Puedes controlar el acceso de los usuarios a las redes Wi-Fi, las aplicaciones internas y los sitios web internos de tu organización con dispositivos ChromeOS mediante un conector para distribuir certificados de dispositivo de la autoridad de certificación (AC) que tengas on-premise. Google Cloud Certificate Connector es un servicio de Windows que distribuye de forma segura certificados y claves de autenticación de tu servidor del Protocolo de inscripción de certificados simple (SCEP) a los dispositivos de los usuarios.
En los dispositivos ChromeOS, se generan claves privadas de los certificados. La clave pública correspondiente se almacena temporalmente en los servidores de Google y se elimina una vez que se ha instalado el certificado.
Requisitos del sistema
- Tu organización debe usar el servicio de certificados de Microsoft Active Directory en un servidor SCEP y distribuir certificados mediante el Servicio de inscripción de dispositivos de red (NDES) de Microsoft. Windows Server 2016 y las versiones posteriores son compatibles.
- Los dispositivos ChromeOS 89 o versiones posteriores permiten disfrutar de una experiencia óptima.
Antes de empezar
- Si vas a configurar la implementación de certificados mediante SCEP, necesitas conocimientos y permisos para gestionar el servicio de certificados de Microsoft Active Directory en tu organización. Asegúrate de que se incorporen los expertos pertinentes de tu organización antes de continuar.
- Si necesitas el nombre del sujeto del certificado para utilizar los nombres de usuario de Active Directory, debes sincronizar Active Directory y el directorio de Google con Google Cloud Directory Sync (GCDS). Si hace falta, configura GCDS.
- Si aún no has subido un certificado de CA en la consola de administración de Google, añade un certificado.
Paso 1: Descarga Google Cloud Certificate Connector
Nota: Si ya has configurado el conector de certificados de Google Cloud para dispositivos móviles, sáltate este paso y ve directamente al paso 2: Añade un perfil de SCEP.
En el servidor de SCEP o en un ordenador con Windows que tenga una cuenta que pueda iniciar sesión como servicio en el servidor de SCEP, sigue los pasos que se indican más abajo. Ten las credenciales de la cuenta a mano.
Si tu organización tiene varios servidores, puedes usar el mismo agente del conector de certificados en todos ellos. Descarga e instala el archivo de instalación, el archivo de configuración y el archivo de clave en un ordenador, tal como se describe en los pasos descritos más abajo. A continuación, copia esos tres archivos en el otro ordenador y sigue las instrucciones de configuración en ese ordenador.
Nota: Descarga Google Cloud Certificate Connector y sus componentes solo la vez que configures los certificados para tu organización. Los certificados y los perfiles de SCEP pueden compartir un único conector de certificados.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú DispositivosRedes.
- Haz clic en SCEP seguro Descargar conector.
- En la sección Google Cloud Certificate Connector, haz clic en Descargar. Se descargará una carpeta en el escritorio que contendrá el conector de certificados. Te recomendamos que descargues los demás archivos de configuración del conector en esta carpeta.
-
En la sección de descarga del archivo de configuración del conector, haz clic en Descargar. Se descargará el archivo
config.json
. - En la sección Obtener una clave para la cuenta de servicio, haz clic en Generar clave. Se descargará el archivo
key.json
. - Ejecuta el instalador del conector de certificados.
- Descarga el instalador del conector.
- Ejecuta el instalador como administrador.
- El instalador registra el servicio y utiliza la cuenta de LocalService de forma predeterminada para iniciar sesión.
- Una vez que se registra el servicio, el software se marca como instalado. A continuación, el instalador intentará iniciar el servicio.
Si es la primera vez que instalas el conector, el servicio no se iniciará porque faltan archivos necesarios.
- Mueve los archivos de configuración y de clave (
config.json
ykey.json
) a la carpeta Google Cloud Certificate Connector que se ha creado durante la instalación, que suele estar en esta ruta:C:\Archivos de programa\Google Cloud Certificate Connector
. - (Opcional) Ejecuta la herramienta de configuración (
C:\Archivos de programa\Google Cloud Certificate Connector\Config Tool.exe
) como administrador para volver a registrar el servicio con un nombre de cuenta distinto a la cuenta predeterminada de LocalService. - Inicia el servicio Google Cloud Certificate Connector:
- Abre Servicios de Windows.
- En la lista de servicios, selecciona Google Cloud Certificate Connector.
- Haz clic en Iniciar para iniciar el servicio. Asegúrate de que el estado cambie a En ejecución. Si ordenador se reinicia, el servicio también lo hará automáticamente.
Si más adelante descargas una clave de cuenta de servicio nueva, tendrás que reiniciar el servicio para aplicarla.
Paso 2: Añade un perfil de SCEP
El perfil de SCEP define el certificado que permite a los usuarios acceder a tu red Wi-Fi. Añade el perfil a una unidad organizativa para asignarlo a usuarios específicos. Puedes configurar varios perfiles de SCEP para gestionar el acceso por unidad organizativa y tipo de dispositivo.
Antes de empezar: para aplicar la configuración solo a determinados usuarios, coloca sus cuentas en una unidad organizativa.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú DispositivosRedes.
- Haz clic en Crear perfil de SCEP.
- (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
- Haz clic en Añadir perfil de SCEP seguro.
- Introduce la información de configuración del perfil. Si tu CA muestra una plantilla concreta, haz coincidir la información del perfil con la plantilla.
- Nombre del perfil de SCEP: un nombre descriptivo para el perfil. Este nombre se muestra en la lista y en el selector de perfiles de la configuración de la red Wi-Fi.
- Formato de nombre del sujeto: elige cómo quieres identificar al propietario del certificado. Si seleccionas Nombre distintivo, el nombre común del certificado será el nombre de usuario.
