行動裝置:支援這項功能的版本:Frontline Standard;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Cloud Identity 進階版。 版本比較
Chrome OS 裝置:裝置憑證 需要 Chrome Enterprise 版本。
您可以從地端部署憑證授權單位 (CA) 發布憑證,控管使用者在行動裝置和 Chrome OS 裝置上存取貴機構 Wi-Fi 網路、內部應用程式和內部網站的權限。Google Cloud Certificate Connector 是一項 Windows 服務,可將憑證和驗證金鑰從簡易憑證註冊通訊協定 (SCEP) 伺服器安全地發布到使用者的行動裝置和 Chrome OS 裝置。瞭解詳情
您可以為 Chrome OS 裝置設定使用者憑證或裝置憑證,使用者憑證會新增至特定使用者的裝置上,供該名特定使用者存取。裝置憑證是根據裝置指派,任何登入裝置的使用者都能存取。詳情請參閱在 Chrome 裝置上管理用戶端憑證。
由於行動裝置和 Chrome OS 裝置支援不同的 RSA 金鑰類型,因此在控管行動裝置和 Chrome OS 裝置的 Wi-Fi 網路存取權時,您必須分別設定 SCEP 設定檔和 Wi-Fi 網路。
金鑰儲存空間的注意事項:
- 針對行動裝置,系統會在 Google 伺服器上產生憑證的私密金鑰。一旦系統在裝置上安裝憑證,或產生金鑰後經過 24 小時 (以先發生的情況為準),就會從 Google 伺服器中清除金鑰。
- 針對 Chrome OS 裝置,系統會在 Chrome 裝置上產生憑證的私密金鑰。而相對應的公開金鑰會暫時儲存於 Google 伺服器上,並在憑證安裝後予以清除。
系統需求
- 貴機構使用 Microsoft Active Directory 憑證服務支援 SCEP 伺服器運作,並透過 Microsoft 網路裝置註冊服務 (NDES) 發布憑證。
- 行動裝置:採用進階行動管理服務的 iOS 和 Android 裝置。進一步瞭解裝置需求。
- Chrome OS 裝置:
- 裝置憑證:Chrome OS 89 以上版本,並使用 Chrome Enterprise 管理。
- 使用者憑證:Chrome OS 86 以上版本。注意:如果是 87 以下版本,使用者必須重新啟動裝置或等待幾小時,使用者憑證才會完成部署。
事前準備
- 使用 Active Directory 使用者名稱時,如果需要憑證主體名稱,您必須將 Active Directory 和 Google Directory 與 Google Cloud Directory Sync (GCDS) 同步處理。如有需要,請設定 GCDS。
- 如果您尚未在 Google 管理控制台中上傳 CA 憑證,請新增憑證。
- 請詳閱已知問題,避免產生非預期的行為。
已知問題
- 在裝置上安裝憑證之後將無法撤銷憑證。
- SCEP 設定檔不支援動態驗證。
- 在某些情況下,機構單位之間沿用的 SCEP 設定檔可能發生問題。舉例來說,如果您為某個機構單位設定了 SCEP 設定檔,但是變更了子機構單位的 SCEP 設定檔,那麼子機構單位將「無法」再次沿用頂層機構單位的 SCEP 設定檔。
- 就行動裝置而言,不能將 SCEP 設定檔套用至 VPN 或乙太網路設定,只能套用至 Wi-Fi。
- 就 Chrome OS 裝置而言,不能將 SCEP 設定檔直接套用至 VPN 或乙太網路設定。如要將 SCEP 設定檔間接套用至 VPN 或乙太網路設定,請使用發行者模式或主體模式,自動選取要使用的憑證。
- 對於 Chrome OS 裝置的使用者來說,只有登入受管理裝置的使用者能部署憑證。使用者與裝置均必須屬於相同網域。
步驟 1:下載 Google Cloud Certificate Connector
在 SCEP 伺服器上執行下列步驟,或在具有可在 SCEP 伺服器上以服務身分登入的 Windows 電腦上執行下列步驟。同時備妥可用的帳戶憑證。
如果貴機構擁有數個伺服器,您可以在所有伺服器上使用相同的憑證連接器代理程式。請按照下列步驟,在一台電腦上下載並安裝安裝檔、設定檔和金鑰檔案。然後將這三個檔案複製到另一台電腦,並按照該電腦上的設定操作說明進行。
注意:首次為貴機構設定憑證時,您只需下載 Google Cloud Certificate Connector 和相關其元件一次。您的憑證和 SCEP 設定檔可共用一個憑證連接器。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「網路」。
- 依序按一下 [安全 SCEP] [下載連接器]。
- 在「Google Cloud Certificate Connector」部分中,按一下 [下載]。下載檔案會在桌面上建立一個包含憑證連接器的資料夾。建議您將其他連接器設定檔下載到這個資料夾。
- 在「下載連接器設定檔」部分中,按一下 [下載],即可下載
