Notificación

Planning your return to office strategy? See how ChromeOS can help.

Usa el conector del certificado de Google Cloud

Puedes usar un conector que distribuya los certificados de dispositivos de la autoridad certificadora (CA) local con el fin de controlar el acceso de los usuarios a las redes Wi-Fi, las aplicaciones internas y los sitios web internos de su organización a los dispositivos ChromeOS. Google Cloud Certificate Connector es un servicio de Windows que distribuye de manera segura los certificados y las claves de autenticación desde el servidor del Protocolo de inscripción simple de certificados (SCEP) hacia los dispositivos de los usuarios.

En el caso de los dispositivos ChromeOS, las claves privadas de los certificados se generan en el mismo dispositivo. La clave pública correspondiente se almacena de forma temporal en los servidores de Google y se borra una vez que se instaló el certificado.

Requisitos del sistema

  • Su organización debe usar el Servicio de certificados de Active Directory de Microsoft en un servidor SCEP y el Servicio de inscripción de dispositivos de red (NDES) de Microsoft para distribuir certificados. Windows Server 2016 y las versiones posteriores son compatibles.
  • Para obtener la mejor experiencia, usa dispositivos ChromeOS 89 o versiones posteriores.

Antes de comenzar

  • Para configurar la implementación de certificados con SCEP, es necesario tener experiencia y contar con los permisos para administrar el Servicio de certificados de Active Directory de Microsoft en su organización. Asegúrese de contar con la participación de los expertos idóneos de su organización antes de avanzar.
  • Si necesita el nombre del asunto del certificado para usar los nombres de usuario de Active Directory, debe sincronizar Active Directory con el directorio de Google mediante Google Cloud Directory Sync (GCDS). Si es necesario, configure GCDS.
  • Si aún no subió un Certificado de CA a la Consola del administrador de Google, agregue uno.

Paso 1: Descargue Google Cloud Certificate Connector

Nota: Si ya configuró Google Cloud Certificate Connector para los dispositivos móviles, omita este paso y vaya directamente alPaso 2: Agregue un perfil de SCEP.

Realice los pasos siguientes en el servidor SCEP o en una computadora con Windows que tenga una cuenta que pueda acceder como servicio a dicho servidor. Tenga las credenciales de la cuenta a mano.

Si su organización tiene varios servidores, puede usar el mismo agente del conector de certificados en todos ellos. Descargue y, luego, instale los archivos de instalación, de configuración y de claves en una computadora, tal como se describe en los pasos siguientes. Luego, copie esos tres archivos en otra computadora y siga las instrucciones de configuración que se indiquen allí.

Nota: Debe descargar Google Cloud Certificate Connector y sus componentes solo cuando configure los certificados en su organización por primera vez. Los certificados y los perfiles de SCEP pueden compartir un único conector de certificados.

  1. Accede a la Consola del administrador de Google.

    Accede con tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola del administrador, ve a Menú and then Dispositivosand thenRedes.

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  3. Haga clic en Secure SCEPand thenDescargar el conector.
  4. En la sección Google Cloud Certificate Connector, haga clic en Descargar. Cuando se completa la descarga, se crea una carpeta en el escritorio que contiene el conector de certificados. Recomendamos que descargue los demás archivos de configuración del conector en esta misma carpeta.

  5. En la sección, Descargar el archivo de configuración del conector, haz clic en Descargar. Se descargará el archivo config.json.

