Powiadomienie

Planujesz powrót pracowników do biura? Zobacz, jak może Ci w tym pomóc Chrome OS.

Użycie usługi Google Cloud Certificate Connector

Możesz kontrolować dostęp użytkowników do sieci Wi-Fi, wewnętrznych aplikacji i wewnętrznych witryn Twojej organizacji na urządzeniach z ChromeOS, używając oprogramowania sprzęgającego do rozpowszechniania certyfikatów urządzeń z lokalnego urzędu certyfikacji. Google Cloud Certificate Connector (oprogramowanie sprzęgające certyfikaty) to usługa systemu Windows, która bezpiecznie rozpowszechnia certyfikaty i klucze uwierzytelniające z serwera SCEP (Simple Certificate Enrollment Protocol) na urządzenia użytkowników.

W przypadku urządzeń z ChromeOS klucze prywatne certyfikatów są generowane na urządzeniu. Odpowiedni klucz publiczny jest tymczasowo przechowywany na serwerach Google i usuwany po zainstalowaniu certyfikatu.

Wymagania systemowe

  • W celu rozpowszechniania certyfikatów Twoja organizacja korzysta z usługi certyfikatów Microsoft Active Directory dla serwera SCEP i usługi rejestracji urządzeń sieciowych (NDES) firmy Microsoft. Obsługiwane są systemy Windows Server 2016 i nowsze wersje.
  • Najlepsze działanie zapewniają urządzenia z ChromeOS w wersji 89 lub nowszej.

Zanim zaczniesz

  • Konfigurowanie wdrożenia certyfikatów za pomocą serwera SCEP wymaga odpowiedniej wiedzy i uprawnień do zarządzania usługą certyfikatów Microsoft Active Directory w organizacji. Przed przejściem do kolejnego etapu upewnij się, że w procesie będą zaangażowani odpowiedni eksperci z organizacji.
  • Jeśli chcesz, żeby nazwa podmiotu certyfikatu zawierała nazwy użytkowników Active Directory, musisz zsynchronizować Active Directory i Katalog Google przy użyciu Google Cloud Directory Sync (GCDS). W razie potrzeby skonfiguruj GCDS.
  • Jeśli certyfikat CA nie został jeszcze przesłany w konsoli administracyjnej Google, dodaj certyfikat.

Krok 1. Pobierz Google Cloud Certificate Connector

Uwaga: jeśli masz już skonfigurowane oprogramowanie Google Cloud Certificate Connector dla urządzeń mobilnych, pomiń ten krok i przejdź od razu do sekcji Krok 2. Dodaj profil SCEP.

Wykonaj następujące czynności na serwerze SCEP lub na komputerze z systemem Windows z użyciem konta, na którym można zalogować się jako usługa na serwerze SCEP. Przygotuj dane logowania do konta.

Jeśli Twoja organizacja ma kilka serwerów, możesz używać na wszystkich tego samego agenta oprogramowania sprzęgającego certyfikaty. Pobierz i zainstaluj plik instalacyjny, plik konfiguracji i plik klucza na jednym komputerze zgodnie z poniższą procedurą. Następnie skopiuj te 3 pliki na inny komputer i postępuj zgodnie z instrukcjami konfiguracji na tym komputerze.

Uwaga: oprogramowanie Google Cloud Certificate Connector i jego komponenty pobiera się tylko raz podczas pierwszego konfigurowania certyfikatów w organizacji. Certyfikaty i profile SCEP mogą używać jednego oprogramowania sprzęgającego certyfikaty.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Urządzenia a potem Sieci.
  3. Kliknij Bezpieczne profile SCEP a potemPobierz oprogramowanie sprzęgające.
  4. W sekcji Google Cloud Certificate Connector kliknij Pobierz. Na komputerze zostanie utworzony folder zawierający oprogramowanie sprzęgające certyfikaty. Zalecamy pobranie do tego folderu innych plików konfiguracji oprogramowania sprzęgającego.

