استخدام Google Cloud Certificate Connector

يمكنك التحكم في وصول المستخدمين إلى شبكات Wi-Fi والتطبيقات الداخلية والمواقع الإلكترونية الداخلية لمؤسستك على أجهزة ChromeOS باستخدام موصِّل لتوزيع شهادات الأجهزة من مرجع التصديق (CA) داخل الشركة. Google Cloud Certificate Connector هي خدمة تعمل على نظام التشغيل Windows توزِّع الشهادات ومفاتيح المصادقة بأمان من خادم Simple Sign Enroling Protocol‏ (SCEP) على أجهزة المستخدمين.

بالنسبة إلى أجهزة ChromeOS، يتم إنشاء مفاتيح خاصة للشهادات على الجهاز. يتم تخزين المفتاح العام المقابل مؤقتًا على خوادم Google ويتم حذفه بعد تثبيت الشهادة.

متطلبات النظام

• يجب أن تستخدم مؤسستك خدمة Microsoft Active Directory Certificate Service لخادم SCEP وخدمة Microsoft Network Device Enrollment Service ‏(NDES) لتوزيع الشهادات، علمًا بأنّ الإصدار Windows Server 2016 والإصدارات الأحدث جميعها متوافقة.
• ننصح باستخدام أجهزة ChromeOS التي تعمل بالإصدار 89 أو الإصدارات الأحدث للحصول على أفضل تجربة.

قبل البدء

• يتطلب إعداد نشر الشهادات باستخدام SCEP خبرة وأذونات لإدارة خدمة Microsoft Active Directory Certificate Service لمؤسستك. تأكَّد من مشاركة الخبراء المعنيين في مؤسستك قبل المضي قدمًا.
• إذا كنت تريد أن يستخدم اسم "موضوع" الشهادة أسماء المستخدمين المُدرجة في Active Directory، يجب مزامنة دليل Active Directory ودليل Google مع أداة مزامنة دليل Google Cloud‏ (GCDS). لذا، يمكنك إعداد "أداة مزامنة دليل Google Cloud" إذا لزم الأمر.
• إذا لم يسبق لك تحميل شهادة CA في وحدة تحكُّم المشرف في Google، يمكنك إضافة شهادة.

الخطوة 1: تنزيل Google Cloud Certificate Connector

ملاحظة: إذا سبق لك إعداد Google Cloud Certificate Connector للأجهزة الجوّالة، يمكنك تخطّي هذه الخطوة والانتقال مباشرةً إلى الخطوة 2: إضافة ملف شخصي إلى خادم SCEP.

نفّذ الخطوات التالية على خادم SCEP أو جهاز كمبيوتر يعمل بنظام التشغيل Windows باستخدام حساب يمكنه تسجيل الدخول كخدمة على خادم SCEP. واحرص على توفر بيانات اعتماد الحساب.

إذا كانت مؤسستك تستخدم عدّة خوادم، يمكنك استخدام وكيل مُوصِّل الشهادات نفسه عليها جميعًا. نزّل ملف التثبيت وملف الإعداد وملف المفتاح وثبتها على جهاز كمبيوتر واحد كما هو موضح في الخطوات التالية. ثم انسخ هذه الملفات الثلاثة إلى جهاز الكمبيوتر الآخر واتبع إرشادات الإعداد على ذلك الكمبيوتر.

ملاحظة: نزّل Google Cloud Certificate Connector ومكوناته مرة واحدة فقط، وذلك عند إعداد الشهادات في مؤسستك لأول مرة. ويمكن لشهاداتك وملفاتك الشخصية على SCEP مشاركة مُوصِّل شهادات واحد.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكُّم المشرف"، انتقِل إلى رمز القائمة  الأجهزةالشبكات.
3. انقر على SCEP آمنتنزيل Connector.
4. في قسم Google Cloud Certificate Connector، انقر على تنزيل. يؤدي التنزيل إلى إنشاء مجلد على سطح المكتب يحتوي على مُوصِّل الشهادات. ونقترح عليك تنزيل ملفات إعداد المُوصِّلات الأخرى إلى هذا المجلد.