config.json
檔案。 - 在「取得服務帳戶金鑰」部分中,按一下 [產生金鑰],即可下載
key.json
檔案。 - 執行憑證連接器安裝程式。
- 在安裝精靈中,按一下 [下一步]。
- 接受授權協議的條款,然後點選 [下一步]。
- 選擇要安裝服務的帳戶,然後按一下 [下一步]。該帳戶必須具備可在 SCEP 伺服器上以服務身分登入的權限。
- 選擇安裝位置。建議您使用預設值。按一下 [下一步]。
- 輸入您的服務帳戶憑證,然後按一下 [下一步]。系統會隨即安裝服務。
- 按一下 [完成] 以完成安裝程序。
- 將設定檔和金鑰檔案 (
config.json
和key.json
) 移至安裝期間建立的 Google Cloud Certificate Connector 資料夾:C:\Program Files\Google Cloud Certificate Connector
。 - 啟動 Google Cloud Certificate Connector 服務:
- 開啟 Windows 服務。
- 在服務清單中選取 [Google Cloud Certificate Connector]。
- 按一下 [啟動] 即可啟動服務。確保狀態變更為「執行中」。電腦重新啟動後,這項服務也會自動重新啟動。
如果您日後下載新的服務帳戶金鑰,請重新啟動服務,才能套用該金鑰。
步驟 2:新增 SCEP 設定檔
SCEP 設定檔會定義允許使用者存取 Wi-Fi 網路的憑證。您可以將設定檔新增至機構單位,藉此指派設定檔給特定使用者。您也可以設定多個 SCEP 設定檔,以便按照機構單位和裝置類型管理存取權。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「網路」。
- 按一下「建立 SCEP 設定檔」。
-
如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。注意:由於已知問題,建議您針對每個需要套用設定檔的機構單位分別設定 SCEP 設定檔。
- 按一下「新增安全 SCEP 設定檔」。
- 輸入設定檔的設定詳細資料。如果您的 CA 發布特定範本,請將該設定檔的詳細資料與範本進行比對。
- SCEP 設定檔名稱:設定檔的描述性名稱。該名稱會顯示在設定檔清單以及 Wi-Fi 網路設定中的設定檔選取工具中。
- 主體名稱格式:選擇您要如何識別憑證擁有者。如果您選取 [完全辨別名稱],憑證通用名稱就是使用者的使用者名稱。
- 主體別名:提供 SAN。預設值為「無」。
針對 Chrome OS 裝置,您可以根據使用者和裝置屬性定義主體別名。如要使用自訂憑證簽署要求 (CSR),請在 CA 上設定憑證範本,這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 CommonName 的值。
您可以使用下列預留位置。這些都是選用的值。
${DEVICE_DIRECTORY_ID}
:裝置的目錄 ID${USER_EMAIL}
:已登入使用者的電子郵件地址${USER_EMAIL_DOMAIN}
:已登入使用者的網域名稱${DEVICE_SERIAL_NUMBER}
:裝置的序號${DEVICE_ASSET_ID}
:管理員指派給裝置的資產 ID${DEVICE_ANNOTATED_LOCATION}
:管理員指派給裝置的位置${USER_EMAIL_NAME}
:已登入使用者電子郵件地址的前半部 (即 @ 之前的部分)。
如果無法取得特定預留位置的值,系統會以空白字串取代。
- 簽署演算法:用於加密授權金鑰的雜湊函式。僅提供含有 RSA 的 SHA256。
- 金鑰使用方式:如何使用金鑰、金鑰編密和簽署的選項。您可以選取多個選項。
- 金鑰大小 (位元):RSA 金鑰的大小。如果是 Chrome OS 裝置,請選取 2048 位元。
- SCEP 伺服器網址:SCEP 伺服器的網址。
- 憑證有效期限 (年):裝置憑證的有效期限。輸入格式為數字。
- 更新間隔天數:在裝置憑證到期多久之前,嘗試更新憑證。
- 擴充金鑰使用方式:使用金鑰的方式。您可以選擇多個值。
- 驗證類型:Google 向 SCEP 伺服器發出憑證要求時,如果您需要 Google 提供指定的驗證詞組,請選擇 [靜態] 並輸入詞組。如果您選取 [無],則伺服器不需要進行這項檢查。
- 範本名稱:NDES 伺服器使用的範本名稱。
- 憑證授權單位:您上傳做為憑證授權單位的憑證名稱。
- 這個設定檔適用的網路類型:使用 SCEP 設定檔的網路類型。
- 這個設定檔適用的平台:使用 SCEP 設定檔的裝置平台。如果是 Chrome OS 裝置,請務必勾選「Chromebook (使用者)」、「Chromebook (裝置)」或兩者皆勾選 (視您要部署的憑證類型而定)。
- 按一下 [儲存]。如果您已設定某個子機構單位,或許可以沿用或覆寫上層機構單位的設定。
