Как использовать Google Cloud Certificate Connector

Управлять доступом пользователей к сетям Wi-Fi, внутренним приложениям и внутренним сайтам с устройств с ChromeOS можно через распространение соответствующих сертификатов из локального центра сертификации (ЦС) с помощью коннектора. Google Cloud Certificate Connector – это служба Windows, которая обеспечивает защищенное распространение сертификатов и ключей аутентификации с сервера Simple Certificate Enrollment Protocol (SCEP) на устройства пользователей.

Закрытые ключи для сертификатов создаются на устройствах с ChromeOS. Соответствующие им открытые ключи временно хранятся на серверах Google и удаляются сразу после установки сертификата.

Системные требования

• Для работы сервера SCEP в организации используется служба сертификатов Microsoft Active Directory, а для распространения сертификатов – служба регистрации сертификатов для сетевых устройств (NDES) от Microsoft. Поддерживается Windows Server 2016 и более поздней версии.
• Устройства с ChromeOS 89 или более поздней версии.

Подготовка

• Чтобы настроить развертывание сертификатов с помощью сервера SCEP, необходим опыт работы со службой сертификатов Microsoft Active Directory и разрешения на управление ею. Прежде чем продолжить, убедитесь, что в вашей организации есть нужные специалисты.
• Если в имени субъекта сертификата нужно использовать имена пользователей Active Directory, настройте синхронизацию Active Directory с каталогом Google с помощью Google Cloud Directory Sync (GCDS). При необходимости настройте GCDS.
• Добавьте сертификат ЦС, если он ещё не загружен в консоль администратора Google.

Шаг 1. Скачайте приложение Google Cloud Certificate Connector

Примечание. Если вы уже настроили приложение Google Cloud Certificate Connector для мобильных устройств, пропустите этот шаг и перейдите к шагу 2.

Выполните описанные ниже шаги на сервере SCEP. Как альтернативный вариант можно использовать компьютер Windows с аккаунтом, который позволяет выполнить вход на сервер SCEP в качестве службы. Учетные данные этого аккаунта должны быть доступны.

Если в организации используется несколько серверов, для них можно использовать один и тот же агент коннектора. Скачайте установочный файл, файл конфигурации и файл ключа на один компьютер и выполните установку в соответствии с инструкциями, приведенными в следующих шагах. Затем скопируйте эти три файла на другой компьютер и выполните аналогичные действия для их установки.

Примечание. Google Cloud Certificate Connector и его компоненты скачиваются только один раз – при первой настройке сертификатов в вашей организации. Для ваших сертификатов и профилей SCEP может совместно использоваться один коннектор.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню УстройстваСети.
3. Нажмите Защищенные профили SCEP Скачать коннектор.
4. В разделе Google Cloud Certificate Connector нажмите Скачать. В процессе скачивания на рабочем столе вашего компьютера будет создана папка с коннектором сертификата. Рекомендуем скачать в эту же папку другие файлы конфигурации коннектора.

5. На экране "Шаг 2. Скачайте файл конфигурации коннектора" нажмите Скачать. Будет скачан файл config.json.

6. На экране "Шаг 3. Получите ключ для сервисного аккаунта" нажмите Создать ключ. Будет скачан файл key.json.
7. Запустите установщик коннектора сертификата.
   • В мастере установки нажмите Далее.
   • Примите условия лицензионного соглашения и нажмите Далее.
   • Выберите аккаунт, для которого выполняется установка этой службы, и нажмите Далее. У аккаунта должны быть права для входа на сервер SCEP в качестве службы.
   • Выберите папку для установки. Рекомендуем использовать папку по умолчанию. Нажмите Далее.
   • Введите учетные данные аккаунта службы и нажмите Далее. Начнется установка службы.
   • Чтобы завершить установку, нажмите Готово.
8. Переместите файл конфигурации и файл ключа (config.json и key.json) в папку Google Cloud Certificate Connector, созданную в процессе установки: C:\Program Files\Google Cloud Certificate Connector.
9. Запустите службу Google Cloud Certificate Connector:
   • Откройте приложение "Службы" в Windows.
   • Выберите Google Cloud Certificate Connector в списке служб.
   • Нажмите Запустить. Убедитесь, что статус службы изменился на Выполняется. Служба автоматически перезапустится после перезагрузки компьютера.

Если позже вы скачаете новый ключ аккаунта службы, то для его применения нужно будет перезапустить эту службу.

Шаг 2. Добавьте профиль SCEP

Профиль SCEP определяет сертификат, позволяющий пользователям получить доступ к вашей сети Wi-Fi. Чтобы назначить этот профиль конкретным пользователям, его следует добавить в соответствующее организационное подразделение. Можно настроить несколько профилей SCEP, чтобы контролировать доступ как для организационных подразделений, так и для устройств определенного типа.