5. في القسم "تنزيل ملف إعداد المُوصِّل"، انقر على تنزيل. يتم تنزيل الملف config.json.

6. في القسم "الحصول على مفتاح حساب الخدمة"، انقر على إنشاء مفتاح. يتم تنزيل الملف key.json.
7. شغّل أداة تثبيت موصِّل الشهادات.
   1. نزِّل أداة تثبيت الموصل.
   2. شغِّل أداة التثبيت بصفتك مشرفًا. 
   3. في نافذة أداة الضبط المعروضة، أدخِل اسم حساب خدمة Windows وكلمة مرور موجودَين مسبقًا (إذا لزم الأمر) لتسجيل خدمة Connector.
   4. عند تسجيل الخدمة، توضع علامة على البرنامج تعني أنّه مثبَّت، ثم يحاول برنامج التثبيت بدء الخدمة.
      إذا كانت هذه هي المرة الأولى التي تثبت فيها الموصل، لن تبدأ الخدمة بسبب عدم توفُّر الملفات المطلوبة.
8. انقِل ملفي الإعداد والمفتاح (config.json وkey.json) إلى مجلد Google Cloud Certificate Connector الذي تم إنشاؤه أثناء التثبيت: C:\Program Files\Google Cloud Certificate Connector.
9. شغِّل خدمة Google Cloud Certificate Connector:
   • افتح خدمات Windows.
   • اختر Google Cloud Certificate Connector في قائمة الخدمات.
   • انقر على بدء لبدء الخدمة. تأكَّد من أن الحالة تتغير إلى قيد التشغيل. ستتم إعادة تشغيل الخدمة تلقائيًا في حالة إعادة تشغيل الكمبيوتر.

إذا نزِّلت مفتاح حساب خدمة جديدًا في وقت لاحق، أعِد تشغيل الخدمة لتطبيقه.

الخطوة 2: إضافة ملف شخصي في خادم SCEP

يحدد الملف الشخصي في خادم SCEP الشهادة التي تتيح للمستخدمين الدخول إلى شبكة Wi-Fi التابعة لك. ويمكنك تخصيص الملف الشخصي لمستخدمين محددين من خلال إضافته إلى وحدة تنظيمية. ويمكنك أيضًا إعداد ملفات شخصية متعددة في خادم SCEP لإدارة الوصول حسب الوحدة التنظيمية ونوع الجهاز.

قبل البدء: لتطبيق الإعدادات على مستخدمين محدَّدين، عليك وضع حساباتهم في وحدة تنظيمية.

1. سجِّل الدخول إلى وحدة تحكم المشرف في Google.

   يُرجى تسجيل الدخول باستخدام حساب المشرف (لا ينتهي بالنطاق gmail.com@).

