Benachrichtigung

Planen Sie Ihre Strategie für die Rückkehr ins Büro? Sehen Sie sich im Hilfeartikel Chromebooks für die Telearbeit einrichten an, wie Chrome OS Ihnen helfen kann.

Clientzertifikate auf ChromeOS-Geräten verwalten

Bei einigen Netzwerken und internen Webressourcen ist es erforderlich, dass Nutzer sich mit einem digitalen Zertifikat authentifizieren. Clientzertifikate ermöglichen Nutzern von ChromeOS-Geräten den Zugriff auf diese Netzwerke und Ressourcen.

Organisationen authentifizieren Nutzer von Firmen- oder Schulungsgeräten mithilfe von digitalen Clientzertifikaten, um die Sicherheit der Netzwerke und internen Ressourcen zu verbessern. Die EAP-TLS-Authentifizierung (802.1x) beispielsweise erlaubt den Zugriff auf lokale Netzwerke, während die wechselseitige TLS/SSL-Authentifizierung den Zugriff auf interne Webressourcen gewährt.

Zur Installation eines Clientzertifikats auf einem Gerät sind mehrere Schritte erforderlich, darunter:

  • Sicheres Generieren eines Schlüsselpaars auf dem Gerät
  • Übermittlung des öffentlichen Schlüssels sowie weiterer Identitäts- und Authentifizierungsmerkmale an die Zertifizierungsstelle zum Erhalt eines Zertifikats
  • Importieren des Zertifikats auf dem Gerät

Die verschiedenen Zertifizierungsstellen unterstützen unterschiedliche Registrierungsprotokolle (wie SCEP und EST) und auch in den Organisationen gelten spezifische Workflows, Prüfungen und Regeln, die vor der Vergabe eines Zertifikats durchlaufen werden müssen.

Clientzertifikate werden vom Chrome Trusted Platform Module (TPM) auf ChromeOS-Geräten unterstützt. Dadurch wird sichergestellt, dass der private Schlüssel niemals das Gerät verlässt.

Clientzertifikate verwalten und bereitstellen

Clientzertifikate auf ChromeOS-Geräten mit dem Google Cloud Certificate Connector verwalten

Mit dem Google Cloud Certificate Connector können Sie Zertifikate und Authentifizierungsschlüssel von Ihrem SCEP-Server (Simple Certificate Enrollment Protocol) sicher auf den Geräten der Nutzer verteilen. Eine ausführliche Anleitung finden Sie in den Hilfeartikeln Google Cloud Certificate Connector verwenden und Zertifikatregistrierung für ChromeOS über SCEP konfigurieren.

Clientzertifikate auf ChromeOS-Geräten mit der Erweiterung „Google-Zertifikatregistrierung“ verwalten

Seit der Chrome-Version 37 können Partner – beispielsweise Zertifizierungsstellen, Anbieter von Infrastrukturverwaltungsprogrammen und Kunden – Erweiterungen mithilfe der chrome.enterprise.platformKeys API schreiben, um Clientzertifikate auf ChromeOS-Geräten bereitzustellen. Durch die Verwendung einer Erweiterung können verschiedene Zertifizierungsstellen, Registrierungsprotokolle und alle Formen von webbasierten Workflows eingesetzt werden. Kunden, die Microsoft Active Directory-Zertifikatsdienste verwenden, können mit dem Enterprise-Registrierungstool von Google Zertifikate für Chrome-Geräte anfordern und installieren. Weitere Informationen finden Sie unter Erweiterung „Zertifikatregistrierung für ChromeOS“ verwenden.

Wenn das Nutzer-Token der chrome.enterprise.platformKeys API verwendet wird (ID gleich „Nutzer“), sind die Clientzertifikate, die über Erweiterungen abgerufen wurden, für jede Nutzer/Gerät-Kombination einmalig. Falls ein zweiter Nutzer dasselbe Gerät verwendet, kommt ein anderes Zertifikat zum Einsatz. Wenn sich der Nutzer auf einem anderen Gerät anmeldet, stellt die Zertifizierungsstelle ein anderes Zertifikat aus. Da die Clientzertifikate vom TPM gestützt werden, können sie nicht gestohlen und auf einem anderen Gerät installiert werden oder von einem anderen Nutzer missbraucht werden. Wird ein Nutzer von einem Gerät entfernt, wird auch das Zertifikat gelöscht.

