Yönetilen mobil ve Chrome OS cihazlar için sertifikaları ayarlama

Mobil cihazlar: Bu özelliğin desteklendiği sürümler: Frontline Standard; Enterprise Standard ve Enterprise Plus; Education Standard, Education Plus ve Endpoint Education Upgrade; Cloud Identity Premium. Sürümünüzü karşılaştırın

Chrome OS cihazlar: Cihaz tabanlı sertifikalar için Chrome Enterprise gereklidir.

Kuruluşunuza ait kablosuz ağ, dahili uygulama ve dahili web sitelerine kullanıcıların mobil ve Chrome OS cihazlar aracılığıyla erişimini kontrol etmek için sertifikaları şirket içi sertifika yetkiliniz (CA) üzerinden dağıtabilirsiniz. Google Cloud Sertifika Bağlayıcısı, sertifikaları ve kimlik doğrulama anahtarlarını Basit Sertifika Kayıt Protokolü (SCEP) sunucunuzdan kullanıcıların mobil ve Chrome OS cihazlarına güvenli şekilde dağıtan bir Windows hizmetidir. Daha fazla bilgi

Chrome OS cihazlar için, kullanıcı tabanlı veya cihaz tabanlı sertifikalar oluşturabilirsiniz. Cihaza belirli bir kullanıcı için kullanıcı sertifikası eklenir ve bu kullanıcı söz konusu sertifikaya erişebilir. Cihaz sertifikası, cihaz esas alınarak atanır ve cihazda oturum açmış tüm kullanıcılar bu sertifikaya erişebilir. Ayrıntılar için Chrome cihazlarda istemci sertifikalarını yönetme başlıklı makaleye bakın.

Hem mobil hem de Chrome OS cihazlar için kablosuz ağ erişimini kontrol etmek istiyorsanız, mobil cihazlar ve Chrome OS cihazlar farklı RSA anahtar türlerini desteklediğinden ayrı SCEP profilleri ve kablosuz ağlar oluşturmanız gerekir.

Anahtar depolama alanı ile ilgili notlar:

• Mobil cihazlar için, sertifikaların özel anahtarları Google sunucularında oluşturulur. Anahtarlar, hangisinin önce gerçekleştiğine bağlı olarak, sertifika cihaza yüklendiğinde veya 24 saat sonra Google sunucularından tamamen silinir.
• Chrome OS cihazlar için, sertifikaların özel anahtarları Chrome cihazda oluşturulur. Karşılık gelen ortak anahtar Google sunucularında geçici olarak depolanır ve sertifika yüklendikten sonra tamamen silinir.

Sistem gereksinimleri

• Kuruluşunuz, SCEP sunucusu için Microsoft Active Directory Sertifika Hizmetleri'ni ve sertifikaları dağıtmak üzere Microsoft Ağ Cihazı Kayıt Hizmeti'ni (NDES) kullanır.
• Mobil cihazlar: Gelişmiş mobil yönetimi kapsamındaki iOS ve Android cihazlar. Cihaz gereksinimleri hakkında daha fazla bilgi edinin.
• Chrome OS cihazlar:
  • Cihaz sertifikaları: Chrome OS 89 veya üstü ve Chrome Enterprise ile yönetilir
  • Kullanıcı sertifikaları: Chrome OS 86 veya üstü. Not: 87'den eski sürümlerde sertifikasının dağıtılması için kullanıcıların cihazı yeniden başlatması veya kullanıcı birkaç saat beklemesi gerekir.

Başlamadan önce

• Active Directory kullanıcı adlarını kullanmak için sertifika Konu adı gerekiyorsa Google Cloud Directory Sync'i (GCDS) kullanarak Active Directory ve Google Directory'yi senkronize etmeniz gerekir. Gerekirse GCDS ayarlarını yapın.
• Henüz Google Yönetici konsolu'nda bir CA sertifikası yüklemediyseniz bir sertifika ekleyin.
• Beklenmedik davranışlardan kaçınmak için bilinen sorunları inceleyin.