新增設定檔之後,系統會列出該設定檔的名稱和已啟用的平台。在「平台」資料欄中,藍色圖示的平台代表設定檔已啟用,灰色圖示的平台則代表設定檔已停用。如要編輯設定檔,請將滑鼠游標移至該行,然後按一下「編輯」圖示 。
系統會自動將 SCEP 設定檔發布給機構單位中的使用者。
步驟 3:設定 Google Cloud Certificate Connector 的 KeyStore
如果憑證是由信任的 CA 或以 HTTP 開頭的 SCEP 伺服器網址所核發,請略過這個步驟。
如果憑證並非由信任的 CA 核發 (例如自行簽署的憑證),您必須將憑證匯入 Google Cloud Certificate Connector 的 KeyStore。否則,您將無法佈建裝置憑證,裝置也無法連線。
- 登入您的 CA。
- 如果尚未安裝 Java JRE,請先安裝該環境,以便使用 keytool.exe。
- 開啟命令提示字元。
- 匯出 CA 憑證,並執行下列指令,將憑證轉換為 PEM 檔案:
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- 將 CA 憑證匯入 KeyStore。從安裝過程中建立的 Google Cloud Certificate Connector 資料夾子目錄執行下列指令 (子目錄的路徑通常為 C:\Program Files\Google Cloud Certificate Connector):
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
將
java-home-dir
改為 Google Cloud Certificate Connector 資料夾中的 JRE 路徑,並將cert-export-dir
改為您在步驟 4 所匯出憑證的路徑。
步驟 4:設定 Wi-Fi 網路,要求 SCEP 設定檔 (選用)
使用者的行動裝置或 Chrome OS 裝置收到 SCEP 伺服器的憑證後,您可以將 Wi-Fi 網路設定為需要憑證驗證。
如要同時控管行動裝置和 Chrome OS 裝置的 Wi-Fi 網路存取權,請分別設定裝置的 Wi-Fi 網路。舉例來說,您可以為行動裝置設定一個 Wi-Fi 網路,並為行動裝置指派 SCEP 設定檔,接著為 Chrome OS 裝置設定另一個 Wi-Fi 網路,並為 Chrome OS 裝置指派 SCEP 設定檔。
如何選取憑證並將 SCEP 設定檔套用至 Wi-Fi 網路:
- 新增 Wi-Fi 設定或編輯現有設定。
- 在「平台存取權」部分中,勾選 Android 或 iOS 對應的方塊或兩者皆可。
- 在「詳細資料」部分中,設定以下項目:
- 在「安全性設定」中,選取 [WPA/WPA2 Enterprise (802.1 X)] 或 [動態 WEP (802.1 X)]。
- 在「加強式驗證通訊協定」中,選擇 [EAP-TLS] 或 [EAP-TTLS]。
- 在「SCEP 設定檔」中,選擇要套用至這個網路的 SCEP 設定檔。
- 按一下 [儲存]。
現在,使用者首次嘗試連上 Wi-Fi 網路時所使用的裝置必須提供憑證。
- 如果是 Android 和 Chrome OS 裝置,系統會自動填入與其 SCEP 設定檔和網路相對應的憑證,使用者只需點選「連線」 即可。
- 如果是 iOS 裝置,則使用者必須選擇要使用的憑證,然後按一下「連線」。
透過 Google Cloud Certificate Connector 驗證憑證的方式
Google Cloud Certificate Connector 是一項 Windows 服務,可在您的 SCEP 服務器和 Google 之間建立專屬連線。設定檔和金鑰檔案會對憑證連接器進行設定和保護,而且這兩個檔案僅供貴機構專用。
您可以使用 SCEP 設定檔將裝置憑證指派給裝置及使用者。如要指派設定檔,請先選擇一個機構單位,再將設定檔新增至該機構單位。設定檔包含發布裝置憑證的憑證授權單位。當使用者為行動裝置或 Chrome OS 裝置註冊管理服務時,Google 端點管理服務會擷取使用者的 SCEP 設定檔,並在裝置上安裝憑證。針對 Chrome OS 裝置,系統會在使用者登入前安裝裝置憑證,而使用者登入後則會安裝使用者憑證。如果您已為裝置完成註冊,則系統會在一般同步週期中同時安裝憑證。
當使用者嘗試連線至您的網路時,系統會提示使用者提供憑證。在 Android 裝置中,系統會自動選擇憑證,而使用者只需點選 [連線] 即可。在 iOS 裝置上,使用者則必須手動選取憑證,然後再進行連線。裝置會使用 Google 透過憑證連接器交涉產生的金鑰,存取貴機構的網路。Google 在安全性交涉期間會暫時儲存金鑰,但在裝置上安裝金鑰之後 (或 24 小時之後) 就會予以清除。
Google、Google Workspace 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。