Notifica

Stai pianificando la tua strategia di ritorno al lavoro in ufficio? Scopri come Chrome OS può aiutarti.

Utilizzare Google Cloud Certificate Connector

Puoi controllare gli accessi degli utenti alle reti Wi-Fi e alle app e siti web interni della tua organizzazione sui dispositivi Chrome OS utilizzando un connettore per distribuire certificati dei dispositivi rilasciati dall'autorità di certificazione (CA) locale. Google Cloud Certificate Connector è un servizio Windows che distribuisce in modo sicuro certificati e chiavi di autenticazione dal server SCEP (Simple Certificate Enrollment Protocol) ai dispositivi degli utenti.

Per i dispositivi Chrome OS, le chiavi private per i certificati vengono generate sul dispositivo. La chiave pubblica corrispondente viene archiviata temporaneamente sui server di Google ed eliminata dopo l'installazione del certificato.

Requisiti di sistema

  • È necessario che la tua organizzazione utilizzi Servizi certificati Microsoft Active Directory per un server SCEP e il servizio Registrazione dispositivi di rete (NDES) di Microsoft per la distribuzione dei certificati. Sono supportati Windows Server 2016 e versioni successive.
  • Dispositivi Chrome OS con versione 89 o successive per un'esperienza ottimale.

Prima di iniziare

  • La configurazione del deployment dei certificati con SCEP richiede le competenze e le autorizzazioni necessarie per gestire Servizi certificati Microsoft Active Directory per l'organizzazione. Prima di procedere, assicurati che siano coinvolti membri dell'organizzazione dotati delle competenze e delle autorizzazioni richieste.
  • Se necessiti del certificato Nome soggetto per utilizzare i nomi utente di Active Directory, devi sincronizzare Active Directory e Google Directory tramite Google Cloud Directory Sync (GCDS). Se necessario, configura GCDS.
  • Se non hai già caricato un certificato CA nella Console di amministrazione Google, aggiungine uno.

Passaggio 1: scarica Google Cloud Certificate Connector

Nota: se hai già configurato Google Cloud Certificate Connector per dispositivi mobili, salta questo passaggio e vai direttamente al Passaggio 2: aggiungi un profilo SCEP.

Segui i passaggi illustrati di seguito sul server SCEP oppure su un computer Windows con un account autorizzato ad accedere al server SCEP come servizio. Tieni le credenziali dell'account a portata di mano.

Se la tua organizzazione ha diversi server, puoi utilizzare su tutti lo stesso agente di Certificate Connector. Scarica e installa il file di installazione, il file di configurazione e il file della chiave su un computer, come illustrato nei passaggi riportati di seguito. Successivamente, copia i tre file sull'altro computer e segui le istruzioni di configurazione su quel computer.

Nota: il download di Google Cloud Certificate Connector e dei relativi componenti deve essere effettuato soltanto una volta, al momento della configurazione iniziale dei certificati per l'organizzazione. I certificati e i profili SCEP possono condividere un singolo connettore di certificati.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Dispositivie poiReti.
  3. Fai clic su SCEP sicurie poiScarica Connector.
  4. Nella sezione Google Cloud Certificate Connector, fai clic su Scarica. Il download crea sul desktop una cartella contenente il connettore di certificati. Ti consigliamo di scaricare gli altri file di configurazione del connettore in questa cartella.

  5. Nella sezione Scarica il file di configurazione del connettore, fai clic su Scarica. Viene scaricato il file config.json.

  6. Nella sezione Genera una chiave account di servizio, fai clic su Genera chiave. Viene scaricato il file key.json.
  7. Esegui il programma di installazione del connettore di certificati.
    • Nella procedura guidata di installazione, fai clic su Next (Avanti).
    • Accetta i termini del contratto di licenza e fai clic su Next (Avanti).
    • Scegli l'account per il quale stai installando il servizio e fai clic su Next (Avanti). L'account deve disporre dei privilegi necessari per accedere come servizio sul server SCEP.
    • Seleziona il percorso di installazione. Ti consigliamo di utilizzare l'impostazione predefinita. Fai clic su Next (Avanti).
    • Inserisci le credenziali dell'account di servizio e fai clic su Next (Avanti). Il servizio viene installato.
    • Fai clic su Finish (Fine) per completare l'installazione.
  8. Sposta il file di configurazione e quello della chiave (config.json e key.json) nella cartella di Google Cloud Certificate Connector creata durante l'installazione, che di solito si trova nel seguente percorso: C:\Programmi\Google Cloud Certificate Connector.
  9. Avvia il servizio Google Cloud Certificate Connector:
    • In Windows, apri Servizi.
    • Seleziona Google Cloud Certificate Connector nell'elenco dei servizi.
    • Fai clic su Avvia per avviare il servizio. Assicurati che lo stato passi a In esecuzione. Il servizio si riavvia automaticamente al riavvio del computer.

