Powiadomienie

Duet AI to teraz Gemini w Google Workspace. Więcej informacji

Konfigurowanie certyfikatów dla zarządzanych urządzeń mobilnych i urządzeń z Chrome OS

Urządzenia mobilne:Ta funkcja jest dostępna w tych wersjach: Frontline Standard; Enterprise Standard i Enterprise Plus; Education Standard, Education Plus i Endpoint Education Upgrade; Cloud Identity Premium. Porównanie wersji

Urządzenia z Chrome OS: tylko Chrome Enterprise pozwala skonfigurować certyfikaty dla takich urządzeń..

Możesz kontrolować dostęp użytkowników do sieci Wi-Fi, wewnętrznych aplikacji i wewnętrznych witryn Twojej organizacji na urządzeniach mobilnych i urządzeniach z Chrome OS, rozpowszechniając certyfikaty z lokalnego urzędu certyfikacji. Google Cloud Certificate Connector (oprogramowanie sprzęgające certyfikaty) to usługa systemu Windows, która bezpiecznie rozpowszechnia certyfikaty i klucze uwierzytelniające z serwera Simple Certificate Enrollment Protocol (SCEP) na urządzeniach mobilnych i urządzeniach z Chrome OS użytkowników. Więcej informacji

W przypadku urządzeń z Chrome OS możesz skonfigurować certyfikaty użytkownika lub urządzenia. Certyfikat użytkownika jest dodawany do urządzenia dla określonego użytkownika. Tylko on ma do niego dostęp. Certyfikat urządzenia jest przypisywany do urządzenia. Każdy zalogowany na tym urządzeniu użytkownik ma do niego dostęp. Więcej informacji znajdziesz w artykule Zarządzanie certyfikatami klienta na urządzeniach z Chrome.

Jeśli chcesz kontrolować dostęp do sieci Wi-Fi zarówno na urządzeniach mobilnych, jak i na urządzeniach z Chrome OS, musisz skonfigurować oddzielne profile SCEP i sieci Wi-Fi, ponieważ urządzenia mobilne i urządzenia z Chrome OS obsługują różne typy kluczy RSA.

Uwagi na temat przechowywania kluczy:

  • W przypadku urządzeń mobilnych klucze prywatne certyfikatów są generowane na serwerach Google. Klucze są usuwane z serwerów Google po zainstalowaniu certyfikatu na urządzeniu lub po 24 godzinach, w zależności od tego, co nastąpi wcześniej.
  • W przypadku urządzeń z Chrome OS klucze prywatne certyfikatów są generowane na urządzeniach. Odpowiedni klucz publiczny jest tymczasowo przechowywany na serwerach Google i usuwany po zainstalowaniu certyfikatu.

Wymagania systemowe

  • W celu rozpowszechniania certyfikatów Twoja organizacja korzysta z usługi certyfikatów Microsoft Active Directory dla serwera SCEP i usługi rejestracji urządzeń sieciowych (NDES) firmy Microsoft.
  • Urządzenia mobilne: urządzenia z iOS i Androidem objęte zaawansowanymi funkcjami zarządzania urządzeniami mobilnymi. Dowiedz się więcej o wymaganiach dotyczących urządzeń.
  • Urządzenia z Chrome OS:
    • Certyfikaty urządzenia: Chrome OS w wersji 89 lub nowszej, zarządzane w Chrome Enterprise
    • Certyfikaty użytkownika: Chrome OS w wersji 86 lub nowszej. Uwaga: w przypadku wersji starszych niż 87 użytkownicy muszą ponownie uruchomić urządzenie lub poczekać kilka godzin na wdrożenie certyfikatu.

Zanim zaczniesz

  • Jeśli chcesz, żeby nazwa podmiotu certyfikatu zawierała nazwy użytkowników Active Directory, musisz zsynchronizować Active Directory i Katalog Google przy użyciu Google Cloud Directory Sync (GCDS). W razie potrzeby skonfiguruj GCDS.
  • Jeśli certyfikat CA nie został jeszcze przesłany w konsoli administracyjnej Google, dodaj certyfikat.
  • Zapoznaj się ze znanymi problemami, aby uniknąć nieoczekiwanego działania.

