Melding

Ben je aan het plannen om weer op kantoor te gaan werken? Bekijk hoe Chrome OS hieraan kan bijdragen.

De Google Cloud Certificate Connector gebruiken

Je kunt de toegang van gebruikers tot de wifi-netwerken, interne apps en interne websites van je organisatie op Chrome OS-apparaten beheren door een connector te gebruiken om apparaatcertificaten van je lokale certificeringsinstantie (CA) te distribueren. De Google Cloud Certificate Connector is een Windows-service die certificaten en verificatiesleutels beveiligd distribueert van je Simple Certificate Enrollment Protocol-server (SCEP) naar de apparaten van gebruikers.

Op Chrome OS-apparaten wordt er een privésleutel voor certificaten gemaakt. De bijbehorende openbare sleutel wordt tijdelijk opgeslagen op de servers van Google en wordt verwijderd nadat het certificaat is geïnstalleerd.

Systeemvereisten

  • Je organisatie gebruikt Microsoft Active Directory Certificate Services voor een SCEP-server en de Microsoft Network Device Enrollment-service (NDES) om certificaten te distribueren. Wordt ondersteund op Windows Server 2016 en hoger.
  • Gebruik Chrome OS-apparaten met versie 89 of hoger voor de beste prestaties.

Voordat u begint

  • Als je certificaten wilt implementeren met SCEP, moet je de kennis en de juiste rechten hebben om de certificaatservice van Active Directory van Microsoft te beheren voor je organisatie. Zorg dat de relevante experts in je organisatie op de hoogte zijn voordat je verdergaat.
  • Als u de onderwerpnaam van het certificaat nodig heeft om Active Directory-gebruikersnamen te kunnen gebruiken, moet u uw Active Directory en Google-directory synchroniseren met Google Cloud Directory Sync (GCDS). Stel indien nodig GCDS in.
  • Als je nog geen CA-certificaat hebt geüpload in de Google Beheerdersconsole, voeg je een certificaat toe.

Stap 1: De Google Cloud Certificate Connector downloaden

Opmerking: Als je de Google Cloud Certificate Connector al hebt ingesteld voor mobiele apparaten, kun je deze stap overslaan en doorgaan naar Stap 2: Een SCEP-profiel toevoegen.

Voer de volgende stappen uit op de SCEP-server of op een Windows-computer met een account waarmee je kunt inloggen als service op de SCEP-server. Houd de inloggegevens van het account bij de hand.

Als je organisatie meerdere servers heeft, kun je op alle servers dezelfde certificaatconnectoragent gebruiken. Download en installeer het installatiebestand, configuratiebestand en sleutelbestand op één computer, zoals beschreven in de volgende stappen. Kopieer dan deze 3 bestanden naar de andere computer en volg de installatie-instructies op die computer.

Opmerking: Je downloadt de Google Cloud Certificate Connector en de bijbehorende componenten slechts één keer, namelijk als je voor de eerste keer certificaten instelt voor je organisatie. Uw certificaten en SCEP-profielen kunnen een Certificate Connector delen.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Factureringand thenAbonnementen.
  3. Klik op Veilige SCEPand thenConnector downloaden.
  4. Klik in het gedeelte 'Google Cloud Certificate Connector' op Downloaden. De download maakt een map met de certificaatconnector op het bureaublad. We raden u aan de andere connectorconfiguratiebestanden te downloaden naar deze map.

  5. Klik in het gedeelte 'Het connectorconfiguratiebestand downloaden' op Downloaden. Het bestand config.json wordt gedownload.

  6. Klik in het gedeelte 'Een sleutel voor het serviceaccount genereren' op Sleutel genereren. Het bestand key.json wordt gedownload.
  7. Voer het installatieprogramma van de certificaatconnector uit.
    • Klik in de installatiewizard op Volgende.
    • Accepteer de voorwaarden van de licentieovereenkomst en klik op Volgende.
    • Kies het account waarvoor de service is geïnstalleerd en klik op Volgende. Het account moet rechten hebben om in te loggen als service op de SCEP-server.
    • Selecteer de installatielocatie. We raden u aan de standaardlocatie te gebruiken. Klik op Volgende.
    • Voer de inloggegevens van uw serviceaccount in en klik op Volgende. De service wordt geïnstalleerd.
    • Klik op Voltooien om de installatie te voltooien.
  8. Verplaats de configuratie- en sleutelbestanden (config.json en key.json) naar de Google Cloud Certificate Connector-map die tijdens de installatie is gemaakt. Dit is meestal C:\Program Files\Google Cloud Certificate Connector.
  9. Start de Google Cloud Certificate Connector-service:
    • Open Windows-services.
    • Selecteer Google Cloud Certificate Connector in de lijst met services.
    • Klik op Starten om de service te starten. Controleer of de status wordt gewijzigd in Actief. De service wordt automatisch opnieuw opgestart als de computer opnieuw wordt opgestart.