Bilinen sorunlar

• Sertifikalar bir cihaza yüklendikten sonra iptal edilemez.
• SCEP profilleri, dinamik giriş sorgularını desteklemez.
• Kuruluş birimleri arasındaki SCEP profilini devralma işlemi bazı durumlarda kesilebilir. Örneğin, bir kuruluş birimi için SCEP profili ayarlarsanız ve bir alt kuruluş biriminin SCEP profilini değiştirirseniz üst kuruluş biriminin hiçbir SCEP profili alt kuruluş birimi tarafından tekrar devralınamaz.
• Mobil cihazlarda SCEP profilleri VPN veya Ethernet yapılandırmalarına uygulanamaz, yalnızca kablosuz ağ üzerinden uygulanabilir.
• Chrome OS cihazlarda SCEP profilleri VPN veya Ethernet yapılandırmalarına doğrudan uygulanamaz. VPN veya Ethernet yapılandırmalarına dolaylı olarak SCEP profili uygulamak üzere kullanılacak sertifikayı otomatik olarak seçmek için, sertifikayı veren veya konu modellerini kullanın.
• Chrome OS cihaz kullanıcıları için, sertifikalar yalnızca yönetilen bir cihazda oturum açan kullanıcılara dağıtılabilir. Kullanıcı ve cihaz aynı alana ait olmalıdır.

1. Adım: Google Cloud Sertifika Bağlayıcısı'nı indirin

Aşağıdaki adımları, SCEP sunucusunda veya SCEP sunucusuna hizmet olarak oturum açabilecek bir hesap kullanarak Windows bilgisayarda uygulayın. Hesap kimlik bilgilerini hazır bulundurun.

Kuruluşunuzda birden fazla sunucu varsa bunların hepsinde aynı sertifika bağlayıcısı aracısını kullanabilirsiniz. Yükleme dosyasını, yapılandırma dosyasını ve anahtar dosyasını aşağıdaki adımlarda açıklandığı şekilde bir bilgisayara indirin ve yükleyin. Ardından, bu üç dosyayı diğer bilgisayara kopyalayın ve o bilgisayardaki kurulum talimatlarını uygulayın.

Not: Google Cloud Sertifika Bağlayıcısı'nı ve bileşenlerini yalnızca bir defa, kuruluşunuz için sertifikaları ilk kez ayarladığınızda indirirsiniz. Sertifikalarınız ve SCEP profilleriniz tek bir sertifika bağlayıcısını paylaşabilir.

1. Google Yönetici konsolu hesabınızda oturum açın.

   Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

2. Yönetici Konsolu'nda Menü Cihazlar Ağlar'a gidin.
3. Güvenli SCEPBağlayıcıyı İndirin'i tıklayın.
4. Google Cloud Sertifika Bağlayıcısı bölümünde İndir'i tıklayın. İndirme işlemi, masaüstünüzde sertifika bağlayıcısını içeren bir klasör oluşturur. Diğer bağlayıcı yapılandırma dosyalarını bu klasöre indirmenizi öneririz.
5. Bağlayıcı yapılandırma dosyasını indir bölümünde İndir'i tıklayın. config.json dosyası indirilir.
6. Hizmet hesabı anahtarı al bölümünde, Anahtar oluştur'u tıklayın. key.json dosyası indirilir.
7. Sertifika bağlayıcısı yükleyicisini çalıştırın.
   1. Yükleme sihirbazında İleri'yi tıklayın.
   2. Lisans sözleşmesinin şartlarını kabul edin ve İleri'yi tıklayın.
   3. Hizmetin yüklü olduğu hesapları seçin ve İleri'yi tıklayın. Hesabın, SCEP sunucusunda bir hizmet olarak oturum açma ayrıcalıklarına sahip olması gerekir.
   4. Yükleme konumunu seçin. Varsayılan konumu kullanmanızı öneririz. İleri'yi tıklayın.
   5. Hizmet hesabı kimlik bilgilerinizi girin ve İleri'yi tıklayın. Hizmet yüklenir.
   6. Yükleme işlemini tamamlamak için Bitir'i tıklayın.
8. Yapılandırma ve anahtar dosyalarını (config.json ve key.json), yükleme sırasında oluşturulan Google Cloud Sertifika Bağlayıcısı klasörüne taşıyın. Klasör genelde şu konumda bulunur: C:\Program Files\Google Cloud Certificate Connector.
9. Google Cloud Sertifika Bağlayıcısı hizmetini başlatın:
   1. Windows Hizmetleri'ni açın.
   2. Hizmet listesinde Google Cloud Sertifika Bağlayıcısı'nı seçin.
   3. Hizmeti başlatmak için Başlat'ı tıklayın. Durumun Çalışıyor olarak değiştiğinden emin olun. Bilgisayar yeniden başlatılırsa hizmet de otomatik olarak yeniden başlatılır.

