Gestionar certificados de cliente en dispositivos ChromeOS

 Para acceder a algunas redes y recursos web internos, los usuarios deben autenticarse mediante un certificado digital. Con los certificados de cliente, los usuarios de dispositivos ChromeOS pueden acceder a estos tipos de redes y recursos.

Para incrementar la seguridad de las redes y los recursos internos, las organizaciones autentican, mediante certificados digitales de cliente, a los usuarios que se conectan en los dispositivos de sus empleados o de sus alumnos. Por ejemplo, la autenticación EAP-TLS (802.1x) permite acceder a las redes de área local (LAN), mientras que la autenticación TLS/SSL ofrece acceso a los recursos web internos.

Para implementar un certificado de cliente en un dispositivo se deben llevar a cabo varios pasos, incluidos los siguientes:

  • Generar un par de claves de forma segura en el dispositivo
  • Enviar la clave pública y otros datos de autenticación e identificación a una autoridad de certificación para conseguir un certificado
  • Importar el certificado en el dispositivo

Los protocolos de registro (p. ej. SCEP y EST) difieren de una autoridad de certificación a otra. Además, es necesario comprobar los procesos, los controles y las reglas específicas de las organizaciones antes de conceder un certificado.

Los certificados de cliente están protegidos por el módulo de plataforma de confianza (TPM) de Chrome en los dispositivos ChromeOS. De esta forma, la clave privada nunca sale del dispositivo.

Gestionar y aprovisionar certificados de cliente

Gestionar certificados de cliente en dispositivos ChromeOS con Google Cloud Certificate Connector

Para distribuir certificados y claves de autenticación de forma segura desde tu servidor del Protocolo de inscripción de certificados simple (SCEP) a los dispositivos de los usuarios, puedes utilizar Google Cloud Certificate Connector. Consulta una guía completa en los artículos Usar Google Cloud Certificate Connector o Configuración del registro de certificados para ChromeOS a través de SCEP.

Gestionar certificados de cliente en dispositivos ChromeOS mediante la extensión Registro de certificado de Google

A partir de la versión 37 de Chrome, algunos partners, como las autoridades de certificación, los proveedores de gestión de infraestructuras y los clientes, pueden crear extensiones con la API chrome.enterprise.platformKeys para aprovisionar certificados de cliente en los dispositivos ChromeOS. El uso de una extensión permite ofrecer compatibilidad con una gran variedad de autoridades de certificación, protocolos de registro y todo tipo de flujos de trabajo basados en la Web. Los clientes que usan Servicios de certificados de Active Directory de Microsoft pueden utilizar la herramienta de registro de empresas de Google para solicitar e instalar certificados en los dispositivos Chrome. Para obtener más información, consulta Usar la extensión Registro de certificado para ChromeOS.

Cuando se utiliza el token de usuario de la API chrome.enterprise.platformKeys (el valor del campo ID es "user"), los certificados de cliente obtenidos mediante extensiones son exclusivos de un usuario y un dispositivo específicos. Es decir, el certificado no es el mismo para otro usuario que utilice el mismo dispositivo. Cuando el usuario inicia sesión en otro dispositivo, la autoridad de certificación emite un certificado diferente. Como los certificados de cliente están protegidos por el módulo de plataforma de confianza, no se pueden robar para instalar en otro dispositivo ni tampoco piratear. Cuando se quita una cuenta de usuario de un dispositivo, también se elimina el certificado correspondiente.

Gestionar certificados de cliente en dispositivos ChromeOS mediante una extensión de terceros

Para aprovisionar los certificados de cliente mediante una extensión de terceros, sigue estos pasos:

  1. Verifica que tienes un servicio de Chrome. Consulta el artículo Opciones de servicios de Chrome.

    La consola de administración te permite implementar y controlar fácilmente cuentas de usuario, dispositivos y aplicaciones en todos los dispositivos ChromeOS de tu organización.

  2. Con la API chrome.enterprise.platformKeys, obtén una extensión de incorporación que implemente tu flujo de trabajo de incorporación y se integre con tu autoridad de certificación.

