您可以使用连接器分发由本地证书授权机构 (CA) 颁发的设备证书,从而控制用户通过 ChromeOS 设备访问贵组织的 Wi-Fi 网络、内部应用和内部网站的权限。Google Cloud Certificate Connector 是一项 Windows 服务,用于将证书和身份验证密钥从简单证书注册协议 (SCEP) 服务器安全地分发到用户的设备。
对于 ChromeOS 设备,证书私钥会在设备上生成。相应的公钥则临时存储在 Google 服务器上,并且会在证书安装完毕后删除。
系统要求
- 如要分发证书,贵组织需要使用适用于 SCEP 服务器的 Microsoft Active Directory Certificate Service 和 Microsoft Network Device Enrollment Service (NDES)。目前支持 Windows Server 2016 及更高版本。
- 要想获得最佳体验,请使用运行 89 或更高版本的 ChromeOS 设备。
须知事项
- 要想设置 SCEP 证书部署,需要具备为贵组织管理 Microsoft Active Directory Certificate Service 的专业知识和权限。请先确保贵组织内拥有相关专家,然后再进行设置。
- 如需以 Active Directory 用户名作为证书“主题”名称,必须使用 Google Cloud Directory Sync (GCDS) 将 Active Directory 与 Google Directory 同步。如有必要,请设置 GCDS。
- 如果您尚未在 Google 管理控制台上传 CA 证书,请添加证书。
第 1 步:下载 Google Cloud Certificate Connector
注意:如果您已为移动设备设置 Google Cloud Certificate Connector,请跳过此步骤,直接执行第 2 步:添加 SCEP 配置文件。
在 SCEP 服务器上执行以下步骤,或者在 Windows 计算机上使用可通过服务的形式登录 SCEP 服务器的帐号登录并执行以下步骤。准备好帐号凭据。
如果贵组织拥有多台服务器,您可以在所有服务器上使用同一个证书连接器代理。按照以下步骤操作,在一台计算机上下载并安装安装文件、配置文件和密钥文件。然后,将这三个文件复制到另一台计算机上,并按照针对此计算机的设置说明进行操作。
注意:首次为贵组织设置证书时,只需下载 Google Cloud Certificate Connector 及其组件一次。您的证书和 SCEP 配置文件可以共用一个证书连接器。
-
-
在管理控制台中,依次点击“菜单”图标
设备
网络。
- 点击安全 SCEP
- 在“Google Cloud Certificate Connector”部分,点击下载。执行下载操作后,桌面上会生成一个文件夹,其中包含此证书连接器。建议您将其他连接器配置文件也下载到此文件夹中。
-
在“下载连接器配置文件”部分,点击下载。系统会下载
config.json文件。 - 在“获取服务帐号密钥”部分,点击生成密钥。系统会下载
key.json文件。 - 运行证书连接器安装程序。
- 在安装向导中,点击下一步。
- 接受许可协议条款,然后点击下一步。
- 选择要为哪个帐号安装此服务,然后点击下一步。该帐号必须具有在 SCEP 服务器上通过服务的形式登录的权限。
- 选择安装位置。建议使用默认值。点击下一步。
- 输入您的服务帐号凭据,然后点击下一步。系统会安装此服务。
- 点击完成以完成安装。
- 将配置文件和密钥文件(
config.json和key.json)移动到安装过程中创建的 Google Cloud Certificate Connector 文件夹中,路径通常为:C:\Program Files\Google Cloud Certificate Connector。 - 启动 Google Cloud Certificate Connector 服务:
- 打开 Windows 服务。
- 在服务列表中选择 Google Cloud Certificate Connector。
- 点击启动以启动该服务。确保该服务的状态变为正在运行。如果计算机重新启动,该服务也会自动重启。
如果您稍后下载了新服务帐号密钥,请重新启动该服务以应用新密钥。
第 2 步:添加 SCEP 配置文件
SCEP 配置文件定义了允许用户访问您 Wi-Fi 网络的证书。您可以向单位部门添加此配置文件,从而将其分配给特定用户。您可以设置多个 SCEP 配置文件,以便按组织部门和设备类型管理访问权限。
准备工作:如果要将设置应用于部分用户,请将这些用户的帐号归入单独的组织部门。
-
-
在管理控制台中,依次点击“菜单”图标
- 点击创建 SCEP 配置文件。
- 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
