コネクタを使用すると、オンプレミスの認証局(CA)から発行されたデバイス証明書を配布して、ChromeOS デバイスから組織の Wi-Fi ネットワーク、内部アプリ、内部ウェブサイトへのユーザー アクセスを制御できます。Google Cloud Certificate Connector は Windows サービスであり、Simple Certificate Enrollment Protocol(SCEP)サーバーからユーザーのデバイスに証明書と認証鍵を安全に配布します。
ChromeOS デバイスの場合、証明書の秘密鍵はデバイスで生成されます。対応する公開鍵は Google のサーバーに一時的に保存され、証明書のインストール後に削除されます。
システム要件
- SCEP サーバー向けの Microsoft Active Directory 証明書サービスと、Microsoft Network Device Enrollment Service(NDES)を使用して、証明書をユーザーに配布します。Windows Server 2016 以降がサポートされています。
- 快適にご利用いただくには、バージョン 89 以降の ChromeOS デバイスを使用してください。
始める前に
- SCEP を使用して証明書のデプロイを設定するには、組織で Microsoft Active Directory 証明書サービスを管理するための専門知識と権限が必要です。次に進む前に、関連する専門知識を持つ人が組織内にいることをご確認ください。
- 証明書のサブジェクト名で Active Directory のユーザー名を使用する必要がある場合は、Active Directory および Google Directory を Google Cloud Directory Sync(GCDS)と同期する必要があります。必要に応じて、GCDS を設定します。
- Google 管理コンソールで CA 証明書をまだアップロードしていない場合は、証明書を追加します。
ステップ 1: Google Cloud Certificate Connector をダウンロードする
注: モバイル デバイス用に Google Cloud Certificate Connector をすでに設定している場合は、この手順をスキップしてステップ 2: SCEP プロファイルを追加するに進みます。
SCEP サーバーまたは Windows パソコン(SCEP サーバーにサービスとしてログインできるアカウントを使用)で、次の手順を実施します。アカウントの認証情報を用意しておいてください。
組織に複数のサーバーがある場合は、そのすべてのサーバーで同じ Certificate Connector エージェントを使用できます。以下の手順に沿って、インストール ファイル、設定ファイル、鍵ファイルを 1 台のパソコンにダウンロードしてインストールします。次に、この 3 つのファイルを別のサーバー用パソコンにコピーし、そのパソコン上で同じ設定手順を繰り返します。
注: Google Cloud Certificate Connector とそのコンポーネントは、組織用の証明書を最初に設定するときに一度だけダウンロードします。証明書と SCEP プロファイルでは、1 つの証明書コネクタを共有できます。
-
-
管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
- [セキュア SCEP] [コネクタをダウンロード] をクリックします。
- [Google Cloud Certificate Connector] で [ダウンロード] をクリックします。ダウンロードすると、証明書コネクタを含むフォルダがパソコンのデスクトップ上に作成されます。このフォルダに、他のコネクタ設定ファイルもダウンロードすることをおすすめします。
-
[コネクタの設定ファイルをダウンロードする] で [ダウンロード] をクリックします。
config.json
ファイルがダウンロードされます。 - [サービス アカウントの鍵を取得する] で [キーを生成] をクリックします。
key.json
ファイルがダウンロードされます。 - 証明書コネクタ インストーラを実行します。
- インストール ウィザードで [次へ] をクリックします。
- 使用許諾契約の条項に同意して [次へ] をクリックします。
- サービスのインストール対象となるアカウントを選択し、[次へ] をクリックします。SCEP サーバーでサービスとしてログインする権限のあるアカウントを選択してください。
- インストール場所を選択します。デフォルトを使用することをおすすめします。[次へ] をクリックします。
- サービス アカウントの認証情報を入力し、[次へ] をクリックします。サービスがインストールされます。
- [完了] をクリックしてインストールを完了します。
- インストール中に作成された Google Cloud Certificate Connector のフォルダ(通常は
C:\Program Files\Google Cloud Certificate Connector
)に、設定ファイルと鍵ファイル(config.json
とkey.json
)を移動します。 - Google Cloud Certificate Connector サービスを起動します。
- Windows サービスを開きます。
- サービスのリストで [Google Cloud Certificate Connector] を選択します。
- [開始] をクリックしてサービスを開始します。ステータスが [実行中] に変わることを確認します。パソコンを再起動すると、サービスは自動的に再起動します。
後でサービス アカウントの新しい鍵をダウンロードする場合は、サービスを再起動して、その鍵を適用します。
ステップ 2: SCEP プロファイルを追加する
SCEP プロファイルにより、ユーザーが Wi-Fi ネットワークにアクセスできるようにする証明書が定義されます。プロファイルを特定のユーザーに割り当てるには、そのプロファイルを組織部門に追加します。複数の SCEP プロファイルを設定して、組織部門別およびデバイスの種類別にアクセスを管理できます。
開始する前に: 特定の複数のユーザーに設定を適用するには、対象のユーザーのアカウントを 1 つの組織部門に追加します。
-
-
管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
- [SCEP プロファイルを作成] をクリックします。
- (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。手順を見る
- [セキュア SCEP プロファイルを追加] をクリックします。
- プロファイルの設定の詳細を入力します。CA によって特定のテンプレートが発行されている場合は、プロファイルの詳細をテンプレートに合わせます。
- SCEP プロファイル名 - プロファイルのわかりやすい名前を使用します。この名前は、Wi-Fi ネットワーク設定内のプロファイルのリストとプロファイルの選択画面に表示されます。
- サブジェクト名の形式 - 証明書の所有者を識別する方法を選択します。[完全な識別名] を選択した場合、証明書の Common Name(コモンネーム)はユーザー名になります。
- サブジェクトの別名 - SAN を指定します。デフォルトは [なし] に設定されています。必要に応じて複数の SAN を作成します。SAN でサポートされている変数をご覧ください。
- 署名アルゴリズム - 認証鍵の暗号化に使用するハッシュ関数です。RSA を使う SHA256 のみ使用できます。
- 鍵の用途 - 鍵の使い方、鍵による暗号化と署名に関するオプションです。複数選択することもできます。
- 鍵のサイズ(ビット) - RSA 鍵のサイズです。
注: ChromeOS デバイスは 2,048 ビットの鍵をサポートするハードウェアのみに対応しています。セキュリティ強化のために、鍵はサーバー上ではなく、ChromeOS デバイス上で TPM を使用して生成されます。 - セキュリティ - 認証の必須要件です。[厳格] を選択すると、認証済みアクセスの検証が必要になります(管理対象の ChromeOS デバイスのみ対応可)。ChromeOS Flex と 管理対象外の ChromeOS デバイスには [制限緩和] を選択してください。
- SCEP サーバーの URL - SCEP サーバーの URL です。
- 証明書の有効期間(年数) - デバイス証明書が有効である期間を指定します。数値で入力します。
- 更新までの日数 - 証明書の更新が可能となる、デバイス証明書の有効期限が切れる前の日数を指定します。
- 鍵の拡張的用途 - 鍵の利用方法を指定します。複数の値を選択できます。
- 本人確認の種類 - Google が SCEP サーバーに証明書をリクエストする際、Google に特定の本人確認用フレーズの提供を求めるには、[静的] をオンにしてフレーズを入力します。[なし] を選択した場合、サーバーはこの確認を求めません。
- テンプレート名 - NDES サーバーによって使用されるテンプレートの名前です。
- 認証局 - 認証局として使用するためにアップロードした証明書の名前です。
- このプロファイルが適用されるネットワークの種類 - SCEP プロファイルを使用するネットワークの種類です。
- このプロファイルが適用されるプラットフォーム - SCEP プロファイルを使用するデバイス プラットフォームです。
- [保存] をクリックします。 または、組織部門 の [オーバーライド] をクリックします。
継承された値を後で復元するには、[継承] をクリックします。
プロファイルを追加すると、その名前と、そのプロファイルが有効になっているプラットフォームが表示されます。[プラットフォーム] 列の青色のアイコンはプロファイルが有効になっているプラットフォーム、灰色のアイコンはプロファイルが無効になっているプラットフォームです。プロファイルを編集するには、該当する行にカーソルを合わせて編集アイコン をクリックします。デプロイする証明書の種類に応じて、必ず [Chromebook(ユーザー)] または [Chromebook(デバイス)] を選択してください。
SCEP プロファイルが組織部門内のユーザーに自動的に配布されます。
Google Cloud Certificate Connector を使用した証明書認証の仕組み
Google Cloud Certificate Connector は、SCEP サーバーと Google との間に専用の接続を確立する Windows サービスです。Certificate Connector は設定ファイルと鍵ファイル(どちらも組織専用)によって設定、保護されます。
SCEP プロファイルを使用してユーザーとデバイスに証明書を割り当てます。プロファイルを適用するには、組織部門を選択し、その組織部門にプロファイルを追加します。プロファイルには、証明書を発行する認証局が含まれています。ChromeOS デバイスを登録すると、設定済みのポリシーがデバイスに送信されます。デバイス証明書をデプロイする場合は、ユーザーのログイン前にデバイスに証明書がインストールされます。ユーザー証明書をデプロイする場合は、ユーザーのログイン後にデバイスに証明書がインストールされます。デバイスをすでに登録済みの場合、またはユーザー プロファイルがすでに存在する場合は、デバイスまたはユーザーが管理コンソールから更新済みポリシーを受け取ると証明書がインストールされます。
既知の問題と制限事項
- 現在、SCEP プロファイルでは動的な本人確認はサポートされていません。
- デバイスにインストールした後の証明書を取り消すことはできません。
- クライアント証明書を発行する CA 証明書を使用して、SCEP プロファイルを設定する必要があります。CA 証明書 - 中間 CA 証明書 - ID 証明書などの証明書チェーンを使用する場合は、SCEP プロファイルに中間 CA 証明書を設定する必要があります。
- 証明書は、登録済みの管理対象デバイスにログインしているユーザーに対してのみデプロイできます。ユーザーとデバイスは同じドメインに所属している必要があります。
SAN でサポートされている変数
リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいてサブジェクトの代替名を定義できます。カスタムの証明書署名リクエスト(CSR0)を使用するには、リクエストに定義されているサブジェクトの値を使用して証明書が想定どおりに生成されるよう、CA の証明書テンプレートも設定する必要があります。ここでは、少なくともサブジェクトの CommonName
の値を指定する必要があります。
次のプレースホルダを使用できます。値はすべて省略可能です。
${DEVICE_DIRECTORY_ID}
- デバイスのディレクトリ ID${USER_EMAIL}
- ログインしているユーザーのメールアドレス${USER_EMAIL_DOMAIN}
- ログインしているユーザーのドメイン名${DEVICE_SERIAL_NUMBER}
- デバイスのシリアル番号${DEVICE_ASSET_ID}
- 管理者によってデバイスに割り当てられたアセット ID${DEVICE_ANNOTATED_LOCATION}
- 管理者によってデバイスに割り当てられているロケーション${USER_EMAIL_NAME}
- ログイン ユーザーのメールアドレスの先頭部分(「@」の前)
プレースホルダの値を取得できない場合、値は空の文字列に置き換えられます。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。