Google Cloud Certificate Connector verwenden

Sie können auf Chrome OS-Geräten den Nutzerzugriff auf WLANs, interne Apps und interne Websites Ihrer Organisation steuern. Dazu verteilen Sie über einen Connector Gerätezertifikate von Ihrer lokalen Zertifizierungsstelle (CA). Google Cloud Certificate Connector ist ein Windows-Dienst, mit dem sich Zertifikate und Authentifizierungsschlüssel von Ihrem SCEP-Server (Simple Certificate Enrollment Protocol) sicher auf die Geräte der Nutzer verteilen lassen.

Bei ChromeOS-Geräten werden private Schlüssel für Zertifikate auf dem Gerät generiert. Der entsprechende öffentliche Schlüssel wird vorübergehend auf Google-Servern gespeichert und nach der Installation des Zertifikats gelöscht.

Systemanforderungen

  • In Ihrer Organisation wird Microsoft Active Directory Certificate Service für einen SCEP-Server und Microsoft Network Device Enrollment Service (NDES) zur Verteilung der Zertifikate verwendet. Windows Server 2016 oder höher wird unterstützt.
  • ChromeOS-Geräte mit Version 89 oder höher für eine optimale Nutzung.

Hinweise

  • Die Einrichtung der Zertifikatsbereitstellung mit SCEP erfordert Fachwissen und Berechtigungen zum Verwalten des Microsoft Active Directory-Zertifikatsdienstes für Ihre Organisation. Sorgen Sie dafür, dass die entsprechenden Experten in Ihrer Organisation beteiligt sind, bevor Sie fortfahren.
  • Wenn Sie für den Antragstellernamen des Zertifikats den Active Directory-Nutzernamen verwenden möchten, müssen Sie Ihr Active Directory-Verzeichnis und das Google-Verzeichnis mit Google Cloud Directory Sync (GCDS) synchronisieren. Gegebenenfalls müssen Sie hierfür GCDS einrichten.
  • Falls Sie noch kein CA-Zertifikat in die Google Admin-Konsole hochgeladen haben, fügen Sie eines hinzu. Weitere Informationen

Schritt 1: Google Cloud Certificate Connector herunterladen

Hinweis: Wenn Sie Google Cloud Certificate Connector bereits für Mobilgeräte eingerichtet haben, überspringen Sie diesen Schritt und wechseln Sie direkt zu Schritt 2: SCEP-Profil hinzufügen.

Führen Sie auf dem SCEP-Server oder auf einem Windows-Computer die folgenden Schritte aus. Verwenden Sie dazu ein Konto, mit dem die Anmeldung als Dienstkonto auf dem SCEP-Server möglich ist. Halten Sie die Anmeldedaten für das Konto bereit.

Wenn Sie in Ihrer Organisation mehrere Server nutzen, können Sie auf allen denselben Zertifikat-Connector verwenden. Laden Sie die Installationsdatei, die Konfigurationsdatei und die Schlüsseldatei auf einen Computer herunter und führen Sie die Installation nach der folgenden Anleitung aus. Kopieren Sie die drei Dateien dann auf den nächsten Computer und folgen Sie der Einrichtungsanleitung.

Hinweis: Sie müssen Google Cloud Certificate Connector und die zugehörigen Komponenten nur einmal herunterladen, wenn Sie die Zertifikate für Ihre Organisation einrichten. Ein Zertifikat-Connector kann für alle Zertifikate und SCEP-Profile genutzt werden.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Geräteund dannNetzwerke.
  3. Klicken Sie auf Sichere SCEP-Profile und dann Connector herunterladen.
  4. Klicken Sie im Abschnitt "Connector für Google Cloud-Zertifikate" auf Herunterladen. Auf dem Computer wird ein Ordner erstellt, der den Zertifikat-Connector enthält. Wir empfehlen, die anderen Konfigurationsdateien für den Connector in diesen Ordner herunterzuladen.
  5. Klicken Sie im Abschnitt „Konfigurationsdatei für Connector herunterladen“ auf Herunterladen. Die Datei config.json wird heruntergeladen.

  6. Klicken Sie im Abschnitt „Schlüssel für Dienstkonto abrufen“ auf Schlüssel generieren. Die Datei key.json wird heruntergeladen.
  7. Führen Sie das Installationsprogramm aus.
    1. Laden Sie das Installationsprogramm für den Connector herunter.
    2. Führen Sie das Installationsprogramm als Administrator aus. 
    3. Das Installationsprogramm registriert den Dienst und verwendet für die Anmeldung standardmäßig das Konto LocalService.
    4. Wenn der Dienst registriert wird, wird die Software als installiert gekennzeichnet. Anschließend versucht das Installationsprogramm, den Dienst zu starten.
      Wenn Sie den Connector zum ersten Mal installieren, wird der Dienst aufgrund fehlender erforderlicher Dateien nicht gestartet.
  8. Verschieben Sie die Konfigurations- und die Schlüsseldatei (config.json und key.json) in den während der Installation erstellten Ordner. Er befindet sich normalerweise unter C:\Program Files\Google Cloud Certificate Connector.
  9. Optional: Führen Sie das Konfigurationstool (C:\Programme\Google Cloud Certificate Connector\Config Tool.exe) als Administrator aus, um den Dienst mit einem anderen Kontonamen als dem standardmäßigen LocalService-Konto noch einmal zu registrieren.
  10. Starten Sie den Dienst:
    • Öffnen Sie "Windows-Dienste".
    • Wählen Sie Google Cloud Certificate Connector aus der Liste aus.
    • Klicken Sie auf Starten. Der Status ändert sich in Aktiv. Der Dienst wird automatisch neu gestartet, wenn der Computer neu gestartet wird.