Znane problemy

  • Certyfikatów nie można unieważnić po ich zainstalowaniu na urządzeniach.
  • Profile SCEP nie obsługują dynamicznych testów zabezpieczających logowanie.
  • Dziedziczenie profilu SCEP między jednostkami organizacyjnymi może czasem przestać działać. Jeśli na przykład skonfigurujesz profil SCEP dla jednostki organizacyjnej i zmienisz profil SCEP podrzędnej jednostki organizacyjnej, żadne profile SCEP nadrzędnej jednostki podrzędnej nie będą mogły być dziedziczone przez podrzędną jednostkę organizacyjną.
  • W przypadku urządzeń mobilnych profili SCEP nie można stosować do konfiguracji sieci VPN ani Ethernet – tylko do Wi-Fi.
  • W przypadku urządzeń z Chrome OS profili SCEP nie można stosować bezpośrednio do konfiguracji VPN ani Ethernet. Aby pośrednio zastosować profil SCEP do konfiguracji VPN lub Ethernet, skorzystaj z wzorców wydawców lub podmiotów, aby automatycznie wybrać certyfikat do użycia.
  • W przypadku urządzeń z Chrome OS certyfikaty mogą być wdrażane tylko dla użytkowników zalogowanych na urządzeniach zarządzanych. Użytkownik i urządzenie muszą być w tej samej domenie.

Krok 1. Pobierz Google Cloud Certificate Connector

Wykonaj następujące czynności na serwerze SCEP lub na komputerze z systemem Windows z użyciem konta, na którym można zalogować się jako usługa na serwerze SCEP. Przygotuj dane logowania do konta.

Jeśli Twoja organizacja ma kilka serwerów, możesz używać na wszystkich tego samego agenta oprogramowania sprzęgającego certyfikaty. Pobierz i zainstaluj plik instalacyjny, plik konfiguracji i plik klucza na jednym komputerze zgodnie z poniższą procedurą. Następnie skopiuj te 3 pliki na inny komputer i postępuj zgodnie z instrukcjami konfiguracji na tym komputerze.

Uwaga: oprogramowanie Google Cloud Certificate Connector i jego komponenty pobiera się tylko raz podczas pierwszego konfigurowania certyfikatów w organizacji. Certyfikaty i profile SCEP mogą używać jednego oprogramowania sprzęgającego certyfikaty.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Urządzenia a potem Sieci.
  3. Kliknij Bezpieczne profile SCEP a potemPobierz oprogramowanie sprzęgające.
  4. W sekcji Google Cloud Certificate Connector kliknij Pobierz. Na komputerze zostanie utworzony folder zawierający oprogramowanie sprzęgające certyfikaty. Zalecamy pobranie do tego folderu innych plików konfiguracji oprogramowania sprzęgającego.
  5. W sekcji Pobierz plik konfiguracji oprogramowania sprzęgającego kliknij Pobierz. Zostanie pobrany plik config.json.
  6. W sekcji Pobierz klucz do konta usługi kliknij Wygeneruj klucz. Zostanie pobrany plik key.json.
  7. Uruchom instalator oprogramowania sprzęgającego certyfikaty.
    1. W kreatorze instalacji kliknij Dalej.
    2. Zaakceptuj warunki umowy licencyjnej i kliknij Dalej.
    3. Wybierz konto, na którym jest instalowana usługa, i kliknij Dalej. Konto musi mieć uprawnienia do logowania się jako usługa na serwerze SCEP.
    4. Wybierz lokalizację instalacji. Zalecamy użycie ustawienia domyślnego. Kliknij Dalej.
    5. Wpisz dane logowania do konta usługi i kliknij Dalej. Usługa zostanie zainstalowana.
    6. Kliknij Zakończ, by zakończyć instalację.
  8. Przenieś pliki konfiguracji i klucza (config.jsonkey.json) do folderu Google Cloud Certificate Connector utworzonego podczas instalacji. Zazwyczaj jest to folder C:\Program Files\Google Cloud Certificate Connector.
  9. Uruchom usługę Google Cloud Certificate Connector:
    1. Otwórz Usługi systemu Windows.
    2. Z listy usług wybierz Google Cloud Certificate Connector.
    3. Kliknij Uruchom, aby uruchomić usługę. Upewnij się, że status zmieni się na Uruchomiono. Usługa automatycznie uruchomi się jeszcze raz po ponownym uruchomieniu komputera.

