Menggunakan Google Cloud Certificate Connector

Anda dapat mengontrol akses pengguna ke jaringan Wi-Fi, aplikasi internal, dan situs internal organisasi di perangkat ChromeOS dengan menggunakan konektor untuk mendistribusikan sertifikat perangkat dari Certificate Authority (CA) lokal Anda. Google Cloud Certificate Connector adalah layanan Windows yang mendistribusikan sertifikat dan kunci autentikasi dengan aman dari server Simple Certificate Enrollment Protocol (SCEP) ke perangkat pengguna.

Bagi perangkat ChromeOS, kunci pribadi untuk sertifikat dibuat di perangkat. Kunci publik yang sesuai akan disimpan sementara di server Google, lalu dihapus setelah sertifikat diinstal.

Persyaratan sistem

  • Organisasi Anda menggunakan Microsoft Active Directory Certificate Service untuk server SCEP dan Microsoft Network Device Enrollment Service (NDES) untuk mendistribusikan sertifikat. Windows Server 2016 dan yang lebih baru didukung.
  • Perangkat ChromeOS dengan versi 89 atau yang lebih baru untuk mendapatkan pengalaman terbaik.

Sebelum memulai

  • Untuk menyiapkan deployment sertifikat dengan SCEP, Anda memerlukan keahlian dan izin agar dapat mengelola Microsoft Active Directory Certificate Service bagi organisasi Anda. Pastikan bahwa pakar yang relevan terlibat dalam organisasi Anda sebelum melanjutkan.
  • Jika memerlukan nama Subjek sertifikat untuk menggunakan nama pengguna Active Directory, Anda harus menyinkronkan Active Directory dan Google Directory dengan Google Cloud Directory Sync (GCDS). Jika perlu, siapkan GCDS.
  • Jika Anda belum mengupload Sertifikat CA di konsol Google Admin, tambahkan sertifikat.

Langkah 1: Download Google Cloud Certificate Connector

Catatan: Jika Anda telah menyiapkan Google Cloud Certificate Connector untuk perangkat seluler, lewati langkah ini dan langsung ke Langkah 2: Tambahkan profil SCEP.

Lakukan langkah berikut di server SCEP atau komputer Windows dengan akun yang dapat login sebagai layanan di server SCEP. Sediakan kredensial akun.

Jika organisasi Anda memiliki beberapa server, Anda dapat menggunakan agen konektor sertifikat yang sama di semua server. Download dan instal file penginstalan, file konfigurasi, dan file kunci di satu komputer seperti yang dijelaskan pada langkah-langkah berikut. Kemudian, salin ketiga file tersebut ke komputer lain dan ikuti petunjuk penyiapan di komputer.

Catatan: Anda hanya perlu mendownload Google Cloud Certificate Connector beserta komponennya sekali saja, saat pertama kali menyiapkan sertifikat untuk organisasi Anda. Sertifikat dan profil SCEP dapat berbagi satu konektor sertifikat.

  1. Login ke Konsol Google Admin dengan akun administrator.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Buka Perangkat > Jaringan.

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  3. Klik SCEP AmanlaluDownload Konektor.
  4. Di bagian Google Cloud Certificate Connector, klik Download. Download akan membuat folder di desktop yang berisi konektor sertifikat. Sebaiknya Anda mendownload file konfigurasi konektor lainnya ke folder ini.

  5. Di bagian Download file konfigurasi konektor, klik Download. File config.json akan didownload.

  6. Di bagian Dapatkan kunci akun layanan, klik Buat kunci. File key.json akan didownload.
  7. Jalankan penginstal konektor sertifikat.
    1. Download penginstal konektor.
    2. Jalankan penginstal sebagai administrator. 
    3. Penginstal akan mendaftarkan layanan dan secara default disetel ke akun LocalService untuk proses login.
    4. Saat layanan didaftarkan, software akan ditandai sebagai terinstal. Kemudian, penginstal mencoba memulai layanan.
      Jika ini adalah pertama kalinya menginstal konektor, layanan tidak akan dimulai karena file yang diperlukan tidak ada.
  8. Pindahkan file konfigurasi dan kunci (config.json dan key.json) ke folder Google Cloud Certificate Connector yang dibuat selama penginstalan, biasanya: C:\Program Files\Google Cloud Certificate Connector.
  9. (Opsional) Jalankan alat konfigurasi ( C:\Program Files\Google Cloud Certificate Connector\Config Tool.exe) sebagai admin untuk mendaftarkan ulang layanan dengan nama akun yang berbeda selain akun LocalService default.
  10. Luncurkan layanan Google Cloud Certificate Connector:
    • Buka Windows Services.
    • Pilih Google Cloud Certificate Connector di daftar layanan.
    • Klik Start untuk memulai layanan. Pastikan statusnya berubah menjadi Running. Layanan akan dimulai ulang secara otomatis jika komputer di-reboot.

