Notifikasi

Duet AI kini menjadi Gemini untuk Google Workspace. Pelajari lebih lanjut

Menyiapkan sertifikat untuk perangkat seluler dan Chrome OS terkelola

Perangkat seluler: Edisi yang didukung untuk fitur ini: Frontline Standard; Enterprise Standard dan Enterprise Plus; Education Standard, Education Plus, dan Endpoint Education Upgrade; Cloud Identity Premium. Bandingkan edisi

Perangkat Chrome OS: Chrome Enterprise diperlukan untuk sertifikat berbasis perangkat.

Anda dapat mengontrol akses pengguna ke jaringan Wi-Fi organisasi, aplikasi internal, dan situs internal di perangkat seluler dan Chrome OS dengan mendistribusikan sertifikat dari Certificate Authority (CA) lokal. Google Cloud Certificate Connector adalah layanan Windows yang mendistribusikan sertifikat dan kunci autentikasi dengan aman dari server Simple Certificate Enrollment Protocol (SCEP) ke perangkat seluler dan Chrome OS pengguna. Pelajari lebih lanjut

Untuk perangkat Chrome OS, Anda dapat menyiapkan sertifikat berbasis pengguna atau berbasis perangkat. Sertifikat pengguna ditambahkan ke perangkat untuk pengguna tertentu dan dapat diakses oleh pengguna tertentu tersebut. Sertifikat perangkat ditetapkan berdasarkan perangkat dan dapat diakses oleh pengguna yang login ke perangkat. Untuk mengetahui detailnya, lihat Mengelola sertifikat klien pada perangkat Chrome.

Jika ingin mengontrol akses jaringan Wi-Fi untuk perangkat seluler dan Chrome OS, Anda harus menyiapkan profil SCEP dan jaringan Wi-Fi yang terpisah karena perangkat seluler dan perangkat Chrome OS mendukung jenis kunci RSA yang berbeda.

Catatan tentang penyimpanan kunci:

  • Untuk perangkat seluler, kunci pribadi untuk sertifikat dibuat di server Google. Kunci dihapus dari server Google setelah sertifikat diinstal di perangkat atau setelah 24 jam, tergantung mana yang lebih dulu.
  • Untuk perangkat Chrome OS, kunci pribadi untuk sertifikat akan dibuat di perangkat Chrome. Kunci publik yang sesuai disimpan sementara di server Google dan dihapus permanen setelah sertifikat diinstal.

Persyaratan sistem

  • Organisasi Anda menggunakan Microsoft Active Directory Certificate Service untuk server SCEP dan Microsoft Network Device Enrollment Service (NDES) untuk mendistribusikan sertifikat.
  • Perangkat seluler: Perangkat iOS dan Android pada bagian pengelolaan seluler lanjutan. Pelajari persyaratan perangkat lebih lanjut.
  • Perangkat Chrome OS
    • Sertifikat perangkat: Chrome OS versi 89 atau yang lebih baru dan dikelola dengan Chrome Enterprise
    • Sertifikat pengguna: Chrome OS versi 86 atau yang lebih baru. Catatan: Untuk versi yang lebih lama dari 87, pengguna harus memulai ulang perangkat atau menunggu beberapa jam agar sertifikat pengguna di-deploy.

Sebelum memulai

  • Jika memerlukan nama Subjek sertifikat untuk menggunakan nama pengguna Active Directory, Anda harus menyinkronkan Active Directory dan Google Directory dengan Google Cloud Directory Sync (GCDS). Jika perlu, siapkan GCDS.
  • Jika Anda belum mengupload Sertifikat CA di konsol Google Admin, tambahkan sertifikat.
  • Tinjau masalah umum untuk menghindari perilaku tidak terduga.

Masalah umum

  • Sertifikat tidak dapat dicabut setelah diinstal di perangkat.
  • Profil SCEP tidak mendukung verifikasi dinamis.
  • Dalam kasus tertentu, pewarisan profil SCEP di antara unit organisasi dapat dikelompokkan. Misalnya, jika Anda menetapkan profil SCEP untuk unit organisasi dan mengubah profil SCEP unit organisasi, tidak ada profil SCEP unit organisasi induk yang dapat diwariskan oleh unit organisasi turunan lagi.
  • Untuk perangkat seluler, profil SCEP tidak dapat diterapkan untuk konfigurasi VPN atau Ethernet, hanya Wi-Fi.
  • Untuk perangkat Chrome OS, profil SCEP tidak dapat diterapkan langsung ke konfigurasi VPN atau Ethernet. Untuk menerapkan profil SCEP ke VPN atau konfigurasi ethernet secara tidak langsung, gunakan penerbit atau pola subjek untuk otomatis memilih sertifikat yang akan digunakan.
  • Untuk pengguna perangkat Chrome OS, sertifikat hanya dapat di-deploy untuk pengguna yang login ke perangkat terkelola. Pengguna dan perangkat harus berasal dari domain yang sama.