Jeśli później pobierzesz nowy klucz konta usługi, ponownie uruchom usługę, aby go zastosować.

Krok 2. Dodaj profil SCEP

Profil SCEP definiuje certyfikat, który umożliwia użytkownikom dostęp do sieci Wi-Fi. Profil przypisujesz określonym użytkownikom, dodając go do jednostki organizacyjnej. Możesz skonfigurować kilka profili SCEP do zarządzania dostępem według jednostki organizacyjnej i typu urządzenia.

Zanim zaczniesz: aby zastosować ustawienie do określonych użytkowników, dodaj ich konta do jednostki organizacyjnej.
  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Urządzenia a potem Sieci.
  3. Kliknij Utwórz Profil SCEP.
  4. Aby zastosować to ustawienie do wszystkich użytkowników, pozostaw wybraną jednostkę organizacyjną najwyższego poziomu. W przeciwnym razie wybierz podrzędną jednostkę organizacyjnąUwaga: zalecamy ustawienie profilu SCEP oddzielnie dla każdej jednostki organizacyjnej, do której chcesz go zastosować, ze względu na znany problem.
  5. Kliknij Dodaj bezpieczny profil SCEP.
  6. Wpisz szczegóły konfiguracji profilu. Jeśli urząd certyfikacji wystawi konkretny szablon, dopasuj do niego szczegóły profilu.
    • Nazwa profilu SCEP – opisowa nazwa profilu. Nazwa jest wyświetlana na liście profili i w sekcji wyboru profilu w konfiguracji sieci Wi-Fi.
    • Format nazwy podmiotu – wybierz, jak chcesz identyfikować właściciela certyfikatu. Jeśli wybierzesz Pełna nazwa wyróżniająca, nazwa domeny w certyfikacie (wspólna nazwa) będzie nazwą użytkownika.
    • Alternatywna nazwa podmiotu – podaj alternatywną nazwę podmiotu. Wartość domyślna to Brak.

      W przypadku urządzeń z Chrome OS możesz zdefiniować alternatywne nazwy podmiotu określane na podstawie atrybutów użytkownika i urządzenia. Aby użyć niestandardowego żądania podpisania certyfikatu, w urzędzie certyfikacji musisz też skonfigurować szablon certyfikatu, który obsługuje określone wartości podmiotu i pozwala wygenerować na ich podstawie certyfikat. Wymagane jest podanie wartości CommonName podmiotu.

      Obsługiwane są wartości zastępcze opisane poniżej. Wszystkie wartości są opcjonalne.

      • ${DEVICE_DIRECTORY_ID} – identyfikator katalogu urządzenia,
      • ${USER_EMAIL} – adres e-mail zalogowanego użytkownika,
      • ${USER_EMAIL_DOMAIN} – nazwa domeny zalogowanego użytkownika,
      • ${DEVICE_SERIAL_NUMBER} – numer seryjny urządzenia,
      • ${DEVICE_ASSET_ID} – identyfikator zasobu przypisany do urządzenia przez administratora,
      • ${DEVICE_ANNOTATED_LOCATION} – lokalizacja urządzenia przypisana przez administratora,
      • ${USER_EMAIL_NAME} – pierwsza część adresu e-mail zalogowanego użytkownika (przed „@”).

      Jeśli wartość zastępcza nie jest dostępna, zastępuje ją pusty ciąg.

