Notificação

A Duet AI agora se chama Gemini para Google Workspace. Saiba mais

Configurar certificados para dispositivos móveis e Chrome OS gerenciados

Dispositivos móveis:Edições compatíveis com este recurso: Frontline Standard; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Cloud Identity Premium. Comparar sua edição

Dispositivos Chrome OS: o Chrome Enterprise é necessário para certificados de dispositivo.

Para controlar o acesso dos usuários às redes Wi-Fi e aos sites e apps internos da sua organização em dispositivos móveis e Chrome OS, distribua certificados da autoridade certificadora (CA) local. O Conector de Certificação do Google Cloud é um serviço do Windows que distribui com segurança certificados e chaves de autenticação do servidor de Protocolo de Inscrição de Certificado Simples (SCEP, na sigla em inglês) para os dispositivos móveis e Chrome OS dos usuários. Saiba mais

Nos dispositivos Chrome OS, você pode configurar certificados de usuário ou dispositivo. Um certificado de usuário é adicionado a um dispositivo para um usuário específico e pode ser acessado por essa pessoa. Um certificado de dispositivo é atribuído com base no dispositivo e pode ser acessado por qualquer usuário que tenha feito login no dispositivo. Veja os detalhes em Gerenciar certificados do cliente em dispositivos Chrome.

Se você quiser controlar o acesso à rede Wi-Fi nos dispositivos móveis e Chrome OS, será necessário configurar perfis SCEP e redes Wi-Fi separados, porque os dispositivos móveis e os dispositivos Chrome OS são compatíveis com diferentes tipos de chave RSA.

Observações sobre o armazenamento de chaves:

  • Nos dispositivos móveis, as chaves privadas dos certificados são geradas nos servidores do Google. Elas são removidas dos servidores do Google depois da instalação do certificado no dispositivo ou em 24 horas, o que ocorrer primeiro.
  • Nos dispositivos Chrome OS, as chaves privadas dos certificados são geradas no dispositivo Chrome. A chave pública correspondente é armazenada de forma temporária nos servidores do Google e limpa após a instalação do certificado.

Requisitos do sistema

  • Sua organização usa o Serviço de Certificado do Microsoft Active Directory para um servidor SCEP e o Serviço de Registro de Dispositivo de Rede (NDES, na sigla em inglês) da Microsoft para distribuir certificados.
  • Dispositivos móveis: dispositivos iOS e Android no gerenciamento avançado de dispositivos móveis. Saiba mais sobre os requisitos dos dispositivos.
  • Dispositivos Chrome OS:
    • Certificados dos dispositivos: Chrome OS versão 89 ou mais recente e gerenciados com o Chrome Enterprise
    • Certificados dos usuários: Chrome OS versão 86 ou mais recente. Observação: nas versões anteriores ao Chrome 87, os usuários precisam reiniciar o dispositivo ou aguardar algumas horas até o certificado de usuário ser implantado.

Antes de começar

  • Se você precisar do nome do assunto do certificado para usar nomes de usuário do Active Directory, será necessário sincronizar o Active Directory e o Google Directory com o Google Cloud Directory Sync (GCDS). Se necessário, configure o GCDS.
  • Se você ainda não tiver enviado um certificado de CA no Google Admin Console, adicione um certificado.
  • Analise os problemas conhecidos para evitar comportamentos inesperados.

Problemas conhecidos

  • Não é possível revogar os certificados após a instalação em um dispositivo.
  • Os perfis do SCEP não são compatíveis com desafios dinâmicos.
  • A herança de perfis do SCEP entre unidades organizacionais pode ser dividida em alguns casos. Por exemplo, se você definir um perfil do SCEP para uma unidade organizacional e alterar o perfil do SCEP de uma unidade organizacional filha, nenhum desses perfis na unidade organizacional mãe poderá ser herdado pela unidade organizacional filha.
  • Nos dispositivos móveis, não é possível aplicar perfis do SCEP a configurações de VPN ou Ethernet. Eles só podem ser aplicados à rede Wi-Fi.
  • Nos dispositivos Chrome OS, não é possível aplicar perfis do SCEP diretamente a configurações de VPN ou Ethernet. Se você quiser aplicar indiretamente um perfil do SCEP a configurações de VPN ou Ethernet, use padrões do emissor ou de assunto para selecionar um certificado de forma automática.
  • Para os usuários de dispositivos Chrome OS, os certificados só poderá ser implantados se o usuário tiver feito login em um dispositivo gerenciado. O usuário e o dispositivo precisam pertencer ao mesmo domínio.

