移动设备:支持此功能的版本:Frontline Standard;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和教育端点管理升级;Cloud Identity 专业版。 比较您的版本
Chrome 操作系统设备:需要使用 Chrome 企业版 才能为设备设置证书。
通过分发由本地证书授权机构 (CA) 颁发的证书,您可以控制用户使用移动设备和 Chrome 操作系统设备访问贵单位 Wi-Fi 网络、内部应用和内部网站的权限。Google Cloud Certificate Connector 是一项 Windows 服务,用于将证书和身份验证密钥从简单证书注册协议 (SCEP) 服务器安全地分发到用户的移动设备和 Chrome 操作系统设备。了解详情
对于 Chrome 操作系统设备,您可以设置基于用户或基于设备的证书。用户证书会添加到某个特定用户的设备中,并可供该用户使用。设备证书会根据设备来分配,可供登录设备的任何用户使用。有关详情,请参阅管理 Chrome 设备上的客户端证书。
如果您想控制移动设备和 Chrome 操作系统设备的 Wi-Fi 网络访问权限,则需要设置单独的 SCEP 配置文件和 Wi-Fi 网络,因为移动设备和 Chrome 操作系统设备所支持 RSA 密钥类型不同。
关于密钥存储空间的注意事项:
- 对于移动设备,证书的私钥在 Google 服务器中生成。当设备安装了证书或经过 24 小时(两者取其先)后,私钥会从 Google 服务器中彻底清除。
- 对于 Chrome 操作系统设备,证书私钥会在 Chrome 设备上生成。相应的公钥则临时存储在 Google 服务器上,并且会在证书安装完毕后彻底清除。
系统要求
- 要分发证书,贵单位需要使用适用于 SCEP 服务器的 Microsoft Active Directory Certificate Service 和 Microsoft Network Device Enrollment Service (NDES)。
- 移动设备:使用高级移动设备管理服务的 iOS 和 Android 设备。详细了解设备要求。
- Chrome 操作系统设备:
- 设备证书:Chrome 操作系统 89 或更高版本,并通过 Chrome 企业版进行管理
- 用户证书:Chrome 操作系统 86 或更高版本。注意:对于低于 87 的版本,用户必须重启设备或等待几小时,以便部署用户证书。
须知事项
- 如需以 Active Directory 用户名作为证书“主题”名称,必须使用 Google Cloud Directory Sync (GCDS) 将 Active Directory 与 Google Directory 同步。如有必要,请设置 GCDS。
- 如果您尚未在 Google 管理控制台上传 CA 证书,请添加证书。
- 查看已知问题以避免意外情况。
已知问题
- 证书在设备上安装后便无法撤消。
- SCEP 配置文件不支持动态验证。
- 在某些情况下,组织部门之间的 SCEP 配置文件继承设置可能会被中断。举例来说,如果您为某个组织部门设置了 SCEP 配置文件,然后又更改了下级组织部门的 SCEP 配置文件,则任何下级组织部门都无法再继承上级组织部门的 SCEP 配置文件。
- 对于移动设备,SCEP 配置文件无法应用到 VPN 或以太网配置,只能应用到 Wi-Fi。
- 对于 Chrome 操作系统设备,SCEP 配置文件无法直接应用到 VPN 或以太网配置。要将 SCEP 配置文件间接应用到 VPN 或以太网配置,请使用颁发者模式或主题模式自动选择要使用的证书。
- 对于 Chrome 操作系统设备用户,只能为登录受管理设备的用户部署证书。用户和设备必须属于同一网域。
第 1 步:下载 Google Cloud Certificate Connector
在 SCEP 服务器上执行以下步骤,或者在 Windows 计算机上使用可通过服务的形式登录 SCEP 服务器的帐号登录并执行以下步骤。准备好帐号凭据。
如果贵单位拥有多台服务器,您可以在所有服务器上使用同一个证书连接器代理。按照以下步骤操作,在一台计算机上下载并安装安装文件、配置文件和密钥文件。然后,将这三个文件复制到另一台计算机上,并按照针对此计算机的设置说明进行操作。
注意:首次为贵单位设置证书时,只需下载 Google Cloud Certificate Connector 及其组件一次。您的证书和 SCEP 配置文件可以共用一个证书连接器。
-
-
在管理控制台中,依次点击“菜单”图标 设备 网络。
- 点击安全 SCEP 下载连接器。
- 在“Google Cloud Certificate Connector”部分,点击下载。执行下载操作后,桌面上会生成一个文件夹,其中包含此证书连接器。建议您将其他连接器配置文件也下载到此文件夹中。
- 在“下载连接器配置文件”部分,点击下载。系统会下载
config.json
文件。 - 在“获取服务帐号密钥”部分,点击生成密钥。系统会下载
key.json
文件。 - 运行证书连接器安装程序。
- 在安装向导中,点击下一步。
- 接受许可协议条款,然后点击下一步。
- 选择要为哪个帐号安装此服务,然后点击下一步。该帐号必须具有在 SCEP 服务器上通过服务的形式登录的权限。
- 选择安装位置。建议使用默认值。点击下一步。
- 输入您的服务帐号凭据,然后点击下一步。系统会安装此服务。
- 点击完成以完成安装。
- 将配置文件和密钥文件(
config.json
和key.json
)移动到安装过程中创建的 Google Cloud Certificate Connector 文件夹中,路径通常为:C:\Program Files\Google Cloud Certificate Connector
。 - 启动 Google Cloud Certificate Connector 服务:
- 打开 Windows 服务。
- 在服务列表中选择 Google Cloud Certificate Connector。
- 点击启动以启动该服务。确保该服务的状态变为正在运行。如果计算机重新启动,该服务也会自动重启。
如果您稍后下载了新服务帐号密钥,请重新启动该服务以应用新密钥。
第 2 步:添加 SCEP 配置文件
SCEP 配置文件定义了允许用户访问您 Wi-Fi 网络的证书。您可以向单位部门添加此配置文件,从而将其分配给特定用户。您可以设置多个 SCEP 配置文件,以便按单位部门和设备类型管理访问权限。
-
-
在管理控制台中,依次点击“菜单”图标 设备 网络。
- 点击创建 SCEP 配置文件。
-
要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。 注意:由于已知问题,我们建议您为希望应用 SCEP 配置文件的各个单位部门都设置该配置文件。
- 点击添加安全 SCEP 配置文件。
- 输入配置文件的详细配置信息。如果您的 CA 签发了特定模板,请确保配置文件详细信息与模板保持一致。
- SCEP 配置文件名称 - 配置文件的描述性名称。该名称会显示在 Wi-Fi 网络配置的配置文件列表和配置文件选择器中。
- 主题名称格式 - 选择标识证书所有者的方式。如果选择完全可分辨名称,则证书常用名就是用户的用户名。
- 主题备用名称 - 提供一个 SAN。默认值为无。
对于 Chrome 操作系统设备,您可以根据用户和设备属性来指定主题备用名称。如需使用自定义证书签名请求 (CSR),请在 CA 上配置证书模板,以生成主题值为请求中所指定值的证书。您至少需要提供主题的 CommonName 值。
您可以使用以下占位符,而所有值都是选填的。
${DEVICE_DIRECTORY_ID}
- 设备的目录 ID${USER_EMAIL}
- 已登录用户的电子邮件地址${USER_EMAIL_DOMAIN}
- 已登录用户的域名${DEVICE_SERIAL_NUMBER}
- 设备序列号${DEVICE_ASSET_ID}
- 管理员为设备分配的资产 ID${DEVICE_ANNOTATED_LOCATION}
- 管理员为设备分配的位置${USER_EMAIL_NAME}
- 已登录用户的电子邮件地址的第一部分(“@“之前)
如果某个占位值不可用,系统会用空白字符串替代。
- 签名算法 - 用于加密授权密钥的哈希函数。仅提供 SHA256withRSA 的加密方式。
- 密钥用途 - 有关如何使用密钥、密钥加密和签名的选项。您可以选择多个密钥用途。
- 密钥大小(位)- RSA 密钥的大小。对于 Chrome 操作系统设备,请选择 2048。
- SCEP 服务器网址 - SCEP 服务器的网址。
- 证书有效期(年)- 设备证书的有效期。请输入一个数字。
- 续订提前天数 - 在设备证书过期前几天尝试续订证书。
- 扩展的密钥用途 - 如何使用密钥。您可以选择多个值。
- 验证类型 - 如需要求 Google 在向 SCEP 服务器请求证书时提供指定的验证码,请选择静态并输入验证码。如果您选择无,则服务器不要求进行此项检查。
- 模板名称 - 您的 NDES 服务器使用的模板的名称。
- 证书授权机构 - 您上传以用作证书授权机构的证书的名称。
- 此配置文件适用的网络类型 - 使用 SCEP 配置文件的网络类型。
- 此配置文件适用的平台 - 使用 SCEP 配置文件的设备平台。对于 Chrome 操作系统设备,请务必选中 Chromebook(用户)和/或 Chromebook(设备),具体取决于您要部署的证书类型。
- 点击保存。如果您配置了下级单位部门,则或许可以继承或覆盖上级单位部门的设置。
添加配置文件后,系统会列出配置文件及其名称,以及已启用的平台。在平台列中,带有蓝色图标的平台启用了此配置文件;带有灰色图标的平台停用了此配置文件。要修改配置文件,请将光标指向相应行,然后点击“修改”图标 。
系统会将 SCEP 配置文件自动分发给单位部门中的用户。
第 3 步:配置 Google Cloud Certificate Connector 的密钥库
如果您的证书是由受信任的 CA 颁发的,或者 SCEP 服务器网址以 HTTP 开头,请跳过此步骤。
如果您的证书不是由受信任的 CA 颁发的(例如自签名证书),则您需要将证书导入 Google Cloud Certificate Connector 密钥库。否则,将无法配置设备证书,相应设备也无法连接。
- 登录 CA。
- 如果尚未安装 Java JRE,请安装一个以便使用 keytool.exe。
- 打开命令提示符窗口。
- 运行以下命令,导出 CA 证书并将其转换为 PEM 文件:
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- 将 CA 证书导入密钥库。在安装过程中创建的 Google Cloud Certificate Connector 文件夹的子目录(通常是 C:\Program Files\Google Cloud Certificate Connector)中,运行以下命令:
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
将
java-home-dir
替换为 Google Cloud Certificate Connector 文件夹中 JRE 的路径,将cert-export-dir
替换为您在第 4 步中导出的证书的路径。
第 4 步:将 Wi-Fi 网络配置为要求 SCEP 配置文件(可选)
在用户的移动设备或 Chrome 操作系统设备从 SCEP 服务器收到证书后,您可以将 Wi-Fi 网络配置为要求使用证书进行身份验证。
要控制移动设备和 Chrome 操作系统设备的 Wi-Fi 网络访问权限,请为每台设备分别设置 Wi-Fi 网络。例如,为移动设备设置一个 Wi-Fi 网络,并为移动设备分配一个 SCEP 配置文件,然后为 Chrome 操作系统设备设置另一个 Wi-Fi 网络,并为 Chrome 操作系统设备分配一个 SCEP 网络。
要选择所需的证书并将 SCEP 配置文件应用到 Wi-Fi 网络,请执行以下操作:
- 添加 Wi-Fi 配置或修改现有配置。
- 在“平台访问权限”部分中,选中 Android 或 iOS 对应的复选框,或者同时选中二者。
- 在“详细信息”部分,设置以下内容:
- 在安全设置部分,选择 WPA/WPA2 Enterprise (802.1 X) 或动态 WEP (802.1 X)。
- 在可扩展的身份验证协议部分,选择 EAP-TLS 或 EAP-TTLS。
- 在 SCEP 配置文件部分,选择您要应用到此网络的 SCEP 配置文件。
- 点击保存。
现在,当用户首次尝试连接到此 Wi-Fi 网络时,其设备必须提供证书。
- 对于 Android 设备和 Chrome 操作系统设备,系统会自动填充与 SCEP 配置文件和网络对应的证书,然后由用户点击连接。
- 对于 iOS 设备,用户必须选择要使用的证书,然后点击连接。
基于 Google Cloud Certificate Connector 的证书身份验证机制如何运作
Google Cloud Certificate Connector 是一项 Windows 服务,用于在您的 SCEP 服务器与 Google 之间建立专有连接。证书连接器由贵单位专用的配置文件和密钥文件进行配置和保护。
您可以使用 SCEP 配置文件向设备和用户分配设备证书。如要分配配置文件,请选择一个单位部门,然后将配置文件添加到该单位部门。配置文件中包含颁发设备证书的证书授权机构。当用户为其移动设备或 Chrome 操作系统设备注册管理服务时,Google 端点管理服务会提取用户的 SCEP 配置文件,并在设备上安装证书。对于 Chrome 操作系统设备,设备证书会在用户登录前安装,而用户证书会在用户登录后安装。对于已注册的设备,证书会在常规同步周期中安装。
当用户尝试连接到您的网络时,系统会提示他们提供证书。Android 设备会自动选择证书,然后由用户点击连接。对于 iOS 设备,用户必须手动选择证书,然后点击连接。设备使用由 Google 通过证书连接器协商获取的密钥访问贵单位的网络。Google 会在安全性协商过程中临时存储密钥,但当设备安装密钥后(或经过 24 小时后),Google 就会将其彻底清除。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。