為受管理的行動裝置和 Chrome OS 裝置設定憑證

行動裝置：支援這項功能的版本：Frontline Standard；Enterprise Standard 和 Enterprise Plus；Education Standard、Education Plus 和 Endpoint Education Upgrade；Cloud Identity 進階版。 版本比較

Chrome OS 裝置：裝置憑證 需要 Chrome Enterprise 版本。

您可以從地端部署憑證授權單位 (CA) 發布憑證，控管使用者在行動裝置和 Chrome OS 裝置上存取貴機構 Wi-Fi 網路、內部應用程式和內部網站的權限。Google Cloud Certificate Connector 是一項 Windows 服務，可將憑證和驗證金鑰從簡易憑證註冊通訊協定 (SCEP) 伺服器安全地發布到使用者的行動裝置和 Chrome OS 裝置。瞭解詳情

您可以為 Chrome OS 裝置設定使用者憑證或裝置憑證，使用者憑證會新增至特定使用者的裝置上，供該名特定使用者存取。裝置憑證是根據裝置指派，任何登入裝置的使用者都能存取。詳情請參閱在 Chrome 裝置上管理用戶端憑證。

由於行動裝置和 Chrome OS 裝置支援不同的 RSA 金鑰類型，因此在控管行動裝置和 Chrome OS 裝置的 Wi-Fi 網路存取權時，您必須分別設定 SCEP 設定檔和 Wi-Fi 網路。

金鑰儲存空間的注意事項：

• 針對行動裝置，系統會在 Google 伺服器上產生憑證的私密金鑰。一旦系統在裝置上安裝憑證，或產生金鑰後經過 24 小時 (以先發生的情況為準)，就會從 Google 伺服器中清除金鑰。
• 針對 Chrome OS 裝置，系統會在 Chrome 裝置上產生憑證的私密金鑰。而相對應的公開金鑰會暫時儲存於 Google 伺服器上，並在憑證安裝後予以清除。

系統需求

• 貴機構使用 Microsoft Active Directory 憑證服務支援 SCEP 伺服器運作，並透過 Microsoft 網路裝置註冊服務 (NDES) 發布憑證。
• 行動裝置：採用進階行動管理服務的 iOS 和 Android 裝置。進一步瞭解裝置需求。
• Chrome OS 裝置：
  • 裝置憑證：Chrome OS 89 以上版本，並使用 Chrome Enterprise 管理。
  • 使用者憑證：Chrome OS 86 以上版本。注意：如果是 87 以下版本，使用者必須重新啟動裝置或等待幾小時，使用者憑證才會完成部署。

事前準備

• 使用 Active Directory 使用者名稱時，如果需要憑證主體名稱，您必須將 Active Directory 和 Google Directory 與 Google Cloud Directory Sync (GCDS) 同步處理。如有需要，請設定 GCDS。
• 如果您尚未在 Google 管理控制台中上傳 CA 憑證，請新增憑證。
• 請詳閱已知問題，避免產生非預期的行為。

已知問題

• 在裝置上安裝憑證之後將無法撤銷憑證。
• SCEP 設定檔不支援動態驗證。
• 在某些情況下，機構單位之間沿用的 SCEP 設定檔可能發生問題。舉例來說，如果您為某個機構單位設定了 SCEP 設定檔，但是變更了子機構單位的 SCEP 設定檔，那麼子機構單位將「無法」再次沿用頂層機構單位的 SCEP 設定檔。
• 就行動裝置而言，不能將 SCEP 設定檔套用至 VPN 或乙太網路設定，只能套用至 Wi-Fi。
• 就 Chrome OS 裝置而言，不能將 SCEP 設定檔直接套用至 VPN 或乙太網路設定。如要將 SCEP 設定檔間接套用至 VPN 或乙太網路設定，請使用發行者模式或主體模式，自動選取要使用的憑證。
• 對於 Chrome OS 裝置的使用者來說，只有登入受管理裝置的使用者能部署憑證。使用者與裝置均必須屬於相同網域。

步驟 1：下載 Google Cloud Certificate Connector

在 SCEP 伺服器上執行下列步驟，或在具有可在 SCEP 伺服器上以服務身分登入的 Windows 電腦上執行下列步驟。同時備妥可用的帳戶憑證。

如果貴機構擁有數個伺服器，您可以在所有伺服器上使用相同的憑證連接器代理程式。請按照下列步驟，在一台電腦上下載並安裝安裝檔、設定檔和金鑰檔案。然後將這三個檔案複製到另一台電腦，並按照該電腦上的設定操作說明進行。

