Bildirim

Ofise dönüş stratejinizi mi planlıyorsunuz? Chrome OS'in nasıl yardımcı olabileceğini öğrenin.

Google Cloud Sertifika Bağlayıcısı'nı kullanma

Kullanıcıların kuruluşunuza ait kablosuz ağ, dahili uygulama ve dahili web sitelerine ChromeOS cihazlar aracılığıyla erişimini kontrol etmek amacıyla, bağlayıcı kullanarak şirket içi sertifika yetkilisi (CA) üzerinden cihaz sertifikası dağıtabilirsiniz. Google Cloud Sertifika Bağlayıcısı, sertifikaları ve kimlik doğrulama anahtarlarını Basit Sertifika Kayıt Protokolü (SCEP) sunucunuzdan kullanıcıların cihazlarına güvenli şekilde dağıtan bir Windows hizmetidir.

ChromeOS cihazlar için sertifika özel anahtarları, ilgili cihazlarda oluşturulur. Özel anahtarlara karşılık gelen ortak anahtarlar, geçici olarak Google sunucularında saklanır ve sertifika yüklendikten sonra sunuculardan silinir.

Sistem gereksinimleri

  • Kuruluşunuz, SCEP sunucusu için Microsoft Active Directory Sertifika Hizmeti'ni ve sertifikaları dağıtmak üzere Microsoft Ağ Cihazı Kayıt Hizmeti'ni (NDES) kullanır. Windows Server 2016 ve daha yeni sürümler desteklenmektedir.
  • En iyi deneyim için 89 veya daha yeni bir sürüm kullanılan ChromeOS cihazları tercih edin.

Başlamadan önce

  • SCEP ile sertifika dağıtımını ayarlamak, kuruluşunuz için Microsoft Active Directory Sertifika Hizmeti'ni yönetme konusunda izinler ve uzmanlık gerektirir. Devam etmeden önce kuruluşunuzdaki ilgili uzmanları sürece dahil ettiğinizden emin olun.
  • Active Directory kullanıcı adlarını kullanmak için sertifika Konu adı gerekiyorsa Google Cloud Directory Sync'i (GCDS) kullanarak Active Directory ve Google Directory'yi senkronize etmeniz gerekir. Gerekirse GCDS ayarlarını yapın.
  • Henüz Google Yönetici konsolu'nda bir CA Sertifikası yüklemediyseniz bir sertifika ekleyin.

1. Adım: Google Cloud Sertifika Bağlayıcısı'nı indirin

Not: Google Cloud Sertifika Bağlayıcısı mobil cihazlar için halihazırda kuruluysa bu adımı atlayıp doğrudan 2. Adım: SCEP profili ekleyin'e gidin.

Aşağıdaki adımları, SCEP sunucusunun kendisinde veya SCEP sunucusunda hizmet olarak oturum açabilecek bir hesap aracılığıyla bir Windows bilgisayarda uygulayın. Hesap kimlik bilgilerini hazır bulundurun.

Kuruluşunuzda birden fazla sunucu varsa bunların hepsinde aynı sertifika bağlayıcı aracısını kullanabilirsiniz. Yükleme dosyasını, yapılandırma dosyasını ve anahtar dosyasını aşağıdaki adımlarda açıklandığı şekilde bir bilgisayara indirin ve yükleyin. Ardından, bu üç dosyayı diğer bilgisayara kopyalayın ve o bilgisayardaki kurulum talimatlarını uygulayın.

Not: Google Cloud Sertifika Bağlayıcısı'nı ve bileşenlerini yalnızca bir kez (kuruluşunuz için sertifikaları ilk ayarlayışınızda) indirirsiniz. Sertifikalarınız ve SCEP profilleriniz tek bir sertifika bağlayıcısını paylaşabilir.

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından Cihazlar ardından Ağlar'a gidin.
  3. Güvenli SCEPardındanBağlayıcıyı İndirin'i tıklayın.
  4. Google Cloud Sertifika Bağlayıcısı bölümünde İndir'i tıklayın. İndirme işlemi, masaüstünüzde sertifika bağlayıcısını içeren bir klasör oluşturur. Diğer bağlayıcı yapılandırma dosyalarını bu klasöre indirmenizi öneririz.

