Notification

Vous prévoyez votre stratégie de retour au bureau ? Découvrez comment Chrome OS peut vous aider.

Utiliser le connecteur de certificat Google Cloud

Pour contrôler l'accès des utilisateurs depuis des appareils Chrome OS aux réseaux Wi-Fi, aux applications internes et aux sites Web internes de votre entreprise, vous pouvez utiliser un connecteur pour distribuer des certificats d'appareil provenant de votre autorité de certification sur site. Le connecteur de certificat Google Cloud est un service Windows qui distribue, de manière sécurisée, les certificats et les clés d'authentification de votre serveur SCEP (Simple Certificate Enrollment Protocol) aux appareils des utilisateurs.

Sur les appareils Chrome OS, des clés privées sont générées pour les certificats. La clé publique correspondante est stockée temporairement sur les serveurs Google et supprimée après l'installation du certificat.

Configuration requise

  • Votre entreprise utilise le service de certificat Microsoft Active Directory pour un serveur SCEP, et le service NDES (Network Device Enrollment Service) de Microsoft pour distribuer les certificats. Windows Server 2016 et les versions ultérieures sont compatibles.
  • Appareils Chrome OS version 89 ou ultérieure pour une expérience optimale

Avant de commencer

  • Pour configurer le déploiement de certificats avec le service SCEP, vous devez disposer de certaines compétences et être autorisé à gérer le service de certificats Microsoft Active Directory pour votre organisation. Assurez-vous d'impliquer les experts concernés de votre organisation avant de continuer.
  • S'il vous faut le nom de l'objet du certificat pour utiliser les noms d'utilisateur Active Directory, synchronisez votre répertoire Active Directory et Google Directory avec Google Cloud Directory Sync (GCDS). Si nécessaire, configurez GCDS.
  • Si vous n'avez pas encore importé de certificat CA dans la console d'administration Google, ajoutez un certificat.

Étape 1 : Téléchargez le connecteur de certificat Google Cloud

Remarque : Si vous avez déjà configuré le connecteur de certificat Google Cloud pour appareils mobiles, ignorez cette étape et passez directement à Étape 2 : Ajoutez un profil SCEP.

Procédez comme suit sur le serveur SCEP ou sur un ordinateur Windows, à l'aide d'un compte de service sur le serveur SCEP. Gardez les identifiants du compte à disposition.

Si votre organisation dispose de plusieurs serveurs, vous pouvez utiliser le même agent de connecteur de certificat sur chacun d'entre eux. Téléchargez et installez les fichiers d'installation, de configuration et de clé sur un ordinateur, comme décrit dans les étapes suivantes. Ensuite, copiez ces trois fichiers sur l'autre ordinateur et suivez les instructions de configuration.

Remarque : Vous ne téléchargez le connecteur de certificat Google Cloud et ses composants qu'une seule fois, lors de la première configuration des certificats pour votre organisation. Vos certificats et profils SCEP peuvent partager un même connecteur de certificat.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Appareils puis Réseaux.
  3. Cliquez sur Profil SCEP sécurisé puis Télécharger un connecteur.
  4. Dans la section "Connecteur de certificat Google Cloud", cliquez sur Télécharger. Le téléchargement crée sur votre bureau un dossier contenant le connecteur de certificat. Nous vous recommandons de télécharger les autres fichiers de configuration de connecteur dans ce dossier.

  5. Dans la section "Télécharger le fichier de configuration du connecteur", cliquez sur Télécharger. Le fichier config.json est téléchargé.