注意：首次為貴機構設定憑證時，您只需下載 Google Cloud Certificate Connector 和相關其元件一次。您的憑證和 SCEP 設定檔可共用一個憑證連接器。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「網路」。
3. 依序按一下 [安全 SCEP] [下載連接器]。
4. 在「Google Cloud Certificate Connector」部分中，按一下 [下載]。下載檔案會在桌面上建立一個包含憑證連接器的資料夾。建議您將其他連接器設定檔下載到這個資料夾。
5. 在「下載連接器設定檔」部分中，按一下 [下載]，即可下載 config.json 檔案。
6. 在「取得服務帳戶金鑰」部分中，按一下 [產生金鑰]，即可下載 key.json 檔案。
7. 執行憑證連接器安裝程式。
   1. 在安裝精靈中，按一下 [下一步]。
   2. 接受授權協議的條款，然後點選 [下一步]。
   3. 選擇要安裝服務的帳戶，然後按一下 [下一步]。該帳戶必須具備可在 SCEP 伺服器上以服務身分登入的權限。
   4. 選擇安裝位置。建議您使用預設值。按一下 [下一步]。
   5. 輸入您的服務帳戶憑證，然後按一下 [下一步]。系統會隨即安裝服務。
   6. 按一下 [完成] 以完成安裝程序。
8. 將設定檔和金鑰檔案 (config.json 和 key.json) 移至安裝期間建立的 Google Cloud Certificate Connector 資料夾：C:\Program Files\Google Cloud Certificate Connector。
9. 啟動 Google Cloud Certificate Connector 服務：
   1. 開啟 Windows 服務。
   2. 在服務清單中選取 [Google Cloud Certificate Connector]。
   3. 按一下 [啟動] 即可啟動服務。確保狀態變更為「執行中」。電腦重新啟動後，這項服務也會自動重新啟動。

如果您日後下載新的服務帳戶金鑰，請重新啟動服務，才能套用該金鑰。

步驟 2：新增 SCEP 設定檔

SCEP 設定檔會定義允許使用者存取 Wi-Fi 網路的憑證。您可以將設定檔新增至機構單位，藉此指派設定檔給特定使用者。您也可以設定多個 SCEP 設定檔，以便按照機構單位和裝置類型管理存取權。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「網路」。
3. 按一下「建立 SCEP 設定檔」。
4. 如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。注意：由於已知問題，建議您針對每個需要套用設定檔的機構單位分別設定 SCEP 設定檔。
5. 按一下「新增安全 SCEP 設定檔」。
6. 輸入設定檔的設定詳細資料。如果您的 CA 發布特定範本，請將該設定檔的詳細資料與範本進行比對。
   • SCEP 設定檔名稱：設定檔的描述性名稱。該名稱會顯示在設定檔清單以及 Wi-Fi 網路設定中的設定檔選取工具中。
   • 主體名稱格式：選擇您要如何識別憑證擁有者。如果您選取 [完全辨別名稱]，憑證通用名稱就是使用者的使用者名稱。
   • 主體別名：提供 SAN。預設值為「無」。

     針對 Chrome OS 裝置，您可以根據使用者和裝置屬性定義主體別名。如要使用自訂憑證簽署要求 (CSR)，請在 CA 上設定憑證範本，這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 CommonName 的值。

     您可以使用下列預留位置。這些都是選用的值。

     • ${DEVICE_DIRECTORY_ID}：裝置的目錄 ID
     • ${USER_EMAIL}：已登入使用者的電子郵件地址
     • ${USER_EMAIL_DOMAIN}：已登入使用者的網域名稱
     • ${DEVICE_SERIAL_NUMBER}：裝置的序號
     • ${DEVICE_ASSET_ID}：管理員指派給裝置的資產 ID
     • ${DEVICE_ANNOTATED_LOCATION}：管理員指派給裝置的位置
     • ${USER_EMAIL_NAME}：已登入使用者電子郵件地址的前半部 (即 @ 之前的部分)。

     如果無法取得特定預留位置的值，系統會以空白字串取代。

   • 簽署演算法：用於加密授權金鑰的雜湊函式。僅提供含有 RSA 的 SHA256。
   • 金鑰使用方式：如何使用金鑰、金鑰編密和簽署的選項。您可以選取多個選項。
   • 金鑰大小 (位元)：RSA 金鑰的大小。如果是 Chrome OS 裝置，請選取 2048 位元。
   • SCEP 伺服器網址：SCEP 伺服器的網址。
   • 憑證有效期限 (年)：裝置憑證的有效期限。輸入格式為數字。
   • 更新間隔天數：在裝置憑證到期多久之前，嘗試更新憑證。
   • 擴充金鑰使用方式：使用金鑰的方式。您可以選擇多個值。
   • 驗證類型：Google 向 SCEP 伺服器發出憑證要求時，如果您需要 Google 提供指定的驗證詞組，請選擇 [靜態] 並輸入詞組。如果您選取 [無]，則伺服器不需要進行這項檢查。
   • 範本名稱：NDES 伺服器使用的範本名稱。
   • 憑證授權單位：您上傳做為憑證授權單位的憑證名稱。
   • 這個設定檔適用的網路類型：使用 SCEP 設定檔的網路類型。
   • 這個設定檔適用的平台：使用 SCEP 設定檔的裝置平台。如果是 Chrome OS 裝置，請務必勾選「Chromebook (使用者)」、「Chromebook (裝置)」或兩者皆勾選 (視您要部署的憑證類型而定)。
7. 按一下 [儲存]。如果您已設定某個子機構單位，或許可以沿用或覆寫上層機構單位的設定。