    • Algorytm podpisywania – funkcja haszująca używana do szyfrowania klucza autoryzacji. Dostępna jest tylko funkcja SHA256 z kluczem RSA.
    • Użycie klucza – opcje użycia klucza, szyfrowania i podpisywania klucza. Możesz wybrać więcej niż jedno ustawienie.
    • Rozmiar klucza (w bitach) – rozmiar klucza RSA. W przypadku urządzeń z Chrome OS wybierz 2048.
    • URL serwera SCEP – URL serwera SCEP.
    • Okres ważności certyfikatu (w latach) – jak długo certyfikat urządzenia jest ważny. Wpisz liczbę.
    • Odnów przed wygaśnięciem (w dniach) – ile czasu przed wygaśnięciem certyfikatu urządzenia podjąć próbę odnowienia certyfikatu.
    • Rozszerzone użycie klucza – sposób użycia klucza. Możesz wybrać więcej niż jedną wartość.
    • Sposób weryfikacji tożsamości – aby wymagać od Google podania określonej frazy zabezpieczającej logowanie w przypadku żądania certyfikatu z serwera SCEP, wybierz Statyczny i wpisz frazę. Jeśli wybierzesz opcję Brak, serwer nie będzie wymagać tego sprawdzenia.
    • Nazwa szablonu – nazwa szablonu używanego przez serwer NDES.
    • Urząd certyfikacji – nazwa certyfikatu przesłanego do użycia jako urząd certyfikacji.
    • Typ sieci, do której profil ma zastosowanie – typ sieci używających tego profilu SCEP.
    • Platformy, do których ten profil ma zastosowanie – platformy urządzeń, które używają tego profilu SCEP. W przypadku urządzeń z Chrome OS zaznacz opcję Chromebook (użytkownik), Chromebook (urządzenie) lub oba te typy, w zależności od typu certyfikatu, który chcesz wdrożyć.
  7. Kliknij Zapisz. Jeśli została skonfigurowana podrzędna jednostka organizacyjna, może pojawić się opcja Odziedzicz lub Zastąp dotycząca ustawień nadrzędnej jednostki organizacyjnej.

Po dodaniu profilu jest on wyświetlany wraz z nazwą i platformami, dla których jest włączony. W kolumnie Platforma zobaczysz, że profil jest włączony dla platform z niebieskimi ikonami i wyłączony dla platform z szarymi ikonami. Aby edytować profil, wskaż wiersz i kliknij Edytuj .

Profil SCEP jest automatycznie rozpowszechniany do użytkowników w jednostce organizacyjnej.

Krok 3. Skonfiguruj magazyn kluczy Google Cloud Certificate Connector

Pomiń ten krok, jeśli certyfikat jest wydany przez zaufany urząd certyfikacji lub jeśli adres URL serwera SCEP zaczyna się od HTTP.

Jeśli certyfikat nie został wydany przez zaufany urząd certyfikacji, np. jest to certyfikat podpisany samodzielnie, musisz zaimportować go do magazynu kluczy Google Cloud Certificate Connector. W przeciwnym razie certyfikat urządzenia nie może być udostępniony, a urządzenie nie może się połączyć.

  1. Zaloguj się w urzędzie certyfikacji.
  2. Jeśli nie masz jeszcze zainstalowanego środowiska Java JRE, zainstaluj je, aby korzystać z keytool.exe.
  3. Otwórz wiersz polecenia.
  4. Wyeksportuj certyfikat CA i przekonwertuj go na plik PEM przy użyciu tych poleceń: 
    certutil ‑ca.cert C:\root.cer
certutil ‑encode cacert.cer cacert.pem
  5. Zaimportuj certyfikat CA do magazynu kluczy. Z poziomu podkatalogu folderu Google Cloud Certificate Connector utworzonego podczas instalacji (zwykle jest to C:\Program Files\Google Cloud Certificate Connector), użyj tego polecenia:

    java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

    Zastąpjava-home-dir ścieżką do środowiska JRE w folderze Google Cloud Certificate Connector, a cert-export-dir ścieżką do certyfikatu wyeksportowanego w kroku 4.

Krok 4. Skonfiguruj sieci Wi-Fi, aby wymagały profilu SCEP (opcjonalnie)

Gdy urządzenia mobilne lub urządzenia z Chrome OS użytkownika otrzymają certyfikaty z serwera SCEP, możesz skonfigurować sieci Wi-Fi tak, aby wymagały uwierzytelniania za pomocą certyfikatów.