Langkah 1: Download Google Cloud Certificate Connector

Lakukan langkah-langkah berikut di server SCEP atau komputer Windows dengan akun yang dapat login sebagai layanan di server SCEP. Sediakan kredensial akun.

Jika organisasi Anda memiliki beberapa server, Anda dapat menggunakan agen konektor sertifikat yang sama di semua server. Download dan instal file penginstalan, file konfigurasi, dan file kunci di satu komputer seperti yang dijelaskan pada langkah-langkah berikut. Kemudian, salin ketiga file tersebut ke komputer lain dan ikuti petunjuk penyiapan di komputer.

Catatan: Anda hanya perlu mendownload Google Cloud Certificate Connector beserta komponennya sekali saja, saat pertama kali menyiapkan sertifikat untuk organisasi Anda. Sertifikat dan profil SCEP dapat berbagi satu konektor sertifikat.

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluJaringan.
  3. Klik SCEP AmanlaluDownload Konektor.
  4. Di bagian Google Cloud Certificate Connector, klik Download. Download akan membuat folder di desktop yang berisi konektor sertifikat. Sebaiknya Anda mendownload file konfigurasi konektor lainnya ke folder ini.
  5. Di bagian Download file konfigurasi konektor, klik Download. File config.json akan didownload.
  6. Di bagian Dapatkan kunci akun layanan, klik Buat kunci. File key.json akan didownload.
  7. Jalankan penginstal konektor sertifikat.
    1. Di wizard penginstalan, klik Berikutnya.
    2. Setujui persyaratan perjanjian lisensi, lalu klik Berikutnya.
    3. Pilih akun tempat layanan ingin diinstal, lalu klik Berikutnya. Akun harus memiliki hak istimewa untuk login sebagai layanan di server SCEP.
    4. Pilih lokasi penginstalan. Sebaiknya Anda menggunakan setelan default. Klik Berikutnya.
    5. Masukkan kredensial akun layanan, lalu klik Berikutnya. Layanan diinstal.
    6. Klik Selesai untuk menyelesaikan penginstalan.
  8. Pindahkan file konfigurasi dan kunci (config.json dan key.json) ke folder Google Cloud Certificate Connector yang dibuat selama penginstalan, biasanya: C:\Program Files\Google Cloud Certificate Connector.
  9. Luncurkan layanan Google Cloud Certificate Connector:
    1. Buka Windows Services.
    2. Pilih Google Cloud Certificate Connector di daftar layanan.
    3. Klik Start untuk memulai layanan. Pastikan statusnya berubah menjadi Running. Layanan akan dimulai ulang secara otomatis jika komputer di-reboot.

Jika Anda mendownload kunci akun layanan baru di lain waktu, mulai ulang layanan untuk menerapkannya.

Langkah 2: Tambahkan profil SCEP

Profil SCEP menentukan sertifikat yang memungkinkan pengguna mengakses jaringan Wi-Fi Anda. Anda dapat menetapkan profil untuk pengguna tertentu dengan menambahkannya ke unit organisasi. Anda dapat menyiapkan beberapa profil SCEP untuk mengelola akses menurut unit organisasi atau jenis perangkat.

Sebelum memulai: Untuk menerapkan setelan bagi pengguna tertentu, masukkan akun mereka di unit organisasi.
  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluJaringan.
  3. Klik Buat Profil SCEP.
  4. Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan. Catatan: Karena masalah umum, sebaiknya tetapkan profil SCEP untuk masing-masing unit organisasi yang ingin diterapkan profil tersebut.
  5. Klik Tambahkan Profil SCEP Aman.
  6. Masukkan detail konfigurasi untuk profil. Jika CA Anda menerbitkan template tertentu, cocokkan detail profil dengan template.
    • Nama profil SCEP—Nama deskriptif untuk profil. Nama ini ditampilkan dalam daftar profil dan di pemilih profil pada konfigurasi jaringan Wi-Fi.
    • Format nama subjek—Pilih cara Anda ingin mengidentifikasi pemilik sertifikat. Jika Anda memilih Nama yang Benar-Benar Berbeda, Nama Umum sertifikat akan berupa nama pengguna milik pengguna.
    • Nama alternatif subjek—Masukkan SAN. Setelan default-nya Tidak ada.