  6. Dans la section "Obtenir une clé de compte de service", cliquez sur Générer la clé. Le fichier key.json est téléchargé.
  7. Exécutez le programme d'installation du connecteur de certificat.
    • Dans l'assistant d'installation, cliquez sur Suivant.
    • Acceptez les conditions du contrat de licence, puis cliquez sur Suivant.
    • Sélectionnez le compte pour lequel le service est installé et cliquez sur Suivant. Le compte doit disposer de droits pour se connecter en tant que service sur le serveur SCEP.
    • Sélectionnez l'emplacement d'installation. Nous vous recommandons d'utiliser l'emplacement par défaut. Cliquez sur Suivant.
    • Saisissez les identifiants de votre compte de service, puis cliquez sur Suivant. Le service est installé.
    • Cliquez sur Terminer pour finaliser l'installation.
  8. Déplacez les fichiers de configuration et de clé (config.json et key.json) dans le dossier du connecteur de certificat Google Cloud créé lors de l'installation, généralement C:\Program Files\Google Cloud Certificate Connector.
  9. Lancez le service "Connecteur de certificat Google Cloud" :
    • Ouvrez les services Windows.
    • Sélectionnez Connecteur de certificat Google Cloud dans la liste des services.
    • Cliquez sur Démarrer pour lancer le service. Vérifiez que l'état passe à En cours d'exécution. Le service redémarre automatiquement si l'ordinateur redémarre.

Si vous téléchargez une nouvelle clé de compte de service ultérieurement, redémarrez le service pour l'appliquer.

Étape 2 : Ajoutez un profil SCEP

Le profil SCEP définit le certificat qui permet aux utilisateurs d'accéder à votre réseau Wi-Fi. Vous attribuez le profil à des utilisateurs spécifiques en l'ajoutant à une unité organisationnelle. Vous pouvez configurer plusieurs profils SCEP pour gérer l'accès par unité organisationnelle et par type d'appareil.

Avant de commencer : pour appliquer le paramètre à certains utilisateurs uniquement, placez leur compte dans une unité organisationnelle.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Appareils puis Réseaux.
  3. Cliquez sur Créer un profil SCEP.
  4. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  5. Cliquez sur Ajouter un profil SCEP sécurisé.
  6. Saisissez les informations de configuration du profil. Si votre autorité de certification émet un modèle spécifique, faites correspondre les détails du profil au modèle.
    • Nom du profil SCEP : nom descriptif du profil. Le nom apparaît dans la liste des profils et dans le sélecteur de profils de la configuration du réseau Wi-Fi.
    • Format du nom de l'objet : choisissez la manière dont vous souhaitez identifier le propriétaire du certificat. Si vous sélectionnez "Nom distinctif complet", le nom commun du certificat correspond alors au nom d'utilisateur.
    • Autre nom de l'objet : indiquez un réseau SAN. La valeur par défaut est "Aucun". Créez plusieurs réseaux SAN, si nécessaire. Consultez les variables acceptées pour le réseau SAN.
    • Algorithme de signature : fonction de hachage utilisée pour chiffrer la clé d'authentification. Seul l'algorithme de signature SHA256 avec RSA est disponible.
    • Utilisation de la clé : options d'utilisation, de chiffrement et de signature de la clé. Vous pouvez en sélectionner plusieurs.
    • Taille de la clé (bits) : taille de la clé RSA.
      Remarque : Les appareils Chrome OS ne sont compatibles qu'avec des clés matérielles de 2 048 bits. La clé est générée sur l'appareil Chrome OS à l'aide du module TPM et non sur le serveur, pour plus de sécurité.
    • Sécurité : configuration requise pour l'attestation. Sélectionnez Strict pour exiger une vérification des accès validés, uniquement compatible avec les appareils Chrome OS gérés. Sélectionnez Relaxed pour Chrome OS Flex et les appareils Chrome OS non gérés.
    • URL du serveur SCEP : URL du serveur SCEP.
    • Durée de validité du certificat (années) : période pendant laquelle le certificat de l'appareil est valide. Saisissez un nombre.
    • Délai avant renouvellement (en jours) : délai pour renouveler le certificat de l'appareil avant son expiration.
    • Utilisation étendue de la clé : manière dont la clé peut être utilisée. Vous pouvez choisir plusieurs valeurs.
    • Type de question d'authentification : pour exiger que Google pose une question d'authentification spécifique lorsque le service demande un certificat au serveur SCEP, sélectionnez "Statique", puis saisissez la question. Si vous sélectionnez "Aucune", le serveur n'effectue pas cette vérification.
    • Nom du modèle : nom du modèle utilisé par votre serveur NDES.
    • Autorité de certification : nom d'un certificat que vous avez importé pour l'utiliser comme autorité de certification.
    • Type de réseau auquel s'applique ce profil : type de réseaux utilisant le profil SCEP.
    • Plates-formes auxquelles s'applique ce profil : plates-formes utilisant le profil SCEP.
  7. Cliquez sur Enregistrer. Si vous avez configuré une unité organisationnelle enfant, vous pourrez peut-être hériter des paramètres d'une unité organisationnelle parente ou les remplacer.