Etapa 1: fazer o download do Conector de Certificação do Google Cloud

Execute as etapas a seguir no servidor SCEP ou em um computador Windows com uma conta que possa fazer login como um serviço no servidor SCEP. Tenha as credenciais da conta disponíveis.

Se sua organização tiver vários servidores, você poderá usar o mesmo agente do conector de certificação em todos eles. Faça o download e a instalação do arquivo de instalação, do arquivo de configuração e do arquivo de chave em um computador seguindo as etapas abaixo. Em seguida, copie esses três arquivos para o outro computador e siga as instruções de configuração nele.

Observação: você faz o download do Conector de Certificação do Google Cloud e dos componentes dele apenas uma vez, quando você configura os certificados para sua organização. Seus certificados e perfis SCEP podem compartilhar um único conector de certificação.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisRedes.
  3. Clique em SCEP seguroe depoisFazer o download do conector.
  4. Na seção "Conector de certificação do Google Cloud", clique em Fazer download. O download cria uma pasta na área de trabalho que contém o conector de certificação. Recomendamos que você faça o download dos outros arquivos de configuração do conector para essa pasta.
  5. Na seção "Fazer download do arquivo de configuração do conector", clique em Fazer download. É feito o download do arquivo config.json.
  6. Na seção "Gerar uma chave da conta de serviço", clique em Gerar chave. É feito o download do arquivo key.json.
  7. Execute o instalador do conector de certificação.
    1. No assistente de instalação, clique em Próxima.
    2. Aceite os termos do contrato de licença e clique em Próxima.
    3. Escolha a conta em que o serviço foi instalado e clique em Próxima. A conta precisa ter privilégios para fazer login como um serviço no servidor SCEP.
    4. Selecione o local de instalação. Recomendamos usar o padrão. Clique em Próxima.
    5. Digite as credenciais da sua conta de serviço e clique em Próxima. O serviço será instalado.
    6. Clique em Concluir para finalizar a instalação.
  8. Mova os arquivos de configuração e de chave (config.jsone key.json) para a pasta "Google Cloud Certificate Connector" criada durante a instalação. Essa pasta geralmente fica em: C:\Arquivos de Programas\Google Cloud Certificate Connector.
  9. Inicie o serviço do Conector de Certificação do Google Cloud:
    1. Abra os Serviços do Windows.
    2. Selecione Conector de Certificação do Google Cloud na lista de serviços.
    3. Clique em Iniciar para iniciar o serviço. Confirme que o status mudou para Em execução. O serviço será reiniciado automaticamente se o computador for reinicializado.

Se você fizer o download de uma nova chave de conta de serviço mais tarde, reinicie o serviço para aplicá-la.

Etapa 2: adicionar um perfil do SCEP

O perfil do SCEP define o certificado que permite aos usuários acessar a rede Wi-Fi. Para atribuir o perfil a usuários, você o adiciona a uma unidade organizacional. Você pode configurar vários perfis do SCEP para gerenciar o acesso por unidade organizacional e por tipo de dispositivo.

Antes de começar: para aplicar a configuração a determinados usuários, coloque as contas deles em uma unidade organizacional.
  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisRedes.
  3. Clique em Criar perfil do SCEP.
  4. Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha. Observação: recomendamos que você defina o perfil do SCEP para cada unidade organizacional em que o perfil será aplicado devido a um problema conhecido.
  5. Clique em Adicionar perfil seguro do SCEP.
  6. Digite os detalhes de configuração do perfil. Se sua autoridade de certificação emitir um modelo específico, use os mesmos detalhes do perfil no modelo.
    • Nome do perfil do SCEP: um nome descritivo para o perfil. O nome é mostrado na lista de perfis e no seletor de perfil na configuração de rede Wi-Fi.
    • Formato do nome do assunto: escolha uma forma de identificar o proprietário do certificado. Ao selecionar Nome distinto completo, o nome comum do certificado será o nome de usuário.
    • Nome alternativo do assunto: informe um nome alternativo. O padrão é Nenhum.

      Nos dispositivos Chrome OS, você pode definir nomes alternativos do assunto com base nos atributos do usuário e do dispositivo. Se você quiser usar uma solicitação de assinatura de certificado personalizada (CSR), configure o modelo de certificado na CA para receber e gerar um certificado com os valores do assunto definidos na solicitação. É necessário adicionar pelo menos um valor ao campo "CommonName".

      É possível usar os marcadores a seguir. Todos os valores são opcionais.

      • ${DEVICE_DIRECTORY_ID}: código de diretório do dispositivo
      • ${USER_EMAIL}: endereço de e-mail do usuário que fez login
      • ${USER_EMAIL_DOMAIN}: nome de domínio do usuário que fez login
      • ${DEVICE_SERIAL_NUMBER}: número de série do dispositivo
      • ${DEVICE_ASSET_ID}: código do recurso atribuído ao dispositivo pelo administrador
      • ${DEVICE_ANNOTATED_LOCATION}: local atribuído ao dispositivo pelo administrador
      • ${USER_EMAIL_NAME}: primeira parte (antes de @) do endereço de e-mail do usuário que fez login

      Se um marcador não estiver disponível, ele será substituído por uma string vazia.

    • Algoritmo de assinatura: a função de hash usada para criptografar a chave de autorização. Somente SHA256 com RSA está disponível.
    • Uso da chave: opções de como usar a chave, a codificação e a assinatura. Você pode selecionar mais de uma opção.
    • Tamanho da chave (bits): o tamanho da chave RSA. Nos dispositivos Chrome OS, selecione 2048.
    • URL do servidor SCEP: o URL do servidor SCEP.
    • Período de validade do certificado (anos): por quanto tempo o certificado do dispositivo é válido. Digite um número.
    • Renovar em alguns dias: quanto tempo antes da expiração deve ocorrer a tentativa de renovação do certificado.
    • Uso estendido de chave: como a chave pode ser usada. Você pode escolher mais de um valor.
    • Tipo de desafio: para exigir que o Google apresente uma frase de desafio ao solicitar um certificado do servidor SCEP, selecione Estático e digite a frase. Se você selecionar Nenhum, o servidor não exigirá essa verificação.
    • Nome do modelo: o nome do modelo usado pelo servidor NDES.
    • Autoridade de certificação: o nome de um certificado que você enviou para usar como autoridade de certificação.
    • Tipo de rede que usa este perfil:​ o tipo de rede que usa o perfil SCEP.
    • Plataformas que usam este perfil: as plataformas de dispositivos que usam o perfil do SCEP. Nos dispositivos Chrome OS, marque Chromebook (usuário), Chromebook (dispositivo) ou essa duas opções (dependendo do tipo de certificado que você quer implantar).
  7. Clique em Salvar. Se você tiver configurado uma unidade organizacional filha, talvez seja possível usar as opções Herdar ou Modificar nas configurações de uma unidade organizacional mãe.

Depois que você adiciona um perfil, o nome dele e as plataformas em que está ativado são listados. Na coluna Plataforma, o perfil está ativado para as plataformas com ícones azuis e desativado para as plataformas com ícones cinza. Para editar um perfil, passe o cursor sobre a linha e clique em Editar .

O perfil do SCEP é distribuído automaticamente para os usuários na unidade organizacional.

Etapa 3: configurar o keystore do Conector de certificação do Google Cloud

Se o certificado for emitido por uma CA confiável ou o URL do servidor SCEP começar com HTTP, pule esta etapa.

Se o certificado não for emitido por uma CA confiável, como um certificado autoassinado, será necessário importá-lo para o keystore do Conector de certificação do Google Cloud. Caso contrário, o certificado não poderá ser provisionado, e o dispositivo não poderá se conectar.

  1. Faça login na CA.
  2. Se um JRE Java ainda não estiver instalado, instale um para usar o keytool.exe.
  3. Abra um prompt de comando.
  4. Exporte e converta o certificado de CA em um arquivo PEM executando estes comandos: 
    certutil ‑ca.cert C:\root.cer
certutil ‑encode cacert.cer cacert.pem
  5. Importe o certificado de CA para o keystore. No subdiretório da pasta do Conector de certificação do Google Cloud criado durante a instalação, normalmente C:\Arquivos de Programas\Google Cloud Certificate Connector, execute este comando:

    java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

    Substitua:java-home-dir pelo caminho para o JRE na pasta "Google Cloud Certificate Connector" e cert-export-dir pelo caminho do certificado exportado na etapa 4.

Etapa 4: configurar redes Wi-Fi para exigir o perfil do SCEP (opcional)

Depois que os dispositivos móveis ou dispositivos Chrome OS dos usuários receberem os certificados do servidor SCEP, você poderá configurar as redes Wi-Fi para exigir a autenticação de certificado.

Para controlar o acesso à rede Wi-Fi nos dispositivos móveis e Chrome OS, configure redes Wi-Fi separadas para cada um deles. Por exemplo, configure uma rede Wi-Fi para dispositivos móveis e atribua um perfil SCEP a esses dispositivos. Em seguida, configure outra rede Wi-Fi para dispositivos Chrome OS e atribua um perfil SCEP a esses dispositivos.

Para selecionar o certificado e aplicar o perfil do SCEP a uma rede Wi-Fi:

  1. Adicione uma configuração de Wi-Fi ou edite uma configuração já adicionada.
  2. Na seção "Acesso à plataforma", marque a caixa Android ou iOS ou ambas.
  3. Na seção "Detalhes", defina o seguinte:
    1. Em Configurações de segurança, selecione WPA/WPA2 Enterprise (802.1 X) ou Dynamic WEP (802.1 X).
    2. Em Protocolo de autenticação extensível, selecione EAP-TLS ou EAP-TTLS.
    3. Em Perfil do SCEP, selecione o perfil que você quer aplicar a esta rede.
  4. Clique em Salvar.

Na primeira vez que os usuários tentarem se conectar à rede Wi-Fi, o dispositivo precisará fornecer o certificado.

  • Nos dispositivos Android e Chrome OS, o certificado correspondente ao perfil do SCEP e à rede é preenchido automaticamente, e o usuário clica em Conectar.
  • Nos dispositivos iOS, o usuário precisa escolher um certificado e clicar em Conectar.

Como funciona a autenticação de certificado pelo Conector de certificação do Google Cloud

O Conector de Certificação do Google Cloud é um serviço do Windows que estabelece uma conexão exclusiva entre o servidor do SCEP e o Google. O conector de certificado é configurado e protegido por um arquivo de configuração e um arquivo de chave, ambos dedicados somente à sua organização.

Você atribui certificados a dispositivos e usuários com perfis do SCEP. Para atribuir um perfil, você escolhe uma unidade organizacional e adiciona o perfil a essa unidade. O perfil inclui a autoridade certificadora que emite os certificados dos dispositivos. Quando um usuário inscreve um dispositivo móvel ou Chrome OS para gerenciamento, o gerenciamento de endpoints do Google busca o perfil do SCEP e instala o certificado no dispositivo. Nos dispositivos Chrome OS, um certificado é instalado antes do login, e um certificado de usuário é instalado depois que o usuário faz login. Se o dispositivo já estiver registrado, o certificado será instalado como parte de um ciclo de sincronização.

Quando um usuário tentar se conectar à sua rede, ele precisará apresentar o certificado. Nos dispositivos Android, o certificado é selecionado de maneira automática e o usuário clica em Conectar. Nos dispositivos iOS, o usuário precisa selecionar o certificado manualmente e se conectar. O dispositivo acessa a rede da sua organização usando uma chave negociada pelo Google pelo conector de certificação. O Google armazena temporariamente a chave durante a negociação de segurança, mas a limpa depois de instalada no dispositivo (ou após 24 horas).


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?

Precisa de mais ajuda?

Siga as próximas etapas:

Postar na Comunidade de Ajuda Receber respostas dos membros da comunidade
Fale conosco Conte mais sobre o problema para podermos ajudar você
true
Comece hoje mesmo sua avaliação gratuita de 14 dias

E-mail profissional, armazenamento on-line, agendas compartilhadas, reuniões com vídeo e muito mais. Comece hoje mesmo sua avaliação gratuita do G Suite.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
7391456250915805018
true
Pesquisar na Central de Ajuda
true
true
true
true
true
73010
false
false