      Untuk perangkat Chrome OS, Anda dapat menentukan nama alternatif subjek berdasarkan atribut pengguna dan perangkat. Untuk menggunakan permintaan penandatanganan sertifikat kustom (CSR), konfigurasikan template sertifikat pada CA untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk CommonName subjek.

      Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional.

      • ${DEVICE_DIRECTORY_ID}—ID direktori perangkat
      • ${USER_EMAIL}—Alamat email pengguna yang login
      • ${USER_EMAIL_DOMAIN}—Nama domain pengguna yang login
      • ${DEVICE_SERIAL_NUMBER}—Nomor seri perangkat
      • ${DEVICE_ASSET_ID}—ID aset yang ditetapkan ke perangkat oleh administrator
      • ${DEVICE_ANNOTATED_LOCATION}—Lokasi yang ditetapkan ke perangkat oleh administrator
      • ${USER_EMAIL_NAME}—Bagian awal alamat email pengguna yang login (sebelum tanda @)

      Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong.

    • Algoritme penandatanganan—Fungsi hash yang digunakan untuk mengenkripsi kunci autentikasi. Hanya SHA256 dengan RSA yang tersedia.
    • Penggunaan kunci—Opsi tentang cara menggunakan kunci, enkripsi, dan penandatanganan kunci. Anda dapat memilih lebih dari satu.
    • Ukuran kunci (bit)—Ukuran kunci RSA. Untuk perangkat Chrome OS, pilih 2048.
    • URL server SCEP—URL server SCEP.
    • Periode validitas sertifikat (tahun) —Berapa lama sertifikat perangkat berlaku. Masukkan sebagai nomor.
    • Perpanjang dalam hari—Durasi sebelum masa berlaku sertifikat perangkat berakhir untuk mencoba memperpanjang sertifikat.
    • Penggunaan kunci yang diperpanjang—Cara kunci digunakan. Anda dapat memilih lebih dari satu nilai.
    • Jenis verifikasi—Untuk mewajibkan Google memberikan frasa verifikasi tertentu saat Google meminta sertifikat dari server SCEP, pilih Statis dan masukkan frasa tersebut. Jika Anda memilih Tidak ada, server tidak mewajibkan pemeriksaan ini.
    • Nama template—Nama template yang digunakan oleh server NDES.
    • Certificate Authority—Nama sertifikat yang Anda upload untuk digunakan sebagai Certificate Authority.
    • Jenis jaringan tempat profil ini diterapkan—Jenis jaringan yang menggunakan profil SCEP.
    • Platform tempat profil ini diterapkan—Platform perangkat yang menggunakan profil SCEP. Untuk perangkat Chrome OS, pastikan untuk mencentang Chromebook (pengguna), Chromebook (perangkat), atau keduanya, bergantung pada jenis sertifikat yang ingin di-deploy.
  7. Klik Simpan. Jika mengonfigurasi unit organisasi turunan, Anda mungkin dapat Mewarisi atau Mengganti setelan unit organisasi induk.

Setelah Anda menambahkan profil, profil tersebut akan dicantumkan dengan namanya beserta platform tempat profil diaktifkan. Di kolom Platform, profil diaktifkan untuk platform dengan ikon berwarna biru dan dinonaktifkan untuk platform dengan ikon berwarna abu-abu. Untuk mengedit profil, arahkan kursor ke baris, lalu klik Edit.

Profil SCEP otomatis didistribusikan ke pengguna di unit organisasi.

Langkah 3: Konfigurasikan keystore Google Cloud Certificate Connector

Jika sertifikat Anda diterbitkan oleh CA tepercaya atau URL server SCEP dimulai dengan HTTP, lewati langkah ini.

Jika sertifikat Anda tidak dikeluarkan oleh CA tepercaya, seperti sertifikat yang ditandatangani sendiri, Anda perlu mengimpor sertifikat ke keystore Google Cloud Certificate Connector. Jika tidak, sertifikat perangkat tidak dapat disediakan dan perangkat tidak dapat terhubung.

  1. Login ke CA.
  2. Jika belum, instal Java JRE agar Anda bisa menggunakan keytool.exe.
  3. Buka baris perintah.
  4. Ekspor sertifikat CA Anda dan konversikan ke file PEM dengan menjalankan perintah berikut: 
    certutil ‑ca.cert C:\root.cer
certutil ‑encode cacert.cer cacert.pem
  5. Impor sertifikat CA ke keystore. Dari subdirektori folder Google Cloud Certificate Connector yang dibuat selama penginstalan, biasanya C:\Program Files\Google Cloud Certificate Connector, jalankan perintah berikut:

    java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

    Ganti java-home-dir dengan jalur ke JRE dalam folder Google Cloud Certificate Connector, dan cert-export-dir dengan jalur ke sertifikat yang Anda ekspor di langkah 4.