Daha sonra yeni bir hizmet hesabı anahtarı indirirseniz anahtarın geçerli olması için hizmeti yeniden başlatın.

2. Adım: SCEP profili ekleyin

SCEP profili, kullanıcıların kablosuz ağınıza erişmesine izin veren sertifikayı tanımlar. Profili belirli kullanıcılara atamak için bir kuruluş birimine eklersiniz. Erişimi, kuruluş birimine ve cihaz türüne göre yönetmek için birkaç SCEP profili oluşturabilirsiniz.

1. Google Yönetici konsolu hesabınızda oturum açın.

   Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

2. Yönetici Konsolu'nda Menü Cihazlar Ağlar'a gidin.
3. SCEP Profili Oluştur'u tıklayın.
4. Ayarı herkese uygulamak için en üst düzey kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin. Not: Bilinen bir sorun nedeniyle, profilin uygulanmasını istediğiniz her kuruluş birimi için SCEP profilini ayarlamanızı öneririz.
5. Güvenli SCEP Profili Ekle'yi tıklayın.
6. Profil için yapılandırma ayrıntılarını girin. CA'nız belirli bir şablon yayınlıyorsa profilin ayrıntılarını bu şablonla eşleştirin.
   • SCEP profil adı - Profil için açıklayıcı bir ad. Ad, profiller listesinde ve kablosuz ağ yapılandırmasındaki profil seçicide gösterilir.
   • Konu adı biçimi - Sertifika sahibini nasıl tanımlamak istediğinizi seçin. Tamamen Ayırt Edici Ad'ı seçerseniz sertifika Ortak Adı, kullanıcının kullanıcı adıdır.
   • Konu alternatif adı - Bir konu alternatif adı (SAN) girin. Varsayılan değer: Hiçbiri'dir.

     Chrome OS cihazlar için, kullanıcı ve cihaz özelliklerini temel alan konu alternatif adları tanımlayabilirsiniz. Özel bir sertifika imzalama isteği (CSR) kullanmak için CA'daki sertifika şablonunu, isteğin kendisi içinde tanımlanan konu değerlerini içeren bir sertifika bekleyecek ve yapılandıracak şekilde yapılandırın. En azından, subject'teki (konu) CommonName için bir değer sağlamanız gerekir.

     Aşağıdaki yer tutucuları kullanabilirsiniz. Tüm değerler isteğe bağlıdır.

     • ${DEVICE_DIRECTORY_ID}: cihazın dizin kimliği
     • ${USER_EMAIL}: Oturum açan kullanıcının e-posta adresi.
     • ${USER_EMAIL_DOMAIN}: Oturum açan kullanıcının alan adı.
     • ${DEVICE_SERIAL_NUMBER}: Cihazın seri numarası.
     • ${DEVICE_ASSET_ID}: yönetici tarafından cihaza atanan öğe kimliği
     • ${DEVICE_ANNOTATED_LOCATION}: yönetici tarafından cihaza atanan konum
     • ${USER_EMAIL_NAME}: oturum açan kullanıcının e-posta adresinin ilk bölümü (@ işaretinden önceki bölüm)

     Bir yer tutucu değeri mevcut değilse boş bir dizeyle değiştirilir.