Jika Anda mendownload kunci akun layanan baru di lain waktu, mulai ulang layanan untuk menerapkannya.

Langkah 2: Tambahkan profil SCEP

Profil SCEP menentukan sertifikat yang memungkinkan pengguna mengakses jaringan Wi-Fi Anda. Anda dapat menetapkan profil untuk pengguna tertentu dengan menambahkannya ke unit organisasi. Anda dapat menyiapkan beberapa profil SCEP untuk mengelola akses berdasarkan unit organisasi atau jenis perangkat.

Sebelum memulai: Untuk menerapkan setelan bagi pengguna tertentu, tempatkan akun mereka di unit organisasi.

  1. Login ke Konsol Google Admin dengan akun administrator.

    Jika tidak menggunakan akun administrator, Anda tidak dapat mengakses konsol Admin.

  2. Buka Perangkat > Jaringan.

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  3. Klik Buat Profil SCEP.
  4. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi. Tunjukkan caranya
  5. Klik Tambahkan Profil SCEP Aman.
  6. Masukkan detail konfigurasi untuk profil. Jika CA Anda menerbitkan template tertentu, cocokkan detail profil dengan template.
    • Nama profil SCEP—Nama deskriptif untuk profil. Nama ini ditampilkan dalam daftar profil dan di pemilih profil pada konfigurasi jaringan Wi-Fi.
    • Format nama subjek—Pilih cara Anda ingin mengidentifikasi pemilik sertifikat. Jika Anda memilih Nama yang Benar-Benar Berbeda, Nama Umum sertifikat akan berupa nama pengguna milik pengguna.
    • Nama alternatif subjek—Masukkan SAN. Setelan default-nya Tidak ada. Buat beberapa SAN, sesuai kebutuhan. Lihat Variabel yang didukung untuk SAN.
    • Algoritme penandatanganan—Fungsi hash yang digunakan untuk mengenkripsi kunci autentikasi. Hanya SHA256 dengan RSA yang tersedia.
    • Penggunaan kunci—Opsi tentang cara menggunakan kunci, enkripsi, dan penandatanganan kunci. Anda dapat memilih lebih dari satu.
    • Key size (bit)—Ukuran kunci RSA.
      Catatan: Perangkat ChromeOS hanya mendukung hardware yang mendukung ukuran 2048. Untuk keamanan tambahan, kunci ini dibuat di perangkat ChromeOS menggunakan TPM, bukan di server.
    • Keamanan—Persyaratan pengesahan. Pilih Ketat untuk mewajibkan pemeriksaan akses terverifikasi, yang hanya didukung oleh perangkat ChromeOS terkelola. Pilih Longgar untuk ChromeOS Flex dan perangkat ChromeOS yang tidak dikelola.
    • URL server SCEP—URL server SCEP.
    • Periode validitas sertifikat (tahun) —Berapa lama sertifikat perangkat berlaku. Masukkan sebagai nomor.
    • Perpanjang dalam hari—Durasi sebelum masa berlaku sertifikat perangkat berakhir untuk mencoba memperpanjang sertifikat.
    • Penggunaan kunci yang diperpanjang—Cara kunci digunakan. Anda dapat memilih lebih dari satu nilai.
    • Jenis verifikasi—Untuk mewajibkan Google memberikan frasa verifikasi tertentu saat meminta sertifikat dari server SCEP, pilih Statis dan masukkan frasa tersebut. Jika Anda memilih Tidak ada, server tidak akan mewajibkan pemeriksaan ini.
    • Nama template—Nama template yang digunakan oleh server NDES.
    • Certificate Authority—Nama sertifikat yang Anda upload untuk digunakan sebagai Certificate Authority.
    • Jenis jaringan tempat profil ini diterapkan​—Jenis jaringan yang menggunakan profil SCEP.
    • Platform tempat profil ini diterapkan—Platform perangkat yang menggunakan profil SCEP.
  7. Klik Simpan. Atau, Anda dapat mengklik Ganti untuk unit organisasi.