    Ve a Chrome Web Store y busca una extensión para la autoridad de certificación que utilizas. Si aún no existe una extensión para esa autoridad de certificación, puedes crear una tú mismo o recurrir a un asesor o proveedor para que la cree por ti. Para obtener más información, consulta la guía para desarrolladores.

  3. Fuerza la instalación de la extensión en las cuentas de los usuarios La API chrome.enterprise.platformKeys solo funciona en extensiones que se han instalado de manera forzada mediante una política. Consulta el artículo Instalar aplicaciones y extensiones automáticamente.
  4. Comprueba que la red esté configurada de forma que los usuarios de la red de incorporación o de invitados pueden conectarse a ella y que cualquiera de las dos redes puede comunicarse con la autoridad de certificación.

    En la mayoría de los casos, las redes de incorporación o de invitados no disponen de acceso privilegiado y solo se pueden utilizar para explorar la extranet y acceder a la autoridad de certificación para incorporar los certificados. El proceso de incorporación de certificados se puede iniciar con esta red. Puedes preconfigurar la red de incorporación o de invitados en todos los dispositivos ChromeOS que gestiones. Para obtener más información, consulta el artículo Gestionar redes.

  5. Comprueba que todos los dispositivos ChromeOS estén registrados en el dominio. Solo los usuarios del dominio en el que esté registrado el dispositivo podrán utilizar el certificado correspondiente. Consulta el artículo Registrar dispositivos ChromeOS.

Información adicional

Certificados de usuario y de dispositivo

Como administrador, puedes configurar el proceso de aprovisionamiento de los certificados de usuario y de dispositivo.

Los certificados de usuario están asociados a una sesión de usuario cuya cuenta está gestionada. Permiten autenticar a los usuarios en sitios web, redes y aplicaciones de terceros.

Los certificados de dispositivo están asociados a un dispositivo gestionado. Se pueden usar en distintas situaciones:

  • Sesiones de usuario afiliadas de cuentas que están gestionadas en el mismo dominio que el dispositivo.
  • Pantallas de inicio de sesión de Chrome, donde los certificados permiten la autenticación en redes y en procesos de inicio de sesión SAML de terceros.
    Nota: Los certificados de dispositivo solo se utilizan en procesos de inicio de sesión SAML de terceros si has configurado la política "Certificados de cliente de inicio de sesión único".
  • Dispositivos con sesión de invitado gestionada o en modo kiosco, donde los certificados se envían a sitios web, redes y aplicaciones de terceros.

Las extensiones (por ejemplo, clientes VPN) también pueden usar estos certificados a través de la API chrome.platformKeys. El acceso a los certificados se concede de diferentes formas dependiendo de si la cuenta está gestionada o no. Para obtener más información, consulta la sección Modelo de acceso para las extensiones y los certificados de cliente.

Ejemplo de experiencia de usuario

El usuario intenta conectarse por primera vez a la red EAP-TLS (802.1x) sin un certificado válido desde una red de incorporación o de invitados. En ese momento, si se instala forzosamente una extensión, se guía al usuario por un conjunto de pasos (incluida la autenticación) antes de instalar el certificado emitido por la autoridad de certificación. Una vez que se ha instalado el certificado, el usuario puede seleccionar la red EAP-TLS (802.1x) y conectarse a ella.

Nota: Si decides implementar certificados con Google Cloud Certificate Connector, se implementarán en segundo plano. Deberían estar disponibles inmediatamente al intentar conectarse a la red EAP-TLS (802.1x) si el dispositivo puede conectarse a los servidores de Google desde una red de aprovisionamiento o de invitados.

Cuando una página web interna requiere una autenticación mutua TLS/SSL, el recurso web interno muestra un mensaje al usuario para indicarle que se debe utilizar un certificado. El usuario puede iniciar la extensión que se instaló forzosamente, seguir una serie de pasos similares a los del proceso de conexión a una red EAP-TLS y actualizar el navegador para acceder a la página web interna.