Wenn Sie später einen neuen Dienstkontoschlüssel herunterladen, müssen Sie den Dienst neu starten, um den Schlüssel zu aktivieren.

Schritt 2: SCEP-Profil hinzufügen

Mit dem SCEP-Profil wird das Zertifikat definiert, über das Nutzer auf Ihr WLAN-Netzwerk zugreifen können. Sie weisen das Profil bestimmten Nutzern zu, indem Sie es einer Organisationseinheit hinzufügen. Sie können mehrere SCEP-Profile einrichten, um den Zugriff nach Organisationseinheit und Gerätetyp zu verwalten.

Vorbereitung: Wenn Sie die Einstellung für bestimmte Nutzer übernehmen möchten, müssen Sie ihre Konten in einer Organisationseinheit zusammenfassen.

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Gehen Sie in der Admin-Konsole zu „Menü“ und dann Geräteund dannNetzwerke.
  3. Klicken Sie auf SCEP-Profil erstellen.
  4. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus. Anleitung zeigen.
  5. Klicken Sie auf Sicheres SCEP-Profil hinzufügen.
  6. Geben Sie die Details zur Konfiguration des Profils ein. Wenn Ihre Zertifizierungsstelle eine bestimmte Vorlage ausgibt, sollten die Informationen damit übereinstimmen.
    • SCEP-Profilname: Ein aussagekräftiger Name. Er wird bei der Konfiguration des WLAN-Netzwerks in der Profilliste und in der Profilauswahl angezeigt.
    • Format des Antragstellernamens: Das Format für den Namen des Zertifikatsinhabers. Wenn Sie „Vollständig definierter Name“ auswählen, entspricht der allgemeine Name des Zertifikats dem Nutzernamen.
    • Alternativer Antragstellername: Hier können Sie einen alternativen Namen angeben. Standardmäßig ist keine Option ausgewählt. Erstellen Sie nach Bedarf mehrere alternative Namen. Weitere Informationen unter „Unterstützte Variablen für alternative Antragstellernamen“
    • Signaturalgorithmus: Die Hashfunktion zur Verschlüsselung des Autorisierungsschlüssels. "SHA256 mit RSA" ist hier die einzige Option.
    • Schlüsselverwendung: Optionen zur Verwendung des Schlüssels, der Schlüsselverschlüsselung und ‑signatur. Sie können mehrere Optionen auswählen.
    • Schlüsselgröße (Bits): Die Größe des RSA-Schlüssels.
      Hinweis: ChromeOS-Geräte unterstützen nur hardwaregestützte 2.048-Schlüssel. Der Schlüssel wird auf dem ChromeOS-Gerät mithilfe des TPMs und nicht auf dem Server generiert, um die Sicherheit zu erhöhen.
    • Sicherheit: Attestierungsanforderungen. Wählen Sie Strikt aus, um eine Überprüfung des bestätigten Zugriffs zu erzwingen, die nur von verwalteten ChromeOS-Geräten unterstützt wird. Wählen Sie für ChromeOS Flex und nicht verwaltete ChromeOS-Geräte Kaum eingeschränkt aus.
    • SCEP-Server-URL: Die URL des SCEP-Servers.
    • Gültigkeit des Zertifikats (in Jahren): Die Gültigkeitsdauer des Gerätezertifikats. Diese muss als Zahl eingegeben werden.
    • Verlängerung innerhalb von (Angabe in Tagen): Gibt an, wie lange vor Ablauf das Zertifikat verlängert werden kann.
    • Erweiterte Schlüsselverwendung: Weitere Optionen zur Verwendung des Schlüssels. Hier können Sie mehrere Werte auswählen.
    • Art der Identitätsbestätigung: Wenn Sie möchten, dass Google bei der Anforderung eines Zertifikats vom SCEP-Server eine bestimmte Wortgruppe zur Identitätsbestätigung angibt, wählen Sie „Statisch“ aus und geben Sie die Wortgruppe ein. Wählen Sie „Keine“ aus, falls Sie die Bestätigung nicht möchten.
    • Name der Vorlage: Der Name der vom NDES-Server verwendeten Vorlage.
    • Zertifizierungsstelle: Der Name des Zertifikats, das Sie zur Verwendung als Zertifizierungsstelle hochgeladen haben.
    • Netzwerktyp, für den dieses Profil gilt: Der Typ der Netzwerke, für die das SCEP-Profil verwendet wird.
    • Plattformen, für die dieses Profil gilt: Die Geräteplattformen, für die das SCEP-Profil verwendet wird.
  7. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Nachdem Sie ein Profil hinzugefügt haben, wird es zusammen mit seinem Namen und den Plattformen, auf denen es aktiviert wurde, in der Liste angezeigt. In der Spalte „Plattform“ sehen Sie ein blaues Symbol hinter den Plattformen, für die das Profil aktiviert ist. Bei den anderen Plattformen ist das Symbol grau. Wenn Sie ein Profil ändern möchten, bewegen Sie den Mauszeiger auf die zu ändernde Zeile und klicken Sie auf „Bearbeiten“ . Wählen Sie je nach Zertifikatstyp die Option Chromebook (Nutzer) oder Chromebook (Gerät) aus.