- Nombre alternativo del sujeto: proporciona un nombre alternativo del sujeto. El valor predeterminado de este ajuste es Ninguno. Crea varios SANs según sea necesario. Consulta las variables admitidas para SAN.
- Algoritmo de firma: la función de hash que se utiliza para cifrar la clave de autorización. Solo está disponible SHA256 con RSA.
- Uso de claves: opciones sobre cómo utilizar la clave, el cifrado de claves y la firma. Puedes seleccionar más de un ajuste.
- Tamaño de la clave (bits): el tamaño de la clave RSA.
Nota: Los dispositivos ChromeOS solo admiten claves de 2048 bits almacenadas en hardware. Para aumentar la seguridad, la clave se genera en el dispositivo Chrome OS con el TPM en lugar de en el servidor. - Seguridad: requisitos de atestación. Selecciona Estricta para que se requiera una comprobación de acceso verificado, que solo se admite en dispositivos ChromeOS gestionados. Selecciona Relajado en ChromeOS Flex y en dispositivos ChromeOS no gestionados.
- URL del servidor de SCEP: la URL del servidor de SCEP.
- Periodo de validez del certificado (años): durante cuánto tiempo es válido el certificado del dispositivo. Utiliza un formato numérico.
- Plazo de renovación (días): tiempo que falta para que el certificado del dispositivo caduque y se intente renovar.
- Uso mejorado de claves: cómo se puede utilizar la clave. Puedes elegir más de un valor.
- Tipo de verificación de la identidad: pedir a Google que proporcione una frase de verificación específica cuando solicite un certificado del servidor de SCEP. Para ello, selecciona Estática y escribe la frase. Si seleccionas Ninguno, el servidor no pedirá esta comprobación.
- Nombre de la plantilla: el nombre de la plantilla utilizada por el servidor NDES.
- Autoridad de certificación: el nombre de un certificado que has subido para utilizarlo como autoridad de certificación.
- Tipo de red al que se aplica este perfil: indica el tipo de red que utiliza el perfil de SCEP.
- Plataformas a las que se aplica este perfil: las plataformas de dispositivos que utilizan el perfil de SCEP.
-
Haz clic en Guardar. También puedes hacer clic en Anular en un unidad organizativa.
Para restaurar más adelante el valor heredado, haz clic en Heredar.
Los perfiles que añadas se muestran con su nombre y con las plataformas en las que están habilitados. En la columna Plataforma se muestra un icono azul si el perfil está habilitado y un icono gris si no lo está. Para editar un perfil, coloca el cursor sobre la fila en la que se encuentre y haz clic en Editar . Asegúrate de seleccionar Chromebook (usuario) o Chromebook (dispositivo) en función del tipo de certificado que quieras implementar.
El perfil de SCEP se distribuye automáticamente entre los usuarios de la unidad organizativa.
Cómo funciona la autenticación de certificados a través de Google Cloud Certificate Connector
Google Cloud Certificate Connector es un servicio de Windows que proporciona una conexión exclusiva entre un servidor de SCEP y Google. El conector de certificados se configura y queda protegido con un archivo de configuración y uno de clave exclusivos de tu organización.
Puedes asignar certificados a dispositivos y usuarios que tengan perfiles de SCEP. Para asignar el perfil, elige una unidad organizativa y añádele el perfil que quieras. El perfil incluye la autoridad de certificación que emite los certificados. Cuando se registra un dispositivo ChromeOS, se envía una política configurada al dispositivo y el certificado se instala en el dispositivo antes de iniciar sesión, si el usuario implementa un certificado de dispositivo, o después de iniciar sesión, si se implementa un certificado de usuario. Si el dispositivo ya está registrado o el perfil de usuario ya existe, el certificado se instala una vez que el dispositivo o el usuario recibe la política actualizada desde la consola de administración.
Limitaciones y problemas conocidos
- Los perfiles de SCEP no admiten verificaciones dinámicas.
- Los certificados no se pueden revocar después de instalarlos en un dispositivo.
- El perfil de SCEP se debe configurar con el certificado AC que emite el certificado de cliente. Si se utiliza una cadena de certificados como, por ejemplo, un certificado AC (certificado AC intermedio) o un certificado de identidad, el perfil de SCEP debe configurarse con el certificado de AC intermedio.
- Los certificados solo se pueden implementar para los usuarios que han iniciado sesión en un dispositivo gestionado registrado. Los usuarios y los dispositivos deben pertenecer al mismo dominio.
Variables admitidas para SAN
En vez de usar las propiedades del solicitante, puedes definir nombres alternativos de entidad según los atributos del usuario y del dispositivo. Para utilizar una solicitud de firma de certificado personalizado (CSR0), también deberías configurar la plantilla de certificado en la autoridad de certificación (AC) para que se espere y se genere un certificado con los valores de sujeto definidos en la propia solicitud. Como mínimo, tienes que proporcionar un valor CommonName
del sujeto.
Puedes utilizar los siguientes marcadores de posición. Todos los valores son opcionales.
${DEVICE_DIRECTORY_ID}
: el ID de directorio del dispositivo${USER_EMAIL}
: la dirección de correo electrónico del usuario que ha iniciado sesión${USER_EMAIL_DOMAIN}
: nombre del dominio del usuario que ha iniciado sesión${DEVICE_SERIAL_NUMBER}
: el número de serie del dispositivo${DEVICE_ASSET_ID}
: el ID de recurso asignado al dispositivo por el administrador${DEVICE_ANNOTATED_LOCATION}
: la ubicación asignada al dispositivo por el administrador${USER_EMAIL_NAME}
: la primera parte de la dirección de correo del usuario que ha iniciado sesión (delante del signo @)
Si un valor de marcador de posición no está disponible, se sustituirá por una cadena vacía.
Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.