Se, in un secondo momento, scarichi una nuova chiave dell'account di servizio, riavvia il servizio per applicarla.

Passaggio 2: aggiungi un profilo SCEP

Un profilo SCEP definisce il certificato che consente agli utenti di accedere alla rete Wi-Fi. Puoi assegnare il profilo a utenti specifici aggiungendolo a un'unità organizzativa. Puoi configurare diversi profili SCEP per gestire gli accessi in base all'unità organizzativa e al tipo di dispositivo.

Prima di iniziare: per applicare l'impostazione a utenti specifici, inserisci i loro account in un'unità organizzativa.

  1. Accedi alla Console di amministrazione Google.

    Accedi utilizzando l'account amministratore (che non termina con @gmail.com).

  2. Nella Console di amministrazione, vai a Menu e poi Dispositivie poiReti.
  3. Fai clic su Crea profilo SCEP.
  4. Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
  5. Fai clic su Aggiungi profilo sicuro SCEP.
  6. Inserisci i dettagli di configurazione per il profilo. Se la CA pubblica un modello specifico, accertati che i dettagli del profilo corrispondano al modello.
    • Nome del profilo SCEP: il nome che descrive il profilo. Il nome viene visualizzato nell'elenco dei profili e nel selettore dei profili della configurazione della rete Wi-Fi.
    • Formato del nome del soggetto: scegli come identificare il proprietario del certificato. Se selezioni Nome distinto completo, il nome comune del certificato corrisponde al nome utente.
    • Nome alternativo del soggetto: inserisci un SAN (Subject Alternative Name). Il valore predefinito è Nessuno. Crea più SAN, in base alle tue esigenze. Vedi Variabili supportate per SAN.
    • Algoritmo di firma: la funzione hash utilizzata per criptare la chiave di autorizzazione. L'unica opzione disponibile è SHA256 con RSA.
    • Utilizzo della chiave: opzioni relative alla modalità di utilizzo della chiave, della crittografia della chiave e della firma. Puoi selezionarne più di una:
    • Dimensioni della chiave (bit): le dimensioni della chiave RSA.
      Nota: i dispositivi Chrome OS sono compatibili solo con chiavi a 2048 bit basate sull'hardware. Per una maggiore sicurezza, la chiave viene generata sul dispositivo Chrome OS utilizzando TPM anziché sul server.
    • Sicurezza: requisiti di attestazione. Seleziona Rigoroso per richiedere un controllo di accesso verificato, supportato solo dai dispositivi Chrome OS gestiti. Seleziona Rilassato per Chrome OS Flex e i dispositivi Chrome OS non gestiti.
    • URL del server SCEP: l'URL del server SCEP.
    • Periodo di validità del certificato (anni): periodo di tempo durante il quale il certificato del dispositivo è valido. Inserisci un numero.
    • Numero di giorni per il rinnovo: quanto tempo prima della scadenza del certificato del dispositivo è possibile effettuare un tentativo di rinnovo del certificato.
    • Utilizzo esteso della chiave: modalità di utilizzo della chiave. Puoi scegliere più di un valore.
    • Tipo di verifica: per richiedere che Google fornisca una frase di verifica specifica quando richiede un certificato al server SCEP, seleziona Statico e inserisci la frase. Se selezioni Nessuno, il server non richiede questa verifica.
    • Nome modello: il nome del modello utilizzato dal server NDES.
    • Autorità di certificazione: il nome di un certificato che hai caricato per essere utilizzato come autorità di certificazione.
    • Tipo di rete a cui si applica questo profilo: il tipo di reti che utilizzano il profilo SCEP.
    • Piattaforme a cui si applica questo profilo: le piattaforme dei dispositivi che utilizzano il profilo SCEP.
  7. Fai clic su Salva. Se hai configurato un'unità organizzativa secondaria, potresti essere in grado di scegliere Eredita o Ignora per le impostazioni di un'unità organizzativa principale.