Clientzertifikate auf ChromeOS-Geräten über eine Erweiterung eines Drittanbieters verwalten

So stellen Sie Clientzertifikate mit einer Drittanbietererweiterung bereit:

  1. Prüfen Sie, ob Sie einen Chrome-Dienst haben. Weitere Informationen finden Sie unter Optionen für Chrome-Dienste.

    Mit der Admin-Konsole lassen sich Nutzer, Geräte und Apps auf allen ChromeOS-Geräten Ihrer Organisation ganz einfach bereitstellen und verwalten.

  2. Beziehen Sie über die chrome.enterprise.platformKeys API eine Onboarding-Erweiterung, die Ihre entsprechenden Workflows implementiert und in Ihre Zertifizierungsstelle integriert wird.

    Im Chrome Web Store finden Sie eine Erweiterung für Ihre Zertifizierungsstelle. Wenn noch keine Erweiterung für Ihre Zertifizierungsstelle existiert, können Sie selbst eine erstellen oder hierfür die Dienste eines Beraters oder Anbieters in Anspruch nehmen. Weitere Informationen finden Sie im Entwicklerleitfaden.

  3. Erzwingen Sie die Installation der Erweiterung für Ihre Nutzer. Die chrome.enterprise.platformKeys API ist nur für Erweiterungen verfügbar, die entsprechend diesen Richtlinien vorinstalliert wurden. Weitere Informationen finden Sie im Hilfeartikel Apps und Erweiterungen automatisch installieren.
  4. Konfigurieren Sie Ihr Netzwerk so, dass Nutzer im Gast- oder Onboarding-Netzwerk eine Verbindung herstellen können und dass das Netzwerk wiederum mit der Zertifizierungsstelle kommunizieren kann.

    In den meisten Fällen hat ein Gast- oder Onboarding-Netzwerk keinen privilegierten Zugriff und kann dementsprechend nur für das Extranet sowie für den Kontakt mit der Zertifizierungsstelle zum Onboarding von Zertifikaten verwendet werden. Der Onboarding-Prozess für Zertifikate kann über dieses Netzwerk initiiert werden. Sie können das Gast- oder Onboarding-Netzwerk auf allen von Ihnen verwalteten ChromeOS-Geräten vorkonfigurieren. Weitere Informationen zum Verwalten von Netzwerken

  5. Sorgen Sie dafür, dass alle ChromeOS-Geräte in der Domain registriert sind. Nur Nutzer der Domain, in der das Gerät registriert ist, können das Gerätezertifikat verwenden. Weitere Informationen finden Sie unter ChromeOS-Geräte registrieren.

Weitere Informationen

Nutzer- und Gerätezertifikate

Als Administrator können Sie den Bereitstellungsablauf für Nutzer- und Gerätezertifikate konfigurieren.

Nutzerzertifikate sind an die Sitzung eines verwalteten Nutzers gebunden. Sie können für die Authentifizierung von Websites, Netzwerken und Anwendungen von Drittanbietern auf Nutzerebene verwendet werden.

Gerätezertifikate sind an ein verwaltetes Gerät gebunden und an verschiedenen Stellen präsent, z. B. hier:

  • Verknüpfte Nutzersitzungen für Nutzer, die von derselben Domain verwaltet werden wie das Gerät.
  • Chrome-Anmeldebildschirme, auf denen die Zertifikate für Netzwerke angezeigt werden, und als Teil des SAML-Anmeldeablaufs von Drittanbietern.
    Hinweis: Gerätezertifikate werden nur dann im SAML-Anmeldeablauf von Drittanbietern angezeigt, wenn Sie die Richtlinie für Clientzertifikate für die Einmalanmeldung konfiguriert haben.
  • Geräte im Modus für verwaltete Gastsitzungen sowie im Kioskmodus, auf denen die Zertifikate auf Websites, in Netzwerken und Apps von Drittanbietern angezeigt werden.