Aby kontrolować dostęp do sieci Wi-Fi zarówno na urządzeniach mobilnych, jak i na urządzeniach z Chrome OS, skonfiguruj oddzielne sieci Wi-Fi dla obu typów urządzeń. Na przykład skonfiguruj jedną sieć Wi-Fi dla urządzeń mobilnych i przypisz do niej profil SCEP dla urządzeń mobilnych, a następnie skonfiguruj inną sieć Wi-Fi dla urządzeń z Chrome OS i przypisz profil SCEP dla urządzeń z Chrome OS.

Aby wybrać certyfikat i zastosować profil SCEP do sieci Wi-Fi:

  1. Dodaj konfigurację sieci Wi-Fi lub edytuj istniejącą konfigurację.
  2. W sekcji Dostęp do platform zaznacz pole wyboru Android, iOS lub oba te pola.
  3. W sekcji Szczegóły ustaw następujące opcje:
    1. Dla opcji Ustawienia zabezpieczeń wybierz WPA/WPA2 Enterprise (802.1 X) lub Dynamic WEP (802.1 X).
    2. Dla Extensible Authentication Protocol wybierz EAP-TLS lub EAP-TTLS.
    3. W polu Profil SCEP wybierz profil SCEP, który chcesz zastosować do tej sieci.
  4. Kliknij Zapisz.

Gdy użytkownik po raz pierwszy spróbuje połączyć się z siecią Wi-Fi, urządzenie musi dostarczyć certyfikat.

  • W przypadku urządzeń z Androidem i Chrome OS certyfikaty odpowiadające profilowi SCEP oraz sieci są wypełniane automatycznie, a użytkownik klika Połącz.
  • W iOS użytkownik musi wybrać certyfikat, którego ma używać, a następnie kliknąć Połącz.

Jak działa uwierzytelnianie za pomocą Google Cloud Certificate Connector

Google Cloud Certificate Connector to usługa systemu Windows, która ustanawia wyłączne połączenie między serwerem SCEP i usługą Google. Usługę oprogramowania sprzęgającego certyfikaty konfiguruje się i zabezpiecza za pomocą pliku konfiguracji i pliku klucza, które są przeznaczone tylko dla Twojej organizacji.

Certyfikaty przypisuje się do urządzeń i użytkowników za pomocą profili SCEP. Aby przypisać profil, wybierz jednostkę organizacyjną i dodaj do niej profil. Profil zawiera urząd certyfikacji, który wystawia certyfikaty urządzeń. Gdy użytkownik zarejestruje urządzenie mobilne lub urządzenie z Chrome OS w systemie zarządzania, zarządzanie punktami końcowymi Google pobiera profil SCEP tego użytkownika i instaluje certyfikat na urządzeniu. W przypadku urządzeń z Chrome OS certyfikat urządzenia jest instalowany przed zalogowaniem się użytkownika, a certyfikat użytkownika – po zalogowaniu. Jeśli urządzenie jest już zarejestrowane, certyfikat jest instalowany w ramach zwykłego cyklu synchronizacji.

Gdy użytkownik spróbuje połączyć się z Twoją siecią, zostanie poproszony o dostarczenie certyfikatu. Na urządzeniach z Androidem certyfikat jest wybierany automatycznie, a użytkownik klika Połącz. Na urządzeniach z iOS użytkownik musi wybrać certyfikat ręcznie, a następnie nawiązać połączenie. Urządzenie uzyskuje dostęp do sieci organizacji przy użyciu klucza wynegocjowanego przez Google za pośrednictwem oprogramowania sprzęgającego certyfikaty. Google tymczasowo przechowuje klucz podczas negocjowania zabezpieczeń, ale usuwa go po zainstalowaniu na urządzeniu lub po upływie 24 godzin.


Google, Google Workspace oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Wykonaj te czynności:

Zadaj pytanie na forum pomocy Uzyskaj odpowiedzi od członków społeczności
Kontakt z nami Przekaż więcej informacji, byśmy mogli Ci pomóc
true
Już dzisiaj rozpocznij bezpłatny 14-dniowy okres próbny

Profesjonalna poczta, miejsce na dysku online, udostępniane kalendarze, spotkania wideo i inne funkcje. Już dzisiaj rozpocznij bezpłatny okres próbny G Suite.

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
7289421314615718085
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
73010
false
false