Langkah 4: Konfigurasikan jaringan Wi-Fi untuk mewajibkan profil SCEP (Opsional)

Setelah perangkat seluler atau Chrome OS pengguna menerima sertifikat dari server SCEP, Anda dapat mengonfigurasi jaringan Wi-Fi untuk mewajibkan autentikasi sertifikat.

Untuk mengontrol akses jaringan Wi-Fi bagi perangkat seluler dan Chrome OS, siapkan jaringan Wi-Fi terpisah untuk masing-masing perangkat. Misalnya, siapkan satu jaringan Wi-Fi untuk perangkat seluler dan tetapkan profil SCEP untuk perangkat seluler ke jaringan tersebut, lalu siapkan jaringan Wi-Fi lainnya untuk perangkat Chrome OS dan tetapkan profil SCEP untuk perangkat Chrome OS.

Untuk memilih sertifikat dan menerapkan profil SCEP ke jaringan Wi-Fi:

  1. Tambahkan konfigurasi Wi-Fi atau edit konfigurasi yang sudah ada.
  2. Di bagian Akses platform, centang kotak untuk Android atau iOS, atau keduanya.
  3. Di bagian Detail, setel opsi berikut:
    1. Untuk Setelan keamanan, pilih WPA/WPA2 Enterprise (802.1 X) atau Dynamic WEP (802.1 X).
    2. Untuk Protokol Autentikasi yang Dapat Diperpanjang, pilih EAP-TLS atau EAP-TTLS.
    3. Untuk Profil SCEP, pilih profil SCEP yang ingin diterapkan untuk jaringan ini.
  4. Klik Simpan.

Sekarang, saat pengguna pertama kali mencoba terhubung ke jaringan Wi-Fi, perangkat mereka harus memberikan sertifikat.

  • Untuk perangkat Android dan Chrome OS, sertifikat yang sesuai dengan profil SCEP dan jaringan mereka akan terisi otomatis, dan pengguna mengklik Hubungkan.
  • Untuk perangkat iOS, pengguna harus memilih sertifikat yang akan digunakan dan mengklik Hubungkan.

Cara kerja autentikasi sertifikat melalui Google Cloud Certificate Connector

Google Cloud Certificate Connector adalah layanan Windows yang menentukan sambungan khusus antara server SCEP dan Google. Konektor sertifikat dikonfigurasi dan diamankan oleh file konfigurasi dan file kunci, keduanya dikhususkan untuk organisasi Anda.

Anda menetapkan sertifikat perangkat untuk perangkat dan pengguna yang memiliki Profil SCEP. Untuk menetapkan profil, Anda perlu memilih unit organisasi dan menambahkan profil ke unit organisasi tersebut. Profil mencakup Certificate Authority yang menerbitkan sertifikat perangkat. Saat pengguna mendaftarkan perangkat seluler atau Chrome OS mereka untuk dikelola, pengelolaan endpoint Google akan mengambil profil SCEP pengguna dan menginstal sertifikat di perangkat. Untuk perangkat Chrome OS, sertifikat perangkat diinstal sebelum pengguna login, sedangkan sertifikat pengguna diinstal setelah pengguna login. Jika perangkat sudah didaftarkan, sertifikat akan diinstal sebagai bagian dari siklus sinkronisasi reguler.

Saat pengguna mencoba terhubung ke jaringan Anda, mereka akan diminta untuk memberikan sertifikat. Di perangkat Android, sertifikat dipilih secara otomatis dan pengguna mengklik Hubungkan. Di perangkat iOS, pengguna harus memilih sertifikat secara manual, lalu menghubungkan. Perangkat mengakses jaringan organisasi Anda menggunakan kunci yang dinegosiasikan oleh Google melalui konektor sertifikat. Google menyimpan kunci untuk sementara selama negosiasi keamanan, tetapi menghapus kunci setelah diinstal di perangkat (atau setelah 24 jam).


Google, Google Workspace, serta merek dan logo yang terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan yang terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
Hubungi kami Beri tahu kami selengkapnya dan kami akan membantu Anda
true
Mulailah uji coba gratis 14 hari Anda

Email profesional, penyimpanan online, kalender bersama, rapat video, dan lainnya. Mulailah uji coba gratis G Suite sekarang.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
6020941937654935361
true
Pusat Bantuan Penelusuran
true
true
true
true
true
73010
false
false