  5. W sekcji Pobierz plik konfiguracji oprogramowania sprzęgającego kliknij Pobierz. Zostanie pobrany plik config.json.

  6. W sekcji Pobierz klucz do konta usługi kliknij Wygeneruj klucz. Zostanie pobrany plik key.json.
  7. Uruchom instalator oprogramowania sprzęgającego certyfikaty.
    • W kreatorze instalacji kliknij Dalej.
    • Zaakceptuj warunki umowy licencyjnej i kliknij Dalej.
    • Wybierz konto, na którym jest instalowana usługa, i kliknij Dalej. Konto musi mieć uprawnienia do logowania się jako usługa na serwerze SCEP.
    • Wybierz lokalizację instalacji. Zalecamy użycie ustawienia domyślnego. Kliknij Dalej.
    • Wpisz dane logowania do konta usługi i kliknij Dalej. Usługa zostanie zainstalowana.
    • Kliknij Zakończ, by zakończyć instalację.
  8. Przenieś pliki konfiguracji i klucza (config.json i key.json) do folderu Google Cloud Certificate Connector utworzonego podczas instalacji. Zazwyczaj jest to folder C:\Program Files\Google Cloud Certificate Connector.
  9. Uruchom usługę Google Cloud Certificate Connector:
    • Otwórz Usługi systemu Windows.
    • Z listy usług wybierz Google Cloud Certificate Connector.
    • Kliknij Uruchom, aby uruchomić usługę. Upewnij się, że status zmieni się na Uruchomiono. Usługa automatycznie uruchomi się jeszcze raz po ponownym uruchomieniu komputera.

Jeśli później pobierzesz nowy klucz konta usługi, ponownie uruchom usługę, aby go zastosować.

Krok 2. Dodaj profil SCEP

Profil SCEP definiuje certyfikat, który umożliwia użytkownikom dostęp do sieci Wi-Fi. Profil przypisujesz określonym użytkownikom, dodając go do jednostki organizacyjnej. Możesz skonfigurować kilka profili SCEP do zarządzania dostępem według jednostki organizacyjnej i typu urządzenia.

Zanim zaczniesz: aby zastosować ustawienie do określonych użytkowników, dodaj ich konta do jednostki organizacyjnej.

  1. Zaloguj się w usłudze konsoli administracyjnej Google.

    Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

  2. W konsoli administracyjnej otwórz Menu  a potem  Urządzenia a potem Sieci.
  3. Kliknij Utwórz Profil SCEP.
  4. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić
  5. Kliknij Dodaj bezpieczny profil SCEP.
  6. Wpisz szczegóły konfiguracji profilu. Jeśli urząd certyfikacji wystawi konkretny szablon, dopasuj do niego szczegóły profilu.
    • Nazwa profilu SCEP – opisowa nazwa profilu. Nazwa jest wyświetlana na liście profili i w sekcji wyboru profilu w konfiguracji sieci Wi-Fi.
    • Format nazwy podmiotu – wybierz, jak chcesz identyfikować właściciela certyfikatu. Jeśli wybierzesz opcję Pełna nazwa wyróżniająca, nazwa domeny w certyfikacie (wspólna nazwa) będzie nazwą użytkownika.
    • Alternatywna nazwa podmiotu – podaj alternatywną nazwę podmiotu. Wartość domyślna to Brak. W razie potrzeby utwórz kilka alternatywnych nazw podmiotu. Zobacz obsługiwane zmienne alternatywnej nazwy podmiotu.
    • Algorytm podpisywania – funkcja haszująca używana do szyfrowania klucza autoryzacji. Dostępna jest tylko funkcja SHA256 z kluczem RSA.
    • Użycie klucza – opcje użycia klucza, szyfrowania i podpisywania klucza. Możesz wybrać więcej niż jedno ustawienie.
    • Rozmiar klucza (w bitach) – rozmiar klucza RSA.
      Uwaga: urządzenia z ChromeOS obsługują tylko 2048-bitowe klucze sprzętowe. W celu zwiększenia bezpieczeństwa klucz jest generowany na urządzeniu z ChromeOS przy użyciu TPM, a nie na serwerze.
    • Zabezpieczenia – wymagania atestu. Wybierz Rygorystyczne, aby wymagać zweryfikowanego dostępu, który jest obsługiwany tylko przez zarządzane urządzenia z ChromeOS. Wybierz Łagodne w przypadku urządzeń z ChromeOS Flex i niezarządzanych urządzeń z ChromeOS.
    • URL serwera SCEP – URL serwera SCEP.
    • Okres ważności certyfikatu (w latach) – jak długo certyfikat urządzenia jest ważny. Wpisz liczbę.
    • Odnów przed wygaśnięciem (w dniach) – ile czasu przed wygaśnięciem certyfikatu urządzenia podjąć próbę odnowienia certyfikatu.
    • Rozszerzone użycie klucza – sposób użycia klucza. Możesz wybrać więcej niż jedną wartość.
    • Sposób weryfikacji tożsamości – aby wymagać od Google podania określonej frazy zabezpieczającej logowanie w przypadku żądania certyfikatu z serwera SCEP, wybierz Statyczny i wpisz frazę. Jeśli wybierzesz opcję Brak, serwer nie będzie wymagać tego sprawdzenia.
    • Nazwa szablonu – nazwa szablonu używanego przez serwer NDES.
    • Urząd certyfikacji – nazwa certyfikatu przesłanego do użycia jako urząd certyfikacji.
    • Typ sieci, do której profil ma zastosowanie – typ sieci używających tego profilu SCEP.
    • Platformy, do których ten profil ma zastosowanie – platformy urządzeń, które używają tego profilu SCEP.
  7. Kliknij Zapisz. Możesz też kliknąć Zastąp przy jednostkę organizacyjną.