- 点击添加安全 SCEP 配置文件。
- 输入配置文件的详细配置信息。如果您的 CA 签发了特定模板,请确保配置文件详细信息与模板保持一致。
- SCEP 配置文件名称 - 配置文件的描述性名称。该名称会显示在 Wi-Fi 网络配置的配置文件列表和配置文件选择器中。
- 主题名称格式 - 选择标识证书所有者的方式。如果选择“完全可分辨名称”,则证书常用名就是用户的用户名。
- 主题备用名称 - 提供一个 SAN。默认值为无。根据需要创建多个 SAN。请参阅 SAN 支持的变量。
- 签名算法 - 用于加密授权密钥的哈希函数。仅提供 SHA256withRSA 的加密方式。
- 密钥用途 - 有关如何使用密钥、密钥加密和签名的选项。您可以选择多个密钥用途。
- 密钥大小(位)- RSA 密钥的大小。
注意:ChromeOS 设备仅支持硬件支持的 2048 位密钥。为提高安全性,密钥是在 ChromeOS 设备上使用 TPM 生成的,而不是在服务器上生成的。 - 安全性 - 认证要求。选择严格可要求检查访问权限是否已通过验证(仅适用于受管理的 ChromeOS 设备)。请为 ChromeOS Flex 和非受管 ChromeOS 设备选择宽松。
- SCEP 服务器网址 - SCEP 服务器的网址。
- 证书有效期(年)- 设备证书的有效期。请输入一个数字。
- 续订提前天数 - 在设备证书过期前几天尝试续订证书。
- 扩展的密钥用途 - 如何使用密钥。您可以选择多个值。
- 验证类型 - 如需要求 Google 在向 SCEP 服务器请求证书时提供指定的验证码,请选择“静态”并输入验证码。如果您选择“无”,则服务器不要求进行此项检查。
- 模板名称 - 您的 NDES 服务器使用的模板的名称。
- 证书授权机构 - 您上传以用作证书授权机构的证书的名称。
- 此配置文件适用的网络类型 - 使用 SCEP 配置文件的网络类型。
- 此配置文件适用的平台 - 使用 SCEP 配置文件的设备平台。
- 点击保存。如果您配置了下级单位部门,则或许可以继承或覆盖上级单位部门的设置。
添加配置文件后,系统会列出配置文件及其名称,以及已启用的平台。在平台列中,带有蓝色图标的平台启用了此配置文件;带有灰色图标的平台停用了此配置文件。要修改配置文件,请将光标指向相应行,然后点击“修改”图标 。请务必选择 Chromebook(用户)或 Chromebook(设备),具体取决于您要部署的证书类型。
系统会将 SCEP 配置文件自动分发给组织部门中的用户。
基于 Google Cloud Certificate Connector 的证书身份验证机制如何运作
Google Cloud Certificate Connector 是一项 Windows 服务,用于在您的 SCEP 服务器与 Google 之间建立专有连接。证书连接器由贵组织专用的配置文件和密钥文件进行配置和保护。
您可以使用 SCEP 配置文件向设备和用户分配证书。如要分配配置文件,请选择一个组织部门,然后将配置文件添加到该组织部门。配置文件中包含颁发证书的证书授权机构。当有 ChromeOS 设备注册时,系统会将已配置的政策发送到设备,然后设备会在用户登录前安装证书(如果部署的是设备证书)或者在用户登录之后安装证书(如果部署的是用户证书)。如果设备已经注册或用户配置文件已存在,当设备或用户从管理控制台收到经更新的政策后,系统就会立即安装证书。
已知问题和限制
- SCEP 配置文件目前不支持动态验证。
- 证书在设备上安装后便无法撤消。
- SCEP 配置文件必须使用颁发客户端证书的 CA 证书进行配置。如果使用证书链,如“CA 证书 - 中间 CA 证书 - 身份证书”,则必须使用中间 CA 证书配置 SCEP 配置文件。
- 只能为登录到已注册的受管理设备的用户部署证书。用户和设备必须属于同一网域。
SAN 支持的变量
您可以根据用户和设备属性(而不是请求者的属性)来指定主题备用名称。如要使用自定义证书签名请求 (CSR),您还应在 CA 上配置证书模板,以生成主题值为请求中所指定值的证书。您至少需要提供主体的 CommonName 值。
您可以使用以下占位符,而所有值都是选填的。
${DEVICE_DIRECTORY_ID}- 设备的目录 ID${USER_EMAIL}- 已登录用户的电子邮件地址${USER_EMAIL_DOMAIN}- 已登录用户的域名${DEVICE_SERIAL_NUMBER}- 设备序列号${DEVICE_ASSET_ID}- 管理员为设备分配的资产 ID${DEVICE_ANNOTATED_LOCATION}- 管理员为设备分配的位置${USER_EMAIL_NAME}- 已登录用户的电子邮件地址的第一部分(“@“之前)
如果某个占位符值不可用,系统会用空白字符串替代。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。