2. في "وحدة تحكُّم المشرف"، انتقِل إلى رمز القائمة  الأجهزةالشبكات.
3. انقر على إنشاء ملف SCEP شخصي.
4. (اختياري) لتطبيق الإعداد على قسم أو فريق، يمكنك اختيار وحدة تنظيمية من جانب الصفحة. التعرّف على كيفية إجراء ذلك
5. انقر على إضافة ملف SCEP شخصي آمن.
6. أدخِل تفاصيل الإعداد للملف الشخصي. إذا كان مرجع التصديق يصدر نموذجًا معينًا، طابق تفاصيل الملف الشخصي بالنموذج.
   • اسم ملف SCEP الشخصي - اسم وصفي للملف الشخصي. يُعرَض الاسم في قائمة الملفات الشخصية وفي محدد الملف الشخصي في إعداد شبكة Wi-Fi.
   • تنسيق اسم الموضوع - اختَر كيفية تعريف مالك الشهادة. إذا اخترت الاسم المميز بالكامل، سيكون "الاسم الشائع" للشهادة هو اسم المستخدم الخاص بالمستخدم.
   • اسم بديل للموضوع - أدخِل الاسم البديل للموضوع (SAN). الإعداد التلقائي هو بدون ضبط. أنشِئ العديد من الأسماء البديلة للموضوع (SAN) حسب الحاجة. راجِع المتغيّرات المتوافقة للأسماء البديلة للموضوع (SAN).
   • خوارزمية التوقيع: هي وظيفة التجزئة المستخدَمة لتشفير مفتاح المصادقة. تتوفر SHA256 with RSA فقط.
   • استخدام المفتاح - خيارات تحدد كيفية استخدام المفتاح وترميز المفتاح والتوقيع. ويمكنك اختيار أكثر من إعداد.
   • حجم المفتاح (بوحدة البت): هو حجم مفتاح RSA.
     ملاحظة: لا تتوافق أجهزة ChromeOS إلا مع الأجهزة التي تعمل بالإصدار 2048 من نظام التشغيل Chrome. ويتم إنشاء المفتاح على الجهاز الذي يعمل بنظام التشغيل Chrome باستخدام وحدة النظام الأساسي الموثوقة (TPM) بدلاً من إنشائه على الخادم بهدف توفير المزيد من الأمان.
   • الأمان: متطلبات المصادقة. اختَر صارمة لطلب التحقُّق من إمكانية الوصول، ولا تتوفّر هذه الميزة إلا على أجهزة ChromeOS المُدارة. اختَر عادي لأجهزة ChromeOS Flex وأجهزة ChromeOS غير المُدارة.
   • عنوان URL لخادم SCEP: هو عنوان URL الخاص بخادم SCEP.
   • فترة صلاحية الشهادة (بالسنوات) - المدة التي تظل فيها شهادة الجهاز صالحة. وعليك إدخالها كرقم.
   • التجديد خلال أيام - المدة التي تسبق انتهاء صلاحية شهادة الجهاز ويمكن خلالها محاولة تجديد الشهادة.
   • استخدام المفتاح الموسَّع - كيفية استخدام المفتاح. يمكنك اختيار أكثر من قيمة واحدة.
   • نوع الاختبار: من أجل إلزام Google بتقديم عبارة اختبار محدَّدة عند طلب شهادة من خادم SCEP، اختَر Static (ثابت) وأدخِل العبارة. إذا اخترت بدون ضبط، لن يتطلب الخادم إجراء هذا الفحص.
   • اسم النموذج - اسم النموذج الذي يستخدمه خادم NDES.
   • مرجع التصديق - اسم الشهادة التي حمّلتَها لاستخدامها كمرجع تصديق.
   • نوع الشبكة الذي ينطبق عليه هذا الملف الشخصي​: هو نوع الشبكات التي تستخدم ملف SCEP الشخصي.
   • الأنظمة الأساسية التي ينطبق عليها هذا الملف الشخصي: هي الأنظمة الأساسية للأجهزة التي تستخدم ملف SCEP الشخصي.
7. انقر على حفظ. أو يمكنك النقر على إلغاء الوحدة التنظيمية.

   لاستعادة القيمة المكتسَبة لاحقًا، انقر على اكتساب.

بعد إضافة ملف شخصي، يتم عرضه مع اسمه والأنظمة الأساسية التي تم تفعيله عليها. في عمود النظام الأساسي، يكون الملف الشخصي مفعَّلاً للأنظمة الأساسية ذات الرموز الزرقاء، وغير مفعَّل للأنظمة الأساسية ذات الرموز الرمادية. لتعديل ملف شخصي، أشِر إلى الصف وانقر على رمز التعديل. احرِص على اختيار Chromebook (المستخدم) أو Chromebook (الجهاز) وفقًا لنوع الشهادة التي تريد نشرها.

يتم توزيع ملف SCEP الشخصي تلقائيًا على المستخدمين في الوحدة التنظيمية.

آلية عمل مصادقة الشهادات باستخدامGoogle Cloud Certificate Connector

Google Cloud Certificate Connector هي إحدى خدمات Windows التي تنشئ اتصالاً حصريًا بين خادم SCEP وGoogle. يتم تكوين موصِّل الشهادات وتأمينه من خلال ملف إعداد وملف مفتاح، وكلاهما مخصص لمؤسستك فقط.

يمكنك تخصيص الشهادات للأجهزة والمستخدمين الذين لديهم ملفات SCEP شخصية. لتخصيص الملف الشخصي، يمكنك اختيار وحدة تنظيمية وإضافة الملف الشخصي إلى تلك الوحدة التنظيمية. يتضمن الملف الشخصي مرجع التصديق الذي يُصدر الشهادات. عند تسجيل جهاز ChromeOS، يتم إرسال السياسة التي تم ضبطها إلى الجهاز ويثبّت الجهاز الشهادة على الجهاز قبل تسجيل دخول المستخدم في حال نشر شهادة جهاز أو بعد تسجيل الدخول في حال نشر شهادة مستخدم. إذا كان الجهاز مسجّلاً حاليًا أو إذا كان الملف الشخصي للمستخدم سبق وتم إنشاؤه، يتم تثبيت الشهادة بعد تلقّي الجهاز أو المستخدم للسياسة المعدّلة من "وحدة تحكُّم المشرف".

الحدود والمشاكل المعروفة

• لا تتيح ملفات SCEP الشخصية حاليًا الاختبارات الديناميكية.
• لا يمكن إبطال الشهادات بعد تثبيتها على الجهاز.
• يجب ضبط الملف الشخصي لبروتوكول SCEP مع شهادة CA التي تُصدر شهادة العميل. إذا تم استخدام سلسلة شهادات، مثل شهادة الهوية CA، وهي شهادة CA الوسيطة، يجب إعداد ملف SCEP الشخصي باستخدام شهادة CA الوسيطة.
• لا يمكن نشر الشهادات إلا للمستخدمين الذين سجّلوا الدخول إلى جهاز مُدار مسجَّل. يجب أن ينتمي المستخدمون والأجهزة إلى النطاق نفسه.

المتغيّرات المتوافقة مع الأسماء البديلة للموضوع (SAN)

بدلاً من استخدام خصائص مقدِّم الطلب، يمكنك تحديد أسماء بديلة للموضوع بناءً على سمات المستخدم والجهاز. لاستخدام طلب توقيع شهادة مخصَّص (CSR)، عليك أيضًا ضبط نموذج الشهادة على مرجع التصديق لتوقُّع شهادة وإنشائها باستخدام قيم الموضوع المُحدَّدة في الطلب نفسه. وعليك توفير قيمة CommonName على الأقل للموضوع.

يمكنك استخدام العناصر النائبة التالية. وتُعد جميع القيم اختيارية.

• ${DEVICE_DIRECTORY_ID}: معرّف دليل الجهاز
• ${USER_EMAIL}: عنوان البريد الإلكتروني التابع للمستخدم الذي سجّل الدخول
• ${USER_EMAIL_DOMAIN}: اسم نطاق المستخدم الذي سجّل الدخول
• ${DEVICE_SERIAL_NUMBER}: الرقم التسلسلي للجهاز
• ${DEVICE_ASSET_ID}: رقم تعريف الأصل الذي منحه المشرف للجهاز
• ${DEVICE_ANNOTATED_LOCATION}: الموقع الجغرافي الذي حدّده المشرف للجهاز
• ${USER_EMAIL_NAME}: الجزء الأول (قبل العلامة @) من عنوان البريد الإلكتروني الخاص بالمستخدم الذي سجّل الدخول

إذا لم تكن قيمة العنصر النائب متوفّرة، يتم استبدالها بسلسلة فارغة.

Google والعلامات التجارية والشعارات المرتبطة بها هي علامات تجارية تملكها شركة Google LLC. وجميع أسماء الشركات والمنتجات الأخرى هي علامات تجارية تملكها الشركات ذات الصلة بها.