新增設定檔之後，系統會列出該設定檔的名稱和已啟用的平台。在「平台」資料欄中，藍色圖示的平台代表設定檔已啟用，灰色圖示的平台則代表設定檔已停用。如要編輯設定檔，請將滑鼠游標移至該行，然後按一下「編輯」圖示 。

系統會自動將 SCEP 設定檔發布給機構單位中的使用者。

步驟 3：設定 Google Cloud Certificate Connector 的 KeyStore

如果憑證是由信任的 CA 或以 HTTP 開頭的 SCEP 伺服器網址所核發，請略過這個步驟。

如果憑證並非由信任的 CA 核發 (例如自行簽署的憑證)，您必須將憑證匯入 Google Cloud Certificate Connector 的 KeyStore。否則，您將無法佈建裝置憑證，裝置也無法連線。

1. 登入您的 CA。
2. 如果尚未安裝 Java JRE，請先安裝該環境，以便使用 keytool.exe。
3. 開啟命令提示字元。
4. 匯出 CA 憑證，並執行下列指令，將憑證轉換為 PEM 檔案：

   certutil ‑ca.cert C:\root.cer
   certutil ‑encode cacert.cer cacert.pem

5. 將 CA 憑證匯入 KeyStore。從安裝過程中建立的 Google Cloud Certificate Connector 資料夾子目錄執行下列指令 (子目錄的路徑通常為 C:\Program Files\Google Cloud Certificate Connector)：

   java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

   將 java-home-dir 改為 Google Cloud Certificate Connector 資料夾中的 JRE 路徑，並將 cert-export-dir 改為您在步驟 4 所匯出憑證的路徑。

步驟 4：設定 Wi-Fi 網路，要求 SCEP 設定檔 (選用)

使用者的行動裝置或 Chrome OS 裝置收到 SCEP 伺服器的憑證後，您可以將 Wi-Fi 網路設定為需要憑證驗證。

如要同時控管行動裝置和 Chrome OS 裝置的 Wi-Fi 網路存取權，請分別設定裝置的 Wi-Fi 網路。舉例來說，您可以為行動裝置設定一個 Wi-Fi 網路，並為行動裝置指派 SCEP 設定檔，接著為 Chrome OS 裝置設定另一個 Wi-Fi 網路，並為 Chrome OS 裝置指派 SCEP 設定檔。

如何選取憑證並將 SCEP 設定檔套用至 Wi-Fi 網路：

1. 新增 Wi-Fi 設定或編輯現有設定。
2. 在「平台存取權」部分中，勾選 Android 或 iOS 對應的方塊或兩者皆可。
3. 在「詳細資料」部分中，設定以下項目：
   1. 在「安全性設定」中，選取 [WPA/WPA2 Enterprise (802.1 X)] 或 [動態 WEP (802.1 X)]。
   2. 在「加強式驗證通訊協定」中，選擇 [EAP-TLS] 或 [EAP-TTLS]。
   3. 在「SCEP 設定檔」中，選擇要套用至這個網路的 SCEP 設定檔。
4. 按一下 [儲存]。

現在，使用者首次嘗試連上 Wi-Fi 網路時所使用的裝置必須提供憑證。

• 如果是 Android 和 Chrome OS 裝置，系統會自動填入與其 SCEP 設定檔和網路相對應的憑證，使用者只需點選「連線」 即可。
• 如果是 iOS 裝置，則使用者必須選擇要使用的憑證，然後按一下「連線」。

透過 Google Cloud Certificate Connector 驗證憑證的方式

Google Cloud Certificate Connector 是一項 Windows 服務，可在您的 SCEP 服務器和 Google 之間建立專屬連線。設定檔和金鑰檔案會對憑證連接器進行設定和保護，而且這兩個檔案僅供貴機構專用。

您可以使用 SCEP 設定檔將裝置憑證指派給裝置及使用者。如要指派設定檔，請先選擇一個機構單位，再將設定檔新增至該機構單位。設定檔包含發布裝置憑證的憑證授權單位。當使用者為行動裝置或 Chrome OS 裝置註冊管理服務時，Google 端點管理服務會擷取使用者的 SCEP 設定檔，並在裝置上安裝憑證。針對 Chrome OS 裝置，系統會在使用者登入前安裝裝置憑證，而使用者登入後則會安裝使用者憑證。如果您已為裝置完成註冊，則系統會在一般同步週期中同時安裝憑證。

當使用者嘗試連線至您的網路時，系統會提示使用者提供憑證。在 Android 裝置中，系統會自動選擇憑證，而使用者只需點選 [連線] 即可。在 iOS 裝置上，使用者則必須手動選取憑證，然後再進行連線。裝置會使用 Google 透過憑證連接器交涉產生的金鑰，存取貴機構的網路。Google 在安全性交涉期間會暫時儲存金鑰，但在裝置上安裝金鑰之後 (或 24 小時之後) 就會予以清除。