    Untuk memulihkan nilai yang diwarisi pada lain waktu, klik Warisi.

Setelah Anda menambahkan profil, profil tersebut akan dicantumkan dengan namanya beserta platform tempat profil diaktifkan. Di kolom Platform, profil diaktifkan untuk platform dengan ikon berwarna biru dan dinonaktifkan untuk platform dengan ikon berwarna abu-abu. Untuk mengedit profil, arahkan kursor ke baris, lalu klik Edit. Pastikan untuk memilih Chromebook (pengguna) atau Chromebook (perangkat) bergantung pada jenis sertifikat yang ingin Anda deploy.

Profil SCEP didistribusikan kepada pengguna secara otomatis di unit organisasi.

Cara kerja autentikasi sertifikat melalui Google Cloud Certificate Connector

Google Cloud Certificate Connector adalah layanan Windows yang menentukan sambungan khusus antara server SCEP dan Google. Konektor sertifikat dikonfigurasi serta diamankan oleh file konfigurasi dan file kunci, keduanya hanya untuk organisasi Anda.

Anda menetapkan sertifikat untuk perangkat dan pengguna dengan Profil SCEP. Untuk menetapkan profil, pilih unit organisasi dan tambahkan profil ke unit organisasi tersebut. Profil mencakup Certificate Authority yang menerbitkan sertifikat perangkat. Saat perangkat ChromeOS didaftarkan, kebijakan yang dikonfigurasi akan dikirim ke perangkat, lalu perangkat akan menginstal sertifikat di perangkat sebelum pengguna login jika men-deploy sertifikat perangkat, atau setelah login jika men-deploy sertifikat pengguna. Jika perangkat sudah didaftarkan atau profil pengguna sudah ada, sertifikat akan diinstal setelah perangkat atau pengguna menerima kebijakan yang diperbarui dari konsol Admin.

Masalah umum dan Batasan

  • Profil SCEP saat ini tidak mendukung verifikasi dinamis.
  • Sertifikat tidak dapat dicabut setelah diinstal di perangkat.
  • Profil SCEP harus dikonfigurasi dengan Sertifikat CA yang menerbitkan sertifikat klien. Jika rantai sertifikat, seperti sertifikat CA - sertifikat CA perantara - sertifikat identitas digunakan, maka Profil SCEP harus dikonfigurasi dengan sertifikat CA perantara.
  • Sertifikat hanya dapat di-deploy untuk pengguna yang login ke perangkat terkelola yang terdaftar. Pengguna dan perangkat harus berasal dari domain yang sama.

Variabel yang didukung untuk SAN

Anda dapat menentukan nama alternatif subjek berdasarkan atribut pengguna dan perangkat, bukan menggunakan properti pemohon. Untuk menggunakan permintaan penandatanganan sertifikat kustom (CSR0), Anda juga harus mengonfigurasi template sertifikat pada CA untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk CommonName subjek.

Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional.

  • ${DEVICE_DIRECTORY_ID}—ID direktori perangkat
  • ${USER_EMAIL}—Alamat email pengguna yang login
  • ${USER_EMAIL_DOMAIN}—Nama domain pengguna yang login
  • ${DEVICE_SERIAL_NUMBER}—Nomor seri perangkat
  • ${DEVICE_ASSET_ID}—ID aset yang ditetapkan ke perangkat oleh administrator
  • ${DEVICE_ANNOTATED_LOCATION}—Lokasi yang ditetapkan ke perangkat oleh administrator
  • ${USER_EMAIL_NAME}—Bagian awal alamat email pengguna yang login (sebelum tanda '@')

Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong.

Google serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
4371628036296982968
true
Pusat Bantuan Penelusuran
true
true
true
true
true
410864
false
false
false