Als u later een nieuwe serviceaccountsleutel downloadt, start u de service opnieuw om deze toe te passen.

Stap 2: Een SCEP-profiel toevoegen

Het SCEP-profiel bepaalt met welk certificaat gebruikers toegang kunnen krijgen tot uw wifi-netwerk. U wijst het profiel toe aan specifieke gebruikers door het toe te voegen aan een organisatie-eenheid. Je kunt verschillende SCEP-profielen instellen om de toegang per organisatie-eenheid en per apparaattype te beheren.

Voordat je begint: Als je wilt dat de instelling geldt voor bepaalde gebruikers, plaats je hun accounts in een organisatie-eenheid.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Factureringand thenAbonnementen.
  3. Klik op SCEP-profiel maken.
  4. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheid.
  5. Klik op Veilig SCEP-profiel toevoegen.
  6. Voer de configuratiegegevens voor het profiel in. Als uw CA een bepaalde template uitgeeft, moet u zorgen dat de gegevens in het profiel hetzelfde zijn als in de template.
    • SCEP-profielnaam: Een beschrijvende naam voor het profiel. De naam wordt weergegeven in de lijst met profielen en in de profielkiezer in de wifi-netwerkconfiguratie.
    • Indeling onderwerpnaam: Kies hoe u de eigenaar van het certificaat wilt identificeren. Als je Volledige DN-naam (Distinguished Name) selecteert, is de algemene naam van het certificaat de gebruikersnaam van de gebruiker.
    • Alternatieve naam onderwerp: Geef een alternatieve naam op. De standaard is Geen. Maak indien nodig meerdere alternatieve namen. Zie Ondersteunde variabelen voor alternatieve namen.
    • Ondertekeningsalgoritme: De hashfunctie waarmee de verificatiesleutel wordt versleuteld. Alleen SHA256 met RSA is beschikbaar.
    • Sleutelgebruik: Opties voor het gebruiken, versleutelen en ondertekenen van de sleutel. U kunt meerdere opties selecteren.
    • Sleutelgrootte (bits): De grootte van de RSA-sleutel.
      Opmerking: Op Chrome OS-apparaten wordt alleen hardware-backed 2048 ondersteund. Voor extra beveiliging wordt de sleutel gemaakt op het Chrome OS-apparaat met de TPM in plaats van op de server.
    • Beveiliging: Attestvereisten. Selecteer Streng om een geverifieerde toegangscontrole te vereisen. Dit wordt alleen ondersteund op beheerde Chrome OS-apparaten. Selecteer Minder streng voor Chrome OS Flex en onbeheerde Chrome OS-apparaten.
    • URL SCEP-server: De URL van de SCEP-server.
    • Validiteitsperiode certificaat (jaren): Hoelang het apparaatcertificaat geldig is. Voer een getal in.
    • Verlengen binnen aantal dagen: Hoelang voordat het apparaatcertificaat verloopt, moet er worden geprobeerd het certificaat te verlengen.
    • Uitgebreid sleutelgebruik: Hoe de sleutel kan worden gebruikt. U kunt meerdere waarden kiezen.
    • Challenge-type: Als je wilt dat Google een specifieke challengezin opgeeft wanneer een certificaat wordt opgevraagd bij de SCEP-server, selecteer je Statisch en vul je de zin in. Als je Geen selecteert, vereist de server deze controle niet.
    • Naam template: De naam van de template die wordt gebruikt door uw NDES-server.
    • Certificeringsinstantie: De naam van een certificaat dat u heeft geüpload voor gebruik als certificeringsinstantie.
    • Netwerktype waarvoor dit profiel geldt: Het type van de netwerken die het SCEP-profiel gebruiken.
    • Platforms waarvoor dit profiel geldt: De apparaatplatforms waarop het SCEP-profiel wordt gebruikt.
  7. Klik op Opslaan. Als je een onderliggende organisatie-eenheid hebt geconfigureerd, kun je mogelijk de instellingen van de bovenliggende organisatie-eenheid Overnemen of Overschrijven.