Una volta aggiunto, il profilo viene inserito nell'elenco insieme al nome e alle piattaforme per le quali è abilitato. Nella colonna Piattaforma, l'icona blu e l'icona grigia contrassegnano rispettivamente le piattaforme per le quali il profilo è abilitato o disabilitato. Per modificare un profilo, posiziona il puntatore del mouse sulla riga corrispondente e fai clic su Modifica. Assicurati di selezionare Chromebook (utente) o Chromebook (dispositivo) a seconda del tipo di certificato che vuoi implementare.

Il profilo SCEP viene distribuito automaticamente agli utenti nell'unità organizzativa.

Come funziona l'autenticazione mediante certificato con Google Cloud Certificate Connector

Google Cloud Certificate Connector è un servizio Windows che stabilisce una connessione esclusiva tra il server SCEP e Google. Il connettore di certificati è configurato e reso sicuro mediante un file di configurazione e un file della chiave, entrambi riservati esclusivamente alla tua organizzazione.

Per assegnare certificati a dispositivi e utenti, devi utilizzare i profili SCEP. Per assegnare un profilo, scegli un'unità organizzativa e aggiungilo all'unità. Il profilo include l'autorità di certificazione che rilascia i certificati. Quando vengono registrati, i dispositivi Chrome OS ricevono i criteri configurati e installano il certificato prima dell'accesso dell'utente, se viene eseguito il deployment del certificato di un dispositivo, o dopo l'accesso dell'utente, se viene eseguito il deployment del certificato di un utente. Se il dispositivo è già registrato o se il profilo utente esiste già, il certificato viene installato quando il dispositivo o l'utente riceve un criterio aggiornato dalla Console di amministrazione.

Problemi noti e limitazioni

  • Attualmente i profili SCEP non supportano le verifiche dinamiche.
  • I certificati non possono essere revocati dopo essere stati installati su un dispositivo.
  • Il profilo SCEP deve essere configurato con il certificato CA che emette il certificato client. Se viene utilizzata una catena di certificati, ad esempio certificato CA - certificato CA intermedio - certificato di identità, il profilo SCEP dovrà essere configurato con il certificato CA intermedio.
  • Il deployment dei certificati può essere eseguito solo per gli utenti che hanno effettuato l'accesso a un dispositivo gestito registrato. Gli utenti e i dispositivi devono appartenere allo stesso dominio.

Variabili supportate per SAN

Invece di utilizzare le proprietà del richiedente, puoi definire nomi alternativi dei soggetti in base agli attributi degli utenti e dei dispositivi. Per utilizzare la richiesta personalizzata di firma del certificato (CSR0), devi anche configurare il modello di certificato nell'autorità di certificazione in modo che sia richiesto e generato un certificato con i valori del soggetto definiti nella richiesta stessa. Come requisito minimo sarà necessario fornire un valore per il CommonName del soggetto.

Puoi utilizzare i seguenti segnaposto. Tutti i valori sono facoltativi.

  • ${DEVICE_DIRECTORY_ID}: l'ID di directory del dispositivo.
  • ${USER_EMAIL}: l'indirizzo email dell'utente che ha effettuato l'accesso.
  • ${USER_EMAIL_DOMAIN}: il nome di dominio dell'utente che ha effettuato l'accesso.
  • ${DEVICE_SERIAL_NUMBER}: il numero di serie del dispositivo.
  • ${DEVICE_ASSET_ID}: l'ID risorsa assegnato al dispositivo dall'amministratore.
  • ${DEVICE_ANNOTATED_LOCATION}: la posizione assegnata al dispositivo dall'amministratore.
  • ${USER_EMAIL_NAME}: la parte che precede il carattere "@" dell'indirizzo email dell'utente che ha eseguito l'accesso.

Se un valore segnaposto non è disponibile, viene sostituito da una stringa vuota.

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?
true
Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
14566168352211171401
true
Cerca nel Centro assistenza
true
true
true
true
true
410864
false
false