Подготовка. Чтобы применить настройку для определенной группы пользователей, свяжите их аккаунты с нужным организационным подразделением.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню УстройстваСети.
3. Нажмите Создать профиль SCEP.
4. Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.
5. Нажмите Добавить защищенный профиль SCEP.
6. Введите параметры конфигурации для этого профиля. Если ваш центр сертификации предоставляет конкретный шаблон, настройте параметры профиля в соответствии с ним.
   • Название профиля SCEP – понятное название профиля. Это название будет отображаться в списке профилей и в переключателе профилей конфигурации сети Wi-Fi.
   • Формат имени субъекта – имя владельца сертификата. Если выбрать вариант "Полностью уникальное имя", то в качестве общего названия сертификата будет использоваться имя пользователя.
   • Альтернативное имя субъекта – укажите альтернативное имя. Значение по умолчанию – "Нет". Если это необходимо, добавьте несколько альтернативных имен. Дополнительная информация приведена в разделе "Поддерживаемые переменные для альтернативного имени субъекта".
   • Алгоритм подписи – хеш-функция, используемая для шифрования ключа авторизации. Доступен только хеш SHA256 с шифрованием RSA.
   • Назначение ключа – варианты использования ключа, его шифрования и подписи. Можно выбрать несколько.
   • Размер ключа (в битах) – размер ключа RSA.
     Примечание. Устройства с ChromeOS поддерживают только аппаратные 2048-битные ключи. Чтобы обеспечить более надежную защиту, ключ создается на устройстве с ChromeOS с помощью доверенного платформенного модуля, а не на сервере.
   • Безопасность – требования к подтверждению. Если выбрать вариант Строгие, то будет в обязательном порядке выполняться проверка службы подтвержденного доступа, которая поддерживается только на управляемых устройствах с ChromeOS. Для устройств с ChromeOS, которые не являются управляемыми, а также для ChromeOS Flex нужно выбирать вариант Нестрогие.
   • URL SCEP-сервера – URL-адрес SCEP-сервера.
   • Период действия сертификата (лет) – срок, в течение которого сертификат устройства будет действителен. Указывается в виде числа.
   • Укажите количество дней для продления – срок до прекращения действия сертификата устройства, в течение которого можно продлить этот сертификат.
   • Расширенное назначение ключа – варианты использования ключа. Можно выбрать несколько значений.
   • Тип дополнительной аутентификации – чтобы со стороны Google предоставлялся пароль для дополнительной аутентификации при запросе сертификата от SCEP-сервера, выберите "Статический" и укажите этот пароль. Если выбрать значение "Нет", сервер не будет требовать эту проверку.
   • Название шаблона – название шаблона, используемого сервером NDES.
   • Центр сертификации – название сертификата, загруженного для использования в качестве центра сертификации.
   • Тип сети, для которой действует этот профиль – тип сетей, в которых используется этот профиль SCEP.
   • Платформы, для которых действует этот профиль – платформы устройств, на которых используется этот профиль SCEP.
7. Нажмите Сохранить. В дочернем организационном подразделении можно выбрать вариант Наследовать или Переопределить для настроек родительского подразделения.

После добавления профиля его название появляется в списке. Там же указываются платформы, для которых он включен. В столбце "Платформа" значки синего цвета будут указывать на платформы, для которых профиль включен, а значки серого цвета – на платформы, к которым он не применяется. Чтобы внести изменения в профиль, наведите указатель на нужную строку и нажмите на значок "Изменить" . В зависимости от типа развертываемого сертификата выберите Chromebook (правила для пользователей) или Chromebook (правила для устройств).

Выбранный профиль SCEP автоматически распространяется на пользователей, состоящих в организационном подразделении.

Как осуществляется аутентификация с запросом сертификата через Google Cloud Certificate Connector

Google Cloud Certificate Connector – это служба Windows, с помощью которой устанавливается эксклюзивное соединение между вашим SCEP-сервером и серверами Google. Настройка и шифрование коннектора сертификата выполняются с использованием файла конфигурации и файла ключа, которые относятся только к вашей организации.

Вы назначаете сертификаты устройствам и пользователям с помощью профилей SCEP. Чтобы назначить профиль, выберите нужное организационное подразделение и добавьте для него этот профиль. В профиле указан центр сертификации, выпускающий сертификаты. После завершения регистрации устройства с ChromeOS на него отправляется настроенное правило. При развертывании сертификата устройства он устанавливается до входа пользователя в систему, а при развертывании сертификата пользователя – после входа в систему. Если устройство уже зарегистрировано или профиль пользователя уже существует, сертификат устанавливается тогда, когда устройство или пользователь получает обновленные правила из консоли администратора.

Известные проблемы и ограничения

• Профили SCEP не поддерживают динамическую дополнительную аутентификацию.
• Сертификаты нельзя отменить после установки на устройство.
• При настройке профиля SCEP должен использоваться сертификат ЦС, который выпускает сертификат клиента. Если у вас есть цепочка сертификатов, например "сертификат ЦС – сертификат промежуточного ЦС – сертификат идентификации", при настройке профиля SCEP нужно использовать сертификат промежуточного ЦС.
• Сертификаты можно развернуть только для пользователей, вошедших в аккаунт на зарегистрированном управляемом устройстве. Пользователи и устройства должны принадлежать одному домену.

Поддерживаемые переменные для альтернативного имени субъекта

Вы можете задать альтернативные имена субъекта на основе атрибутов пользователя и устройства, а не параметров запрашивающей стороны. Чтобы использовать собственный запрос на подпись сертификата (CSR), настройте шаблон сертификата в ЦС. Сертификат должен создаваться со значениями субъекта, заданными в самом запросе. Как минимум необходимо предоставить значение для параметра CommonName.

Вы можете использовать теги, указанные ниже. Все значения приведены в качестве примера.

• ${DEVICE_DIRECTORY_ID} – идентификатор каталога для устройства.
• ${USER_EMAIL} – адрес электронной почты пользователя, выполнившего вход.
• ${USER_EMAIL_DOMAIN} – доменное имя пользователя, выполнившего вход.
• ${DEVICE_SERIAL_NUMBER} – серийный номер устройства.
• ${DEVICE_ASSET_ID} – идентификатор объекта, назначенный устройству администратором.
• ${DEVICE_ANNOTATED_LOCATION} – местоположение, назначенное устройству администратором.
• ${USER_EMAIL_NAME} – первая часть (слева от символа @) адреса электронной почты пользователя, выполнившего вход.

Если значение для тега недоступно, оно заменяется пустой строкой.

Google, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.