  5. Bağlayıcı yapılandırma dosyasını indir bölümünde İndir'i tıklayın. config.json dosyası indirilir.

  6. Hizmet hesabı anahtarı al bölümünde, Anahtar oluştur'u tıklayın. key.json dosyası indirilir.
  7. Sertifika bağlayıcısı yükleyicisini çalıştırın.
    • Yükleme sihirbazında İleri'yi tıklayın.
    • Lisans sözleşmesinin şartlarını kabul edin ve İleri'yi tıklayın.
    • Hizmetin yüklü olduğu hesapları seçin ve İleri'yi tıklayın. Hesabın, SCEP sunucusunda bir hizmet olarak oturum açma ayrıcalıklarına sahip olması gerekir.
    • Yükleme konumunu seçin. Varsayılan konumu kullanmanızı öneririz. İleri'yi tıklayın.
    • Hizmet hesabı kimlik bilgilerinizi girin ve İleri'yi tıklayın. Hizmet yüklenir.
    • Yükleme işlemini tamamlamak için Bitir'i tıklayın.
  8. Yapılandırma ve anahtar dosyalarını (config.json ve key.json), yükleme sırasında oluşturulan Google Cloud Sertifika Bağlayıcısı klasörüne taşıyın. Klasör genelde şu konumda bulunur: C:\Program Files\Google Cloud Certificate Connector.
  9. Google Cloud Sertifika Bağlayıcısı hizmetini başlatın:
    • Windows Hizmetleri'ni açın.
    • Hizmet listesinde Google Cloud Sertifika Bağlayıcısı'nı seçin.
    • Hizmeti başlatmak için Başlat'ı tıklayın. Durumun Çalışıyor olarak değiştiğinden emin olun. Bilgisayar yeniden başlatılırsa hizmet de otomatik olarak yeniden başlatılır.

Daha sonra yeni bir hizmet hesabı anahtarı indirirseniz anahtarın geçerli olması için hizmeti yeniden başlatın.

2. Adım: SCEP profili ekleyin

SCEP profili, kullanıcıların kablosuz ağınıza erişmesine izin veren sertifikayı tanımlar. Profili belirli kullanıcılara atamak için bir kuruluş birimine eklersiniz. Erişimi, kuruluş birimine ve cihaz türüne göre yönetmek için birkaç SCEP profili oluşturabilirsiniz.

Başlamadan önce: Bu ayarı belirli kullanıcılara uygulamak için ilgili kullanıcıların hesaplarını bir kuruluş birimine ekleyin.

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından Cihazlar ardından Ağlar'a gidin.
  3. SCEP Profili Oluştur'u tıklayın.
  4. Ayarı herkese uygulamak için en üst düzey kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
  5. Güvenli SCEP Profili Ekle'yi tıklayın.
  6. Profil için yapılandırma ayrıntılarını girin. CA'nız belirli bir şablon yayınlıyorsa profilin ayrıntılarını bu şablonla eşleştirin.
    • SCEP profil adı - Profil için açıklayıcı bir ad. Ad, profiller listesinde ve kablosuz ağ yapılandırmasındaki profil seçicide gösterilir.
    • Konu adı biçimi - Sertifika sahibini nasıl tanımlamak istediğinizi seçin. Tamamen Ayırt Edici Ad'ı seçerseniz sertifika Ortak Adı, kullanıcı adıyla aynı olur.
    • Konu alternatif adı - Bir konu alternatif adı (SAN) girin. Varsayılan olarak Yok değerine ayarlıdır. Gerekiyorsa birden fazla konu alternatif adı oluşturun. Konu alternatif adında desteklenen değişkenler bölümünü inceleyin.
    • İmzalama algoritması: Yetkilendirme anahtarını şifrelemek için kullanılan karma işlevi. Yalnızca RSA ile SHA256 kullanılabilir.
    • Anahtar kullanımı - Anahtarın, anahtar şifrelemenin ve imzalamanın nasıl kullanılacağıyla ilgili seçenekler. Birden fazla kullanıcı seçebilirsiniz.
    • Anahtar boyutu (bit): RSA anahtarının boyutu.
      Not: ChromeOS cihazlarda yalnızca donanımla korunan 2.048 bitlik anahtarlar desteklenir. Ek güvenlik amacıyla anahtar, sunucu yerine ChromeOS cihazda ve TPM kullanılarak oluşturulur.
    • Güvenlik: Onay koşulları. Yalnızca yönetilen ChromeOS cihazlar tarafından desteklenen, doğrulanmış erişim denetimi yapılmasını zorunlu kılmak için Katı'yı seçin. ChromeOS Flex ve yönetilmeyen ChromeOS cihazlar için Rahat'ı seçin.
    • SCEP sunucu URL'si: SCEP sunucusunun URL'si.
    • Sertifika geçerlilik süresi (yıl) - Cihaz sertifikasının geçerli olacağı süre. Sayı olarak girin.
    • Şu kadar gün içinde yenile - Cihaz sertifikasının geçerlilik süresi dolmadan kaç gün önce yenileme işleminin denenebileceği.
    • Uzatılmış anahtar kullanımı - Anahtarın nasıl kullanılabileceği. Birden fazla değer seçebilirsiniz.
    • Giriş sorgulaması türü: SCEP sunucusundan sertifika isterken Google'ın belirli bir giriş sorgusu ifadesi sağlamasını zorunlu tutmak için Statik'i seçin ve ifadeyi girin. Yok değerini seçerseniz sunucu bu denetimi zorunlu tutmaz.
    • Şablon adı - NDES sunucunuz tarafından kullanılan şablonun adı.
    • Sertifika Yetkilisi - Sertifika Yetkilisi olarak kullanmak üzere yüklediğiniz bir sertifikanın adı.
    • Bu profilin geçerli olduğu ağ türü: SCEP profili kullanan ağların türü.
    • Bu profilin geçerli olduğu platformlar: SCEP profili kullanan cihaz platformları.
  7. Kaydet'i tıklayın. Bir alt kuruluş birimi yapılandırdıysanız üst kuruluş biriminin ayarlarını Devralmanız veya Geçersiz kılmanız mümkün olabilir.