  6. En la sección Obtener una clave de cuenta de servicio, haz clic en Generar clave. Se descargará el archivo key.json.
  7. Ejecute el instalador del conector de certificados.
    • En el asistente de instalación, haga clic en Siguiente.
    • Acepte las condiciones del contrato de licencia y haga clic en Siguiente.
    • Elija la cuenta para la que instala el servicio y haga clic en Siguiente. La cuenta debe tener privilegios para acceder como servicio al servidor SCEP.
    • Seleccione dónde instalar el conector. Recomendamos que use la ubicación predeterminada. Haga clic en Siguiente.
    • Ingrese las credenciales de su cuenta de servicio y haga clic en Siguiente. Se instalará el servicio.
    • Haga clic en Finalizar para completar la instalación.
  8. Mueva los archivos de configuración y de claves (config.json y key.json) a la carpeta Google Cloud Certificate Connector que se creó durante la instalación, que suele estar en C:\Archivos de programa\Google Cloud Certificate Connector.
  9. Inicie el servicio de Google Cloud Certificate Connector:
    • Abra los servicios de Windows.
    • Seleccione Google Cloud Certificate Connector en la lista de servicios.
    • Haz clic en Iniciar para iniciar el servicio. Asegúrate de que el estado cambie a Running. Si la computadora se reinicia, el servicio se reinicia automáticamente.

Si más adelante descarga una nueva clave de cuenta de servicio, reinicie el servicio para aplicarla.

Paso 2: Agregue un perfil de SCEP

El perfil de SCEP define el certificado con el que los usuarios podrán acceder a su red Wi-Fi. Agregue el perfil a una unidad organizativa para asignarlo a usuarios específicos. Puede configurar varios perfiles de SCEP para administrar el acceso por unidad organizativa y por tipo de dispositivo.

Antes de comenzar: para aplicar la configuración a determinados usuarios, incluya sus cuentas en una unidad organizativa.

  1. Accede a la Consola del administrador de Google.

    Accede con tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola del administrador, ve a Menú and then Dispositivosand thenRedes.

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  3. Haga clic en Crear perfil de SCEP.
  4. To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child organizational unit.
  5. Haga clic en Agregar perfil seguro de SCEP.
  6. Ingrese los detalles de configuración del perfil. Si su CA emite una plantilla en particular, haga que los detalles del perfil coincidan con la plantilla.
    • Nombre del perfil de SCEP: es el nombre descriptivo del perfil. Aparece en la lista y en el selector de perfiles de la configuración de la red Wi-Fi.
    • Formato del nombre del asunto: elija cómo quiere identificar al propietario del certificado. Si selecciona Nombre completamente distinguido, el nombre de pila del certificado será el nombre de usuario.
    • Nombre alternativo del asunto: indique un nombre alternativo para el asunto (SAN). El valor predeterminado de este parámetro es Ninguno. Cree varios SAN según sea necesario. Consulte Variables admitidas para SAN.
    • Algoritmo de firma: es la función de hash que se usa para encriptar la clave de autorización. Solo está disponible SHA256 con RSA.
    • Uso de la clave: son las opciones sobre el modo de usar la clave, el cifrado de clave y la firma. Puede seleccionar más de uno.
    • Tamaño de la clave (bits): es el tamaño de la clave RSA.
      Nota: Los dispositivos ChromeOS solo admiten claves de 2,048 bits con copia de seguridad en hardware. Para mayor seguridad, la clave se genera en el dispositivo ChromeOS con el TPM en lugar de hacerlo en el servidor.
    • Seguridad: son los requisitos de certificación. Selecciona Estricto para solicitar un control de acceso verificado; solo se admite en los dispositivos ChromeOS administrados. Selecciona Relajado para los dispositivos ChromeOS Flex y los ChromeOS no administrados.
    • URL del servidor SCEP: es la URL del servidor SCEP.
    • Período de validez del certificado (años): es el tiempo que dura la validez del certificado del dispositivo. Utilice un valor numérico.
    • Cantidad de días para la renovación: se refiere al tiempo que falta para que venza el certificado del dispositivo y se intente renovarlo.
    • Uso extendido de la clave: cómo se puede usar la clave. Puedes elegir más de un valor.
    • Tipo de desafío: se trata de pedirle a Google una frase de desafío específica cuando solicite un certificado del servidor SCEP. Seleccione Estático y, luego, ingrese la frase. Si selecciona Ninguno, el servidor no solicitará esta verificación.
    • Nombre de la plantilla: es el nombre de la plantilla que utiliza su servidor NDES.
    • Autoridad certificadora: es el nombre de un certificado que subió para usar como autoridad certificadora.
    • Tipo de red a la que se aplica este perfil:​es el tipo de redes que usa el perfil de SCEP.
    • Plataformas a las que se aplica este perfil: son las plataformas que usan el perfil de SCEP.
  7. Haz clic en Guardar. Si configuraste una unidad organizativa secundaria, es posible que puedas heredar o anular la configuración de una unidad organizativa superior.