    Aby później przywrócić odziedziczoną wartość, kliknij Odziedzicz.

Po dodaniu profilu jest on wyświetlany wraz z nazwą i platformami, dla których jest włączony. W kolumnie Platforma niebieska ikona oznacza, że profil jest włączony na danej platformie, a ikona szara – że jest wyłączony. Aby edytować profil, najedź na wiersz i kliknij Edytuj . Wybierz opcję Chromebook (użytkownik) lub Chromebook (urządzenie) w zależności od typu certyfikatu, który chcesz wdrożyć.

Profil SCEP jest automatycznie rozpowszechniany do użytkowników w jednostce organizacyjnej.

Jak działa uwierzytelnianie za pomocą oprogramowania Google Cloud Certificate Connector

Google Cloud Certificate Connector to usługa systemu Windows, która ustanawia wyłączne połączenie między serwerem SCEP i usługą Google. Usługę oprogramowania sprzęgającego certyfikaty konfiguruje się i zabezpiecza za pomocą pliku konfiguracji i pliku klucza, które są przeznaczone tylko dla Twojej organizacji.

Certyfikaty przypisuje się do urządzeń i użytkowników za pomocą profili SCEP. Aby przypisać profil, wybierz jednostkę organizacyjną i dodaj do niej profil. Profil zawiera urząd certyfikacji, który wystawia certyfikaty. Po zarejestrowaniu urządzenia z ChromeOS wysyłane są na nie skonfigurowane zasady, a urządzenie instaluje certyfikat przed zalogowaniem się użytkownika, jeśli wdrażany jest certyfikat urządzenia, lub po zalogowaniu, jeśli wdrażany jest certyfikat użytkownika. Jeśli urządzenie jest już zarejestrowane lub profil użytkownika już istnieje, certyfikat zostanie zainstalowany, gdy urządzenie lub użytkownik otrzyma zaktualizowane zasady z konsoli administracyjnej.

Znane problemy i ograniczenia

  • Profile SCEP obecnie nie obsługują dynamicznych testów zabezpieczających logowanie.
  • Certyfikatów nie można unieważnić po ich zainstalowaniu na urządzeniach.
  • Profil SCEP musi być skonfigurowany przy użyciu certyfikatu CA, który wystawia certyfikat klienta. W przypadku użycia łańcucha certyfikatów, na przykład certyfikat CA – pośredni certyfikat CA – certyfikat tożsamości, profil SCEP musi być skonfigurowany za pomocą pośredniego certyfikatu CA.
  • Certyfikaty można wdrażać tylko dla użytkowników zalogowanych na zarejestrowanych urządzeniach zarządzanych. Użytkownicy i urządzenia muszą należeć do tej samej domeny.

Obsługiwane zmienne alternatywnej nazwy podmiotu

Zamiast stosować właściwości żądającego możesz podać alternatywne nazwy podmiotu określane na podstawie atrybutów konta użytkownika i urządzenia. Aby użyć niestandardowego żądania podpisania certyfikatu, w urzędzie certyfikacji musisz też skonfigurować szablon certyfikatu, który obsługuje określone wartości podmiotu i pozwala wygenerować na ich podstawie certyfikat. Wymagane jest podanie wartości CommonName podmiotu.

Obsługiwane są wartości zastępcze opisane poniżej. Wszystkie wartości są opcjonalne.

  • ${DEVICE_DIRECTORY_ID} – identyfikator katalogu urządzenia,
  • ${USER_EMAIL} – adres e-mail zalogowanego użytkownika,
  • ${USER_EMAIL_DOMAIN} – nazwa domeny zalogowanego użytkownika,
  • ${DEVICE_SERIAL_NUMBER} – numer seryjny urządzenia,
  • ${DEVICE_ASSET_ID} – identyfikator zasobu przypisany do urządzenia przez administratora,
  • ${DEVICE_ANNOTATED_LOCATION} – lokalizacja urządzenia przypisana przez administratora,
  • ${USER_EMAIL_NAME} – pierwsza część adresu e-mail zalogowanego użytkownika (przed „@”).

Jeśli wartość zastępcza nie jest dostępna, zastępuje ją pusty ciąg.

Google oraz powiązane znaki i logotypy są znakami towarowymi firmy Google LLC. Wszystkie inne nazwy firm i produktów są znakami towarowymi odpowiednich podmiotów.

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
5511704930204940284
true
Wyszukaj w Centrum pomocy
true
true
true
true
true
410864
false
false