Diese Zertifikate können über die chrome.platformKeys API auch von Erweiterungen wie VPN-Clients genutzt werden. Der Zugriff auf die Zertifikate wird dabei auf unterschiedliche Weise gewährt, abhängig davon, ob ein Konto verwaltet ist oder nicht. Weitere Informationen finden Sie unter Zugriffsmodell für Erweiterungen und Android-Apps.

Beispiel

Der Nutzer versucht, zum ersten Mal über ein Gast- oder Onboarding-Netzwerk ohne gültiges Zertifikat eine Verbindung zum EAP-TLS-Netzwerk (802.1x) herzustellen. Wenn die Installation einer Erweiterung erzwungen wurde, wird der Nutzer durch eine Reihe von Schritten (einschließlich Authentifizierung) geführt, bevor das von der Zertifizierungsstelle ausgestellte Zertifikat installiert wird. Nach der Installation des Zertifikats kann der Nutzer das EAP-TLS-Netzwerk (802.1x) auswählen und sich verbinden.

Hinweis: Wenn Sie sich für die Bereitstellung von Zertifikaten mit dem Google Cloud Certificate Connector entscheiden, werden diese im Hintergrund bereitgestellt. Sie sind in der Regel sofort verfügbar, wenn versucht wird, eine Verbindung zum EAP-TLS-Netzwerk (802.1x) herzustellen, sofern das Gerät eine Verbindung zu Google-Servern in einem Gast- oder Bereitstellungsnetzwerk herstellen kann.

Wenn für eine interne Webseite eine wechselseitige TLS/SSL-Authentifizierung erforderlich ist, wird dem Nutzer in der internen Webressource in einer Meldung mitgeteilt, dass ein Zertifikat erforderlich ist. Der Nutzer kann dann die Erweiterung starten und mit dieser einen ähnlichen Installationsprozess durchlaufen wie bei der Verbindung mit dem EAP-TLS-Netzwerk. Für den Zugriff auf die interne Webseite muss im Anschluss der Browser aktualisiert werden.

Zugriffsmodell für Erweiterungen und Android-Apps

Über die chrome.platformKeys API können Erweiterungen auf Clientzertifikate zugreifen, die von der Plattform verwaltet werden. Android-Apps verwenden KeyChain-APIs. Das Berechtigungsmodell für ihre Verwendung hängt davon ab, ob das Nutzerkonto verwaltet ist oder nicht. Folgendes gilt unabhängig davon, ob das Gerät registriert ist.

Nicht verwaltetes Konto

Wenn der Nutzer sich mit einem nicht verwalteten Konto anmeldet, etwa seinem privaten Konto, besitzt und kontrolliert er alle Zertifikate, die manuell in das Gerät importiert wurden. Der Nutzer kann in diesem Fall einer bestimmten Erweiterung die Berechtigung gewähren, chrome.platformKeys für den Zugriff auf ein bestimmtes Zertifikat zu verwenden. Es gelten keine weiteren Beschränkungen.

Verwaltetes Konto

Wenn der Nutzer sich mit einem verwalteten Konto anmeldet, z. B. mit seinem Arbeitskonto, kontrolliert der Administrator die Gewährung des Zugriffs auf Zertifikate für die Nutzung im Unternehmen. Dazu gibt der Administrator Erweiterungen und Android-Apps an, für die Clientzertifikate verwendet werden dürfen.

Wenn Sie Einstellungen für eine bestimmte Nutzergruppe oder registrierte Chrome-Browser vornehmen möchten, fassen Sie die betreffenden Nutzerkonten bzw. Browser in einer Gruppe oder Organisationseinheit zusammen. Nur Nutzerkonten können zu Gruppen hinzugefügt werden. Weitere Informationen finden Sie unter Gruppen und Organisationseinheit hinzufügen.