Une fois que vous avez ajouté le profil, il est répertorié avec son nom et les plates-formes sur lesquelles il est activé. Dans la colonne "Plate-forme", le profil est activé pour les plates-formes marquées d'une icône bleue et désactivé pour les plates-formes marquées d'une icône grise. Pour modifier un profil, placez le curseur sur la ligne et cliquez sur Modifier . Assurez-vous de sélectionner Chromebook (utilisateur) ou Chromebook (appareil), selon le type de certificat que vous souhaitez déployer.

Le profil SCEP est automatiquement distribué aux utilisateurs de l'unité organisationnelle.

Fonctionnement de l'authentification par certificat via le connecteur de certificat Google Cloud

Le connecteur de certificat Google Cloud est un service Windows qui établit une connexion exclusive entre votre serveur SCEP et Google. Il est configuré et sécurisé par un fichier de configuration et un fichier de clé, tous deux dédiés uniquement à votre organisation.

Vous devez attribuer des certificats aux appareils et aux utilisateurs disposant d'un profil SCEP. Pour attribuer le profil, ajoutez-le à l'unité organisationnelle de votre choix. Le profil comprend l'autorité de certification qui émet les certificats. Lorsqu'un appareil Chrome OS est enregistré, une règle configurée lui est envoyée. Elle installe le certificat sur l'appareil avant la connexion de l'utilisateur si un certificat d'appareil est déployé ou après la connexion si un certificat utilisateur est déployé. Si l'appareil est déjà enregistré ou si le profil utilisateur existe déjà, le certificat est installé une fois que l'appareil ou l'utilisateur a reçu la règle mise à jour depuis la console d'administration.

Limites et problèmes connus

  • Les profils SCEP ne sont pas actuellement compatibles avec les questions dynamiques d'authentification.
  • Une fois installés sur un appareil, les certificats ne peuvent pas être révoqués.
  • Le profil SCEP doit être configuré avec le certificat CA qui émet le certificat client. Si une chaîne de certificats (certificat CA - certificat CA intermédiaire - certificat d'identité, par exemple) est utilisée, le profil SCEP doit être configuré avec le certificat CA intermédiaire.
  • Les certificats ne peuvent être déployés que pour les utilisateurs connectés à un appareil géré enregistré. Les utilisateurs et les appareils doivent appartenir au même domaine.

Variables acceptées pour le réseau SAN

Au lieu d'utiliser les propriétés du demandeur, vous pouvez définir d'autres noms d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil. Pour utiliser une demande de signature de certificat personnalisée (CSR), vous devez également configurer le modèle de certificat sur l'autorité de certification de façon à obtenir et générer un certificat avec les valeurs d'objet définies dans la requête elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet.

Vous pouvez utiliser les espaces réservés ci-dessous. Ces valeurs sont toutes facultatives.

  • ${DEVICE_DIRECTORY_ID} : ID de l'annuaire de l'appareil
  • ${USER_EMAIL} : adresse e-mail de l'utilisateur connecté
  • ${USER_EMAIL_DOMAIN} : nom de domaine de l'utilisateur connecté
  • ${DEVICE_SERIAL_NUMBER} : numéro de série de l'appareil
  • ${DEVICE_ASSET_ID} : ID d'élément attribué à l'appareil par l'administrateur
  • ${DEVICE_ANNOTATED_LOCATION} : emplacement attribué à l'appareil par l'administrateur
  • ${USER_EMAIL_NAME} : première partie de l'adresse e-mail de l'utilisateur connecté (avant le signe "@")

Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide.

Google et les marques et logos associés sont des marques de Google LLC. Tous les autres noms d'entreprises et de produits sont des marques des entreprises auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
7470292496755993701
true
Rechercher dans le centre d'aide
true
true
true
true
true
410864
false
false