Cada perfil que agregue aparece con su nombre y las plataformas en las que está habilitado. En la columna Plataforma, se muestra un ícono azul si el perfil está habilitado y uno gris si no lo está. Para editar un perfil, coloque el cursor sobre la fila correspondiente y haga clic en Editar . Asegúrese de seleccionar Chromebook (usuario) o Chromebook (dispositivo) según el tipo de certificado que desee implementar.

El perfil de SCEP se distribuye automáticamente entre los usuarios de la unidad organizativa.

Cómo funciona la autenticación de certificados a través de Google Cloud Certificate Connector

Google Cloud Certificate Connector es un servicio de Windows que establece una conexión exclusiva entre su servidor SCEP y Google. El conector de certificados está configurado y protegido por un archivo de configuración y uno de claves, ambos exclusivos de su organización.

Puedes asignar certificados a dispositivos y usuarios con perfiles SCEP. Para asignar el perfil, elige una unidad organizativa y agrega el perfil a esa unidad organizativa. El perfil incluye la autoridad certificada que emite los certificados. Cuando se registra un dispositivo con Chrome OS, la política configurada se envía al dispositivo y este instala el certificado en el dispositivo antes de que acceda el usuario, en caso de que se implemente un certificado de dispositivo, o después de acceder si se implementa un certificado de usuario. Si el dispositivo ya está inscrito o ya existe el perfil de usuario, el certificado se instalará una vez que el dispositivo o el usuario reciban la política actualizada de la Consola del administrador.

Problemas conocidos y limitaciones

  • Por el momento, los perfiles de SCEP no admiten desafíos dinámicos.
  • Los certificados no se pueden revocar una vez que se instalan en un dispositivo.
  • El perfil de SCEP debe configurarse con el certificado de CA que emite el certificado de cliente. Si se usa una cadena de certificados, como un certificado de CA (certificado de CA intermedio) y un certificado de identidad, el perfil de SCEP debe configurarse con el certificado de CA intermedio.
  • Solo se pueden implementar certificados para los usuarios que accedieron en un dispositivo administrado inscrito. Los usuarios y los dispositivos deben pertenecer al mismo dominio.

Variables admitidas para SAN

En lugar de usar las propiedades del solicitante, puede definir nombres alternativos del asunto según los atributos del usuario y del dispositivo. Si desea usar una solicitud de firma de certificado (CSR) personalizada, también debe configurar la plantilla de certificados en la CA para esperar y generar un certificado con los valores de asunto definidos en la misma solicitud. Como mínimo, debe proporcionar un valor de CommonName para el asunto.

Puede usar los siguientes marcadores de posición. Todos los valores son opcionales.

  • ${DEVICE_DIRECTORY_ID}: el ID del directorio del dispositivo
  • ${USER_EMAIL}: la dirección de correo electrónico del usuario que accedió
  • ${USER_EMAIL_DOMAIN}: el nombre de dominio del usuario que accedió
  • ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo
  • ${DEVICE_ASSET_ID}: el ID del activo que el administrador asignó al dispositivo
  • ${DEVICE_ANNOTATED_LOCATION}: la ubicación que el administrador asignó al dispositivo
  • ${USER_EMAIL_NAME}: la primera parte (antes del símbolo @) de la dirección de correo electrónico del usuario que accedió

Si no hay disponible un valor de marcador de posición, se reemplaza por una string vacía.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los otros nombres de productos y empresas son marcas de las empresas con las que estén asociados.

¿Te resultó útil esto?

¿Cómo podemos mejorarla?
true
Búsqueda
Borrar búsqueda
Cerrar la búsqueda
Menú principal
18040314454030785249
true
Buscar en el Centro de asistencia
true
true
true
true
true
410864
false
false