So legen Sie Erweiterungen und Android-Apps fest, für die Clientzertifikate verwendet werden dürfen:

  1. Melden Sie sich in der Google Admin-Konsole an.

    Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

  2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü  und dann  Geräte und dann Chrome und dann Apps und Erweiterungen und dann Nutzer und Browser.

    Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü  und dann  Chrome-Browser und dann Apps und Erweiterungen und dann Nutzer und Browser.

  3. Nur Nutzer: So wenden Sie die Einstellung auf eine Gruppe an:
    1. Wählen Sie Gruppen aus.
    2. Wählen Sie die Gruppe aus, für die die Einstellung gelten soll.
  4. Wenn die Einstellung für alle Nutzer gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Wählen Sie andernfalls eine untergeordnete Organisationseinheit aus.

  5. (Optional) Wenn Sie die Erweiterung oder Android-App noch nicht in der Admin-Konsole verwalten:

    1. Bewegen Sie den Mauszeiger auf „Hinzufügen“ und wählen Sie eine Option aus:

      • Aus dem Chrome Web Store hinzufügen

      • Aus Google Play hinzufügen

    2. Suchen Sie nach der Erweiterung oder Android-App und klicken Sie auf Auswählen. Akzeptieren Sie die App-Berechtigungen im Namen Ihrer Organisation, wenn Sie dazu aufgefordert werden.

  6. Suchen Sie in der Liste die Erweiterung oder Android-App, die Sie verwalten möchten, und klicken Sie darauf.

  7. Aktivieren Sie im Steuerfeld, das rechts geöffnet wird, unter Zertifikatsverwaltung die Option Zugriff auf Schlüssel zulassen.
    Hinweis: Wenn Sie eine Erweiterung auswählen und die Einstellung nicht sehen, wird die Zertifikatsverwaltung nicht unterstützt. Wenn Sie eine Android-App auswählen und die Einstellung nicht sehen, wurde die App noch nicht für den Zugriff auf APIs zur Zertifikatsverwaltung genehmigt. Kontaktieren Sie uns, um eine Genehmigung zu beantragen.

  8. Klicken Sie auf Speichern.

Der Nutzer wird nicht dazu aufgefordert, Zugriffsberechtigungen für Unternehmenszertifikate zu gewähren. Nur Zertifikate, die über die chrome.enterprise.platformKeys API importiert wurden, können für Unternehmenszwecke verwendet werden. Der Nutzer kann dennoch von der Erweiterung dazu aufgefordert werden, ein Zertifikat auszuwählen, falls die Erweiterung Zugriff auf mehrere Zertifikate hat. Jedes Zertifikat, das anderweitig generiert oder importiert wird, z. B. manuell, ist in verwalteten Konten für die API nicht verfügbar.

Nutzer können nicht von verwalteten Android-Apps dazu aufgefordert werden, ein Unternehmenszertifikat über KeyChain-APIs auszuwählen. Ist ein Unternehmenszertifikat vorhanden, wird es immer vom System für den Nutzer ausgewählt. Die KeyChain-API benachrichtigt Android-Apps über alle Zertifikate, die im Hintergrund verfügbar sind, und die Apps können selbst auswählen, ob sie den Nutzern direkt in der App entsprechende Dialogfelder anzeigen.

Hinweise für Android-Apps

  • Nutzerzertifikate werden für die Chrome-Version 89 oder höher unterstützt.
  • Gerätezertifikate werden für die Chrome-Version 93 oder höher unterstützt.
  • Nicht alle Android-Apps wurden für den Zugriff genehmigt. Wenn Sie die Genehmigung für eine bestimmte Android-App beantragen möchten, wenden Sie sich an uns.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
true
Suche
Suche löschen
Suche schließen
Hauptmenü
9109696287592526904
true
Suchen in der Hilfe
true
true
true
true
true
410864
false
false