Enterprise (802.1 X) أو Dynamic WEP (802.1 X).
   2. بالنسبة إلى بروتوكول المصادقة الموسعة، اختر EAP-TLS أو EAP-TTLS.
   3. بالنسبة إلى ملف SCEP الشخصي، اختر ملف SCEP الشخصي الذي تريد تطبيقه على هذه الشبكة.
4. انقر على حفظ.

عندما يحاول المستخدمون الآن الاتصال بشبكة Wi-Fi لأول مرة، من المفترض أن توفر أجهزتهم الشهادة.

• بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Android ونظام التشغيل Chrome، يتم تلقائيًا ملء الشهادة المتوافقة مع ملف SPEP الشخصي والشبكة، ثم ينقر المستخدم على اتصال.
• بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل iOS، على المستخدم اختيار الشهادة المراد استخدامها، ثم النقر على اتصال.

آلية عمل مصادقة الشهادات عبر Google Cloud Certificate Connector

Google Cloud Certificate Connector هي إحدى خدمات Windows التي تنشئ اتصالاً حصريًا بين خادم SCEP وGoogle. يتم تكوين موصِّل الشهادات وتأمينه من خلال ملف إعداد وملف مفتاح، وكلاهما مخصص لمؤسستك فقط.

يمكنك تخصيص شهادات الأجهزة للأجهزة والمستخدمين الذين لديهم ملفات SCEP شخصية. لتخصيص ملف شخصي، يمكنك اختيار وحدة تنظيمية وإضافة الملف الشخصي إلى تلك الوحدة التنظيمية. يتضمن الملف الشخصي مرجع التصديق الذي يُصدر شهادات الأجهزة. عندما يسجِّل مستخدم جهازه الجوَّال أو جهازه الذي يعمل بنظام التشغيل Chrome للإدارة، تسترجع إدارة نقاط النهاية في Google ملف SCEP الشخصي للمستخدم وتثبِّت الشهادة على الجهاز. بالنسبة إلى الأجهزة التي تعمل بنظام التشغيل Chrome، يتم تثبيت شهادة الجهاز قبل تسجيل المستخدم الدخول، في حين يتم تثبيت شهادة المستخدم بعد تسجيل المستخدم الدخول. إذا كان الجهاز مسجّلاً من قبل، يتم تثبيت الشهادة في إطار دورة مزامنة منتظمة.

عندما يحاول مستخدم الاتصال بشبكتك، يُطلب منه تقديم الشهادة. على أجهزة Android، يتم اختيار الشهادة تلقائيًا وينقر المستخدم على اتصال. على أجهزة iOS، يجب أن يختار المستخدم الشهادة يدويًا ثم يتصل بعد ذلك. يمكن للجهاز الوصول إلى شبكة مؤسستك باستخدام مفتاح تفاوضت عليه Google عبر موصِّل الشهادات. تخزِّن Google المفتاح مؤقتًا أثناء تفاوض الأمان، ولكنها تحذف المفتاح بعد تثبيته على الجهاز (أو بعد 24 ساعة).