Bir profil eklendikten sonra adı ve etkin olduğu platformlarla birlikte listelenir. Profil, Platform sütununda mavi simgeler bulunan platformlar için etkin, gri simgeler bulunan platformlar içinse devre dışıdır. Bir profili düzenlemek için ilgili satırın üzerine gelin ve Düzenle'yi tıklayın. Dağıtmak istediğiniz sertifikanın türüne bağlı olarak Chromebook (kullanıcı) veya Chromebook (cihaz) seçenekleri arasından doğru seçimi yaptığınıza emin olun.

SCEP profili, kuruluş birimindeki kullanıcılara otomatik olarak dağıtılır.

Google Cloud Sertifika Bağlayıcısı üzerinden yapılan sertifika kimlik doğrulamasının çalışma şekli

Google Cloud Sertifika Bağlayıcısı, SCEP sunucunuz ile Google arasında özel bir bağlantı kuran bir Windows hizmetidir. Sertifika bağlayıcısı, kuruluşunuza özel birer yapılandırma dosyası ve anahtar dosyası ile yapılandırılıp korunur.

Sertifikaları cihaz ve kullanıcılara atamak için SCEP profillerinden yararlanabilirsiniz. Profil atamak için bir kuruluş birimi seçmeniz ve profili bu kuruluş birimine eklemeniz gerekir. Profil, cihaz sertifikası veren sertifika yetkilisini içerir. Yeni kaydedilen ChromeOS cihazlara yapılandırılmış politika gönderilir. Politika doğrultusunda sertifika, kullanıcı sertifikası dağıtılıyorsa kullanıcı girişinden sonra, cihaz sertifikası dağıtılıyorsa kullanıcı girişinden önce yüklenir. Halihazırda kayıtlı bir cihaz veya mevcut bir kullanıcı profili söz konusuysa sertifika, bu cihaz ya da kullanıcı güncellenmiş politikayı Yönetici Konsolu'ndan aldığında yüklenir.

Bilinen sorunlar ve sınırlamalar

  • SCEP profilleri şu anda dinamik giriş sorgularını desteklemez.
  • Sertifikalar bir cihaza yüklendikten sonra iptal edilemez.
  • SCEP profili, istemci sertifikasını veren CA sertifikası ile yapılandırılmalıdır. CA sertifikası - ara CA sertifikası - kimlik sertifikası gibi bir sertifika zinciri kullanılıyorsa SCEP profili, ara CA sertifikasıyla yapılandırılmalıdır.
  • Sertifikalar yalnızca, kayıtlı ve yönetilen bir cihazda oturum açan kullanıcılara dağıtılabilir. Kullanıcı ve cihazların aynı alan adına ait olması gerekir.

Konu alternatif adında desteklenen değişkenler

İstekte bulunanın özelliklerini kullanmak yerine, kullanıcı ve cihaz özelliklerini temel alan konu alternatif adları tanımlayabilirsiniz. Özel bir sertifika imzalama isteği (CSR) kullanmak için CA'daki sertifika şablonunu, istekte tanımlanan konu değerlerini içeren bir sertifika bekleyecek ve oluşturacak şekilde yapılandırmanız da gerekir. En azından, konunun CommonName alanı için bir değer sağlamanız gerekir.

Aşağıdaki yer tutucuları kullanabilirsiniz. Tüm değerler isteğe bağlıdır.

  • ${DEVICE_DIRECTORY_ID}: cihazın dizin kimliği
  • ${USER_EMAIL}: oturum açan kullanıcının e-posta adresi
  • ${USER_EMAIL_DOMAIN}: oturum açan kullanıcının alan adı
  • ${DEVICE_SERIAL_NUMBER}: cihazın seri numarası
  • ${DEVICE_ASSET_ID}: yönetici tarafından cihaza atanan öğe kimliği
  • ${DEVICE_ANNOTATED_LOCATION}: Yönetici tarafından cihaza atanan konum.
  • ${USER_EMAIL_NAME}: Oturum açan kullanıcının e-posta adresinin ilk bölümü (@ işaretinden önceki bölüm).

Değeri mevcut olmayan yer tutucular, boş dizelerle değiştirilir.

Google ve ilgili markalarla logolar Google LLC'nin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?
true
Arama
Aramayı temizle
Aramayı kapat
Ana menü
14623924295011620650
true
Yardım Merkezinde Arayın
true
true
true
true
true
410864
false
false