Nadat u een profiel heeft toegevoegd, wordt het weergegeven met de naam en de platforms waarop het aanstaat. In de kolom Platform staat het profiel aan voor platforms met een blauwe icoon en uit voor platforms met een grijs icoon. Als je een profiel wilt bewerken, plaats je de muisaanwijzer op de rij en klik je op Bewerken . Selecteer Chromebook (gebruiker) of Chromebook (apparaat), afhankelijk van het type certificaat dat je wilt implementeren.

Het SCEP-profiel wordt automatisch gedistribueerd naar gebruikers in de organisatie-eenheid.

Hoe certificaatverificatie via Google Cloud Certificate Connector werkt

Google Cloud Certificate Connector is een Windows-service die een exclusieve verbinding tussen uw SCEP-server en Google tot stand brengt. De certificaatconnector wordt ingesteld en beveiligd door een configuratiebestand en een sleutelbestand, die beide uniek zijn voor je organisatie.

Je wijst certificaten toe aan apparaten en gebruikers met SCEP-profielen. Als je het profiel wilt toewijzen, voeg je het profiel toe aan de gewenste organisatie-eenheid. Het profiel bevat de certificeringsinstantie die certificaten uitgeeft. Als een Chrome OS-apparaat wordt ingeschreven, wordt het ingestelde beleid naar het apparaat gestuurd. Het certificaat wordt geïnstalleerd op het apparaat voordat de gebruiker inlogt (als er een apparaatcertificaat wordt geïmplementeerd) of nadat de gebruiker is ingelogd (als er een gebruikerscertificaat wordt geïmplementeerd). Als het apparaat al is ingeschreven of als het gebruikersprofiel al bestaat, wordt het certificaat geïnstalleerd zodra het apparaat of de gebruiker het geüpdatete beleid heeft ontvangen via de Beheerdersconsole.

Bekende problemen en beperkingen

  • SCEP-profielen ondersteunen momenteel geen dynamische challenges.
  • Certificaten kunnen niet worden ingetrokken nadat ze op een apparaat zijn geïnstalleerd.
  • Je moet het SCEP-profiel instellen met het CA-certificaat dat het clientcertificaat uitgeeft. Als je een certificaatketen gebruikt, zoals CA-certificaat - tussenliggend CA-certificaat - identiteitscertificaat, moet je het SCEP-profiel instellen met het tussenliggende CA-certificaat.
  • Certificaten kunnen alleen worden geïmplementeerd voor gebruikers die zijn ingelogd op een ingeschreven beheerd apparaat. Gebruikers en apparaten moeten bij hetzelfde domein horen.

Ondersteunde variabelen voor alternatieve namen

Je kunt een alternatieve naam voor het onderwerp opgeven gebaseerd op gebruikers- en apparaatkenmerken, in plaats van de eigenschappen van de aanvrager te gebruiken. Als je een aangepast certificaatondertekeningsverzoek wilt gebruiken, moet je ook de certificaattemplate bij de CA zo instellen dat er een certificaat wordt verwacht en gemaakt met de onderwerpwaarden uit de aanvraag zelf. Je moet minimaal een waarde opgeven voor de CommonName van het onderwerp.

Je kunt de volgende tijdelijke aanduidingen gebruiken. Alle waarden zijn optioneel.

  • ${DEVICE_DIRECTORY_ID}: De directory-ID van het apparaat.
  • ${USER_EMAIL}: Het e-mailadres van de ingelogde gebruiker.
  • ${USER_EMAIL_DOMAIN}: De domeinnaam van de ingelogde gebruiker.
  • ${DEVICE_SERIAL_NUMBER}: Het serienummer van het apparaat.
  • ${DEVICE_ASSET_ID}: De item-ID die is toegewezen aan het apparaat door de beheerder.
  • ${DEVICE_ANNOTATED_LOCATION}: De locatie die is toegewezen aan het apparaat door de beheerder.
  • ${USER_EMAIL_NAME}: Het eerste deel van het e-mailadres van de ingelogde gebruiker (vóór de @).

Als er geen tijdelijke aanduiding beschikbaar is, blijft de aanduiding leeg.

Google en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
true
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Hoofdmenu
12822955391266573133
true
Zoeken in het Helpcentrum
true
true
true
true
true
410864
false
false