Das SCEP-Profil wird automatisch für die Nutzer in der Organisationseinheit aktiviert.

Funktionsweise der Authentifizierung per Zertifikat über Google Cloud Certificate Connector

Google Cloud Certificate Connector ist ein Windows-Dienst, der eine exklusive Verbindung zwischen Ihrem SCEP-Server und Google herstellt. Der Zertifikat-Connector wird durch eine Konfigurationsdatei und eine Schlüsseldatei konfiguriert und gesichert. Beide Dateien sind nur für Ihre Organisation vorgesehen.

Sie weisen Geräten und Nutzern mit SCEP-Profilen Zertifikate zu. Sie fügen das Profil einfach einer Organisationseinheit hinzu, um es den Nutzern darin zuzuordnen. Im Profil ist die Zertifizierungsstelle für Zertifikate enthalten. Wenn ein ChromeOS-Gerät registriert wird, wird die konfigurierte Richtlinie an das Gerät gesendet. Im Falle von Gerätezertifikaten wird das Zertifikat auf dem Gerät installiert, bevor Nutzer sich anmelden. Bei Nutzerzertifikaten erfolgt die Installation nach der Anmeldung. Wenn das Gerät bereits registriert ist oder das Nutzerprofil bereits vorhanden ist, wird das Zertifikat installiert, sobald das Gerät oder der Nutzer aktualisierte Richtlinien über die Admin-Konsole erhält.

Bekannte Probleme und Beschränkungen

  • SCEP-Profile unterstützen momentan keine dynamischen Identitätsbestätigungen.
  • Zertifikate können nicht widerrufen werden, nachdem sie auf einem Gerät installiert wurden.
  • Das SCEP-Profil muss mit dem CA-Zertifikat konfiguriert werden, das das Clientzertifikat ausstellt. Wenn eine Zertifikatskette wie „CA-Zertifikat – CA-Zwischenzertifikat – Identitätszertifikat“ verwendet wird, muss das SCEP-Profil mit dem CA-Zwischenzertifikat konfiguriert werden.
  • Zertifikate können nur für Nutzer bereitgestellt werden, die auf einem registrierten verwalteten Gerät angemeldet sind. Nutzer und Geräte müssen derselben Domain angehören.

Unterstützte Variablen für alternative Antragstellernamen

Sie können alternative Antragstellernamen auf Grundlage von Nutzer- und Geräteattributen festlegen, anstatt die Eigenschaften des Anfragenden zu verwenden. Wenn Sie eine benutzerdefinierte Anfrage für die Zertifikatssignierung (Certificate Signing Request, CSR) (CSR0) verwenden möchten, sollten Sie auch die Zertifikatsvorlage in der Zertifizierungsstelle so konfigurieren, dass ein Zertifikat mit den in der Anfrage definierten Werten erwartet und erstellt wird. Dafür müssen Sie mindestens einen Wert für den CommonName angeben.

Sie können die folgenden Platzhalter verwenden. Alle Werte sind optional.

  • ${DEVICE_DIRECTORY_ID}: Verzeichnis-ID eines Geräts
  • ${USER_EMAIL}: E-Mail-Adresse des angemeldeten Nutzers
  • ${USER_EMAIL_DOMAIN}: Domain des angemeldeten Nutzers
  • ${DEVICE_SERIAL_NUMBER}: Seriennummer des Geräts
  • ${DEVICE_ASSET_ID}: Asset-ID, die dem Gerät vom Administrator zugewiesen wurde
  • ${DEVICE_ANNOTATED_LOCATION}: Standort, der dem Gerät vom Administrator zugewiesen wurde
  • ${USER_EMAIL_NAME}: erster Teil der E-Mail-Adresse des angemeldeten Nutzers (vor dem @)

Wenn kein Platzhalterwert verfügbar ist, wird ein leerer String eingefügt.

Google sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Hauptmenü
14281182595984256762
true
Suchen in der Hilfe
true
true
true
true
true
410864
false
false