   • İmzalama algoritması - Yetkilendirme anahtarını şifrelemek için kullanılan karma işlevi. Yalnızca RSA ile SHA256 kullanılabilir.
   • Anahtar kullanımı - Anahtarın, anahtar şifrelemenin ve imzalamanın nasıl kullanılacağıyla ilgili seçenekler. Birden fazla kullanıcı seçebilirsiniz.
   • Anahtar boyutu (bit) - RSA anahtarının boyutu. Chrome OS cihazlar için 2048'i seçin.
   • SCEP sunucu URL'si - SCEP sunucusunun URL'si.
   • Sertifika geçerlilik süresi (yıl) - Cihaz sertifikasının geçerli olacağı süre. Sayı olarak girin.
   • Şu kadar gün içinde yenile - Cihaz sertifikasının geçerlilik süresi dolmadan kaç gün önce yenileme işleminin denenebileceği.
   • Uzatılmış anahtar kullanımı - Anahtarın nasıl kullanılabileceği. Birden fazla değer seçebilirsiniz.
   • Giriş sorgulaması türü - Google'ın, SCEP sunucusundan bir sertifika istediğinde, belirtilen bir giriş sorgusu kelime öbeğini sağlamasını zorunlu kılmak için Statik'i seçin ve kelime öbeğini girin. Hiçbiri'ni seçerseniz sunucu bu kontrolü zorunlu tutmaz.
   • Şablon adı - NDES sunucunuz tarafından kullanılan şablonun adı.
   • Sertifika Yetkilisi - Sertifika Yetkilisi olarak kullanmak üzere yüklediğiniz bir sertifikanın adı.
   • Bu profilin geçerli olduğu ağ türü​ - SCEP profilini kullanan ağların türü.
   • Bu profilin geçerli olduğu platformlar - SCEP profili kullanan cihaz platformları. Chrome OS cihazlar için, dağıtmak istediğiniz sertifikanın türüne bağlı olarak Chromebook (kullanıcı), Chromebook (cihaz) veya ikisini birden işaretlediğinizden emin olun.
7. Kaydet'i tıklayın. Bir alt kuruluş birimi yapılandırdıysanız üst kuruluş biriminin ayarlarını Devralmanız veya Geçersiz kılmanız mümkün olabilir.

Bir profil eklendikten sonra adı ve etkin olduğu platformlarla birlikte listelenir. Platform sütununda profil, mavi simgeler bulunan platformlar için etkin ve gri simgeler bulunan platformlar için devre dışıdır. Bir profili düzenlemek için satırın üzerine gelin ve Düzenle'yi tıklayın.

SCEP profili, kuruluş birimindeki kullanıcılara otomatik olarak dağıtılır.

3. Adım: Google Cloud Sertifika Bağlayıcısı'nın anahtar deposunu yapılandırın

Sertifikanız güvenilen bir CA tarafından verilmişse veya SCEP sunucunuzun URL'si HTTP ile başlıyorsa bu adımı atlayın.

Sertifikanız, kendinden imzalı sertifika gibi güvenilir bir CA tarafından verilmediyse sertifikayı Google Cloud Sertifika Bağlayıcısı anahtar deposuna içe aktarmanız gerekir. Aksi takdirde, cihaz sertifikasının temel hazırlığı yapılamaz ve cihaz bağlanamaz.

1. CA'nızda oturum açın.
2. Java JRE yüklü değilse, keytool.exe dosyasını kullanabilmek için bu yazılımı yükleyin.
3. Bir komut istemi açın.
4. CA sertifikanızı dışa aktarın ve aşağıdaki komutları çalıştırarak bu sertifikayı bir PEM dosyasına dönüştürün:

   certutil ‑ca.cert C:\root.cer
   certutil ‑encode cacert.cer cacert.pem

5. CA sertifikasını anahtar deposuna aktarın. Yükleme sırasında oluşturulan Google Cloud Sertifika Bağlayıcısı klasörünün alt dizininde (genellikle C:\Program Files\Google Cloud Certificate Connector) aşağıdaki komutu çalıştırın:

   java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

   java-home-dir kısmını Google Cloud Sertifika Bağlayıcısı klasöründeki JRE ile ve cert-export-dir kısmını 4. adımda dışa aktardığınız sertifikanın yoluyla değiştirin.