Modelo de acceso para las extensiones y las aplicaciones Android

Mediante la API chrome.platformKeys, las extensiones pueden acceder a los certificados de cliente gestionados en la plataforma. Las aplicaciones Android utilizan las APIs KeyChain. El modelo de permisos que controla su uso depende de si la cuenta de usuario está gestionada o no. La información siguiente se aplica independientemente de si el dispositivo está registrado o no.

Cuenta no gestionada

Cuando el usuario inicia sesión con una cuenta no gestionada (por ejemplo, con su cuenta personal), es propietario de los certificados que se han importado manualmente en el dispositivo y tiene control total sobre ellos. En este caso, el usuario puede autorizar a una extensión determinada a utilizar chrome.platformKeys para acceder a un certificado concreto. No se aplican más restricciones.

Cuenta gestionada

Cuando el usuario inicia sesión con una cuenta gestionada (por ejemplo, con su cuenta de trabajo), el administrador es responsable de dar acceso a los certificados que se han ideado para usarse en la empresa. Para ello, debe especificar las extensiones y las aplicaciones Android que pueden usar certificados de cliente.

Si quieres definir ajustes para aplicarlos a un grupo concreto de usuarios o navegadores Chrome registrados, coloca las cuentas de usuario o los navegadores en un mismo grupo o en la misma unidad organizativa. Solo se pueden añadir cuentas de usuario a los grupos. Para obtener más información, consulta Grupos y Añadir una unidad organizativa.

Para especificar las extensiones y las aplicaciones Android que pueden utilizar certificados de cliente, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luego Chromey luego Aplicaciones y extensionesy luegoUsuarios y navegadores.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoAplicaciones y extensionesy luegoUsuarios y navegadores.

  3. (Solo para usuarios) Para aplicar el ajuste a un grupo, sigue estos pasos:
    1. Selecciona Grupos.
    2. Selecciona el grupo al que quieres aplicar la configuración.
  4. (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
  5. (Opcional) Si aún no gestionas la extensión o la aplicación Android en la consola de administración, haz lo siguiente:

    1. Selecciona Añadir y elige una opción:

      • Añadir desde Chrome Web Store

      • Añadir desde Google Play

    2. Localiza la extensión o la aplicación Android y haz clic en Seleccionar. Si se te pide, acepta los permisos de la aplicación en nombre de tu organización.

  6. En la lista, busca la extensión o la aplicación Android que quieras gestionar y haz clic en ella.

  7. En el panel que se abre a la derecha, en Gestión de certificados, activa Permitir el acceso a las claves.
    Nota: Si seleccionas una extensión y no ves este ajuste, significa que no es compatible con la gestión de certificados. Si seleccionas una aplicación Android y no ves este ajuste, significa que aún no se ha aprobado el acceso a las APIs de gestión de certificados. Para solicitar la aprobación, ponte en contacto con nosotros.

  8. Haz clic en Guardar.

No se pide al usuario permiso para acceder a los certificados de empresa. Además, solo los certificados que se han importado mediante la API chrome.enterprise.platformKeys se pueden usar en la empresa. Si una extensión tiene acceso a varios certificados, es posible que se le pida al usuario que seleccione uno. Un certificado que se haya generado o importado mediante otros medios (por ejemplo, manualmente) no estará disponible para la API en caso de que se trate de una cuenta gestionada.

Las aplicaciones Android gestionadas no pueden solicitar a los usuarios que seleccionen un certificado de empresa a través de las APIs KeyChain. El sistema siempre selecciona un certificado de empresa en nombre del usuario, si hubiera uno disponible. La API KeyChain notifica a las aplicaciones Android todos los certificados que están disponibles en segundo plano, y las aplicaciones pueden elegir si se mostrará un cuadro de diálogo a los usuarios directamente en la aplicación.

Consideraciones sobre las aplicaciones Android

  • Los certificados de usuario son compatibles con Chrome 89 y versiones posteriores.
  • Los certificados de dispositivo son compatibles con Chrome 93 y versiones posteriores.
  • No todas las aplicaciones Android tienen aprobado el acceso. Si quieres solicitar aprobación para una aplicación Android concreta, ponte en contacto con nosotros.

Temas relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal