¿Estás planificando tu estrategia de regreso a la oficina? Descubre cómo puede ayudarte Chrome OS.

Gestionar certificados de cliente en dispositivos Chrome

Para acceder a algunas redes y a determinados recursos web internos, los usuarios deben autenticarse mediante un certificado digital. Con los certificados de cliente, los usuarios de dispositivos con Chrome OS pueden acceder a estos tipos de redes y recursos.

Para incrementar la seguridad de las redes y los recursos internos, las organizaciones autentican, mediante certificados digitales de cliente, a los usuarios que se conectan en los dispositivos de sus empleados o de sus alumnos. Por ejemplo, la autenticación EAP-TