Usar o Conector de certificação do Google Cloud

Para controlar o acesso dos usuários às redes Wi-Fi, apps e sites internos da sua organização em dispositivos ChromeOS, use um conector para distribuir certificados de dispositivos da autoridade certificadora (CA) no local. O Conector de Certificação do Google Cloud é um serviço do Windows que distribui com segurança certificados e chaves de autenticação do servidor de Protocolo de Inscrição de Certificado Simples (SCEP, na sigla em inglês) para os dispositivos móveis dos usuários.

Nos dispositivos ChromeOS, as chaves privadas dos certificados são geradas no dispositivo. A chave pública correspondente é armazenada temporariamente nos servidores do Google e excluída após a instalação do certificado.

Requisitos do sistema

  • Sua organização usa o Serviço de Certificado do Microsoft Active Directory para um servidor SCEP e o Serviço de Registro de Dispositivo de Rede (NDES, na sigla em inglês) da Microsoft para distribuir certificados. O Windows Server 2016 e as versões mais recentes são compatíveis.
  • É preciso usar dispositivos ChromeOS com a versão 89 ou mais recente para ter a melhor experiência.

Antes de começar

  • Para configurar a implantação de certificados com o SCEP, você precisa de conhecimento e permissões para gerenciar o Serviço de Certificado do Microsoft Active Directory na sua organização. Consulte os especialistas na sua organização antes de continuar.
  • Se você precisar do nome do assunto do certificado para usar nomes de usuário do Active Directory, será necessário sincronizar o Active Directory e o Google Directory com o Google Cloud Directory Sync (GCDS). Se necessário, configure o GCDS.
  • Caso ainda não tenha enviado um certificado de CA no Google Admin Console, adicione um certificado.

Etapa 1: fazer o download do Conector de Certificação do Google Cloud

Observação: se você já tiver configurado o Conector de Certificação do Google Cloud para dispositivos móveis, pule esta etapa e acesse a Etapa 2: adicionar um perfil do SCEP.

Siga as etapas abaixo no servidor SCEP ou em um computador Windows com uma conta que possa fazer login como um serviço no servidor SCEP. Tenha as credenciais da conta disponíveis.

Caso sua organização tenha vários servidores, você poderá usar o mesmo agente do conector de certificação em todos eles. Faça o download e a instalação do arquivo de instalação, do arquivo de configuração e do arquivo de chave em um computador seguindo as etapas abaixo. Em seguida, copie esses três arquivos para o outro computador e siga as instruções de configuração nele.

Observação: você faz o download do Conector de Certificação do Google Cloud e dos respectivos componentes apenas quando configura os certificados para sua organização. Seus certificados e perfis SCEP podem compartilhar um único conector de certificação.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisRedes.
  3. Clique em SCEP seguroe depoisFazer o download do conector.
  4. Na seção "Conector de certificação do Google Cloud", clique em Fazer download. O download cria uma pasta na área de trabalho que contém o conector de certificação. Recomendamos que você faça o download dos outros arquivos de configuração do conector para essa pasta.
  5. Na seção "Fazer download do arquivo de configuração do conector", clique em Fazer download. É feito o download do arquivo config.json.

  6. Na seção "Gerar uma chave da conta de serviço", clique em Gerar chave. É feito o download do arquivo key.json.
  7. Execute o instalador do conector de certificação.
    1. Baixe o instalador do conector.
    2. Execute o instalador como administrador. 
    3. O instalador registra o serviço e usa a conta LocalService como padrão para fazer login.
    4. Quando o serviço é registrado, o software é marcado como instalado. Em seguida, o instalador tenta iniciar o serviço.
      Se esta for a primeira instalação do conector, o serviço não será iniciado devido à ausência de arquivos necessários.
  8. Mova os arquivos de configuração e de chave (config.jsone key.json) para a pasta "Google Cloud Certificate Connector" criada durante a instalação. Essa pasta geralmente fica em: C:\Arquivos de Programas\Google Cloud Certificate Connector.
  9. (Opcional) Execute a ferramenta de configuração ( C:\Program Files\Google Cloud Certificate Connector\Config Tool.exe) como administrador para registrar novamente o serviço com um nome de conta diferente da conta LocalService padrão.
  10. Inicie o serviço do Conector de Certificação do Google Cloud:
    • Abra os Serviços do Windows.
    • Selecione Conector de Certificação do Google Cloud na lista de serviços.
    • Clique em Iniciar para iniciar o serviço. Confirme que o status mudou para Em execução. O serviço será reiniciado automaticamente se o computador for reinicializado.

Se você fizer o download de uma nova chave de conta de serviço mais tarde, reinicie o serviço para aplicá-la.

Etapa 2: adicionar um perfil do SCEP

O perfil do SCEP define o certificado que permite aos usuários acessar a rede Wi-Fi. Para atribuir o perfil a usuários, você o adiciona a uma unidade organizacional. Você pode configurar vários perfis do SCEP para gerenciar o acesso por unidade organizacional e tipo de dispositivo.

Antes de começar: para aplicar a configuração a determinados usuários, coloque as contas deles em uma unidade organizacional.

  1. Faça login no Google Admin Console.

    Use sua conta de administrador (não termina em @gmail.com).

  2. No Admin Console, acesse Menu e depois Dispositivose depoisRedes.
  3. Clique em Criar perfil do SCEP.
  4. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral. Mostrar como
  5. Clique em Adicionar perfil seguro do SCEP.
  6. Digite os detalhes de configuração do perfil. Se sua autoridade de certificação emitir um modelo específico, use os mesmos detalhes do perfil no modelo.
    • Nome do perfil do SCEP: um nome descritivo para o perfil. O nome é mostrado na lista de perfis e no seletor de perfil na configuração de rede Wi-Fi.
    • Formato do nome do assunto: escolha uma forma de identificar o proprietário do certificado. Se você selecionar "Nome distinto completo", o nome comum do certificado será o nome de usuário.
    • Nome alternativo do assunto: informe um nome alternativo. O padrão é "Nenhum". Crie vários nomes alternativos do assunto conforme necessário. Consulte as variáveis compatíveis com nomes alternativos do assunto.
    • Algoritmo de assinatura: a função de hash usada para criptografar a chave de autorização. Somente SHA256 com RSA está disponível.
    • Uso da chave: opções de como usar a chave, a codificação e a assinatura. Você pode selecionar mais de uma opção.
    • Tamanho da chave (bits): o tamanho da chave RSA.
      Observação: os dispositivos ChromeOS só oferecem suporte a chaves RSA de 2048 bits compatíveis com hardware. Para reforçar a segurança, a chave é gerada no dispositivo ChromeOS usando o TPM, e não no servidor.
    • Segurança: requisitos de atestado. Selecione Restrito para exigir uma confirmação de acesso verificado, compatível apenas com dispositivos ChromeOS gerenciados. Selecione Irrestrito para o ChromeOS Flex e os dispositivos ChromeOS não gerenciados.
    • URL do servidor SCEP: o URL do servidor SCEP.
    • Período de validade do certificado (anos): por quanto tempo o certificado do dispositivo é válido. Digite um número.
    • Renovar em alguns dias: quanto tempo antes da expiração deve ocorrer a tentativa de renovação do certificado.
    • Uso estendido de chave: como a chave pode ser usada. Você pode escolher mais de um valor.
    • Tipo de desafio: para exigir que o Google apresente uma frase de desafio ao solicitar um certificado do servidor SCEP, selecione "Estático" e digite a frase. Se você selecionar "Nenhum", o servidor não exigirá essa verificação.
    • Nome do modelo: o nome do modelo usado pelo servidor NDES.
    • Autoridade de certificação: o nome de um certificado que você enviou para usar como autoridade de certificação.
    • Tipo de rede que usa este perfil: o tipo de rede que usa o perfil SCEP.
    • Plataformas que usam este perfil: as plataformas de dispositivos que usam o perfil do SCEP.
  7. Clique em Salvar. Ou clique em Substituir em unidade organizacional.

    Para restaurar depois o valor herdado, clique em Herdar.

Depois que você adiciona um perfil, o nome dele e as plataformas em que está ativado são listados. Na coluna "Plataforma", o perfil é ativado para plataformas com ícones azuis e desativado para plataformas com ícones cinza. Para editar um perfil, passe o cursor sobre a linha e clique em Editar . Selecione Chromebook (usuário) ou Chromebook (dispositivo), dependendo do tipo de certificado que você quer implantar.

O perfil do SCEP é distribuído automaticamente para os usuários na unidade organizacional.

Como funciona a autenticação de certificado pelo Conector de Certificação do Google Cloud

O Conector de Certificação do Google Cloud é um serviço do Windows que estabelece uma conexão exclusiva entre o servidor do SCEP e o Google. O conector de certificado é configurado e protegido por um arquivo de configuração e um arquivo de chave, ambos dedicados somente à sua organização.

Você atribui certificados a dispositivos e usuários com perfis do SCEP. Para atribuir o perfil, escolha uma unidade organizacional e adicione o perfil. Ele inclui a autoridade de certificação que emite os certificados dos dispositivos. A política configurada é enviada para os dispositivos ChromeOS registrados. O certificado é instalado no dispositivo antes do login dos usuários (se for um certificado de dispositivo) ou após o login (se for um certificado de usuário). Se o dispositivo estiver registrado ou o perfil de usuário já existir, o certificado será instalado quando o dispositivo ou o usuário receberem a política atualizada no Admin Console.

Limitações e problemas conhecidos

  • Os perfis do SCEP não são compatíveis com desafios dinâmicos.
  • Não é possível revogar os certificados após a instalação em um dispositivo.
  • O perfil do SCEP precisa ser configurado com o certificado de CA que emite o certificado do cliente. Se uma sequência de certificados, como "certificado de CA-certificado de CA intermediário-certificado de identidade" for usada, o perfil do SCEP precisará ser configurado com o certificado de CA intermediário.
  • Os certificados só podem ser implantados para os usuários que fizeram login em um dispositivo gerenciado registrado. Os usuários e os dispositivos precisam pertencer ao mesmo domínio.

Variáveis compatíveis com nomes alternativos do assunto

Em vez de usar as propriedades do requerente, você pode definir nomes alternativos do assunto com base nos atributos do usuário e do dispositivo. Para usar a solicitação de assinatura de certificado personalizada (CSR0), também é necessário configurar o modelo de certificado na CA. Dessa forma, é possível gerar um certificado com os valores do assunto definidos na solicitação. É necessário adicionar pelo menos um valor ao campo CommonName do assunto.

É possível usar os marcadores a seguir. Todos os valores são opcionais.

  • ${DEVICE_DIRECTORY_ID}: código de diretório do dispositivo
  • ${USER_EMAIL}: endereço de e-mail do usuário que fez login
  • ${USER_EMAIL_DOMAIN}: nome de domínio do usuário que fez login
  • ${DEVICE_SERIAL_NUMBER}: número de série do dispositivo
  • ${DEVICE_ASSET_ID}: código do recurso atribuído ao dispositivo pelo administrador
  • ${DEVICE_ANNOTATED_LOCATION}: local atribuído ao dispositivo pelo administrador
  • ${USER_EMAIL_NAME}: primeira parte (antes de @) do endereço de e-mail do usuário que fez login

Se um marcador não estiver disponível, ele será substituído por uma string vazia.

Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.

Isso foi útil?

Como podemos melhorá-lo?
Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
735560105535496280
true
Pesquisar na Central de Ajuda
true
true
true
true
true
410864
false
false