4. Adım: Kablosuz ağları, SCEP profili gerektirecek şekilde yapılandırın (İsteğe bağlı)

Kullanıcıların mobil veya Chrome OS cihazları SCEP sunucusundan sertifikaları aldıktan sonra, kablosuz ağları sertifika kimlik doğrulaması gerektirecek şekilde yapılandırabilirsiniz.

Hem mobil hem de Chrome OS cihazlar için kablosuz ağ erişimini kontrol etmek istiyorsanız her biri için ayrı kablosuz ağlar oluşturun. Örneğin, mobil cihazlar için bir kablosuz ağ oluşturup bu cihaza mobil cihazlar için bir SCEP profili atayın. Chrome OS cihazlar için başka bir kablosuz ağ oluşturup Chrome OS cihazlar için bir SCEP profili atayın.

Sertifikayı seçmek ve SCEP profilini kablosuz ağa uygulamak için:

1. Kablosuz ağ yapılandırması ekleyin veya mevcut bir yapılandırmayı düzenleyin.
2. Platform erişimi bölümünde Android kutusunu, iOS kutusunu veya her iki kutuyu da işaretleyin.
3. Ayrıntılar bölümünde, aşağıdakileri ayarlayın:
   1. Güvenlik ayarları için WPA/WPA2 Enterprise (802.1 X) veya Dinamik WEP (802.1 X)'i seçin.
   2. Genişletilebilir Kimlik Doğrulama Protokolü için EAP-TLS veya EAP-TTLS seçin.
   3. SCEP profili için bu ağa uygulamak istediğiniz SCEP profilini seçin.
4. Kaydet'i tıklayın.

Artık kullanıcılar kablosuz ağa bağlanmayı ilk kez denediklerinde cihazlarının sertifikayı sağlaması gerekir.

• Android ve Chrome OS cihazlar için, SCEP profiline ve ağa karşılık gelen sertifika otomatik olarak doldurulur ve kullanıcı Bağlan'ı tıklar.
• iOS cihazlarda, kullanıcının kullanacağı sertifikayı seçmesi ve ardından Bağlan'ı tıklaması gerekir.

Google Cloud Sertifika Bağlayıcısı üzerinden sertifika kimlik doğrulamasının çalışma şekli

Google Cloud Sertifika Bağlayıcısı, SCEP sunucunuz ile Google arasında özel bir bağlantı kuran bir Windows hizmetidir. Sertifika bağlayıcısı, her ikisi de kuruluşunuza özel olan bir yapılandırma dosyası ve bir anahtar dosyası ile yapılandırılır ve korunur.

Cihaz sertifikalarını, SCEP Profilleri olan cihazlara ve kullanıcılara atarsınız. Profil atamak için bir kuruluş birimi seçip profili bu kuruluş birimine eklersiniz. Profil, cihaz sertifikaları veren Sertifika Yetkilisi'ni içerir. Bir kullanıcı mobil veya Chrome OS cihazı yönetim için kaydettirdiğinde, Google uç nokta yönetimi, kullanıcının SCEP profilini getirir ve sertifikayı cihaza yükler. Chrome OS cihazlarda, cihaz sertifikası kullanıcı oturum açmadan önce yüklenir. Kullanıcı sertifikası ise oturum açtıktan sonra yüklenir. Cihaz zaten kayıtlıysa sertifika normal bir senkronizasyon döngüsünün parçası olarak yüklenir.

Bir kullanıcı ağınıza bağlanmayı denediğinde, sertifikayı sağlaması istenir. Android cihazlarda, sertifika otomatik olarak seçilir ve kullanıcı Bağlan'ı tıklar. iOS cihazlarda, kullanıcı sertifikayı manuel olarak seçmeli ve ardından bağlamalıdır. Cihaz, kuruluşunuzun ağına, Google tarafından sertifika bağlayıcısı üzerinden anlaşılan bir anahtarı kullanarak erişir. Google, güvenlik anlaşması süresince anahtarı geçici olarak saklar, ancak anahtar cihaza yüklendiğinde (veya 24 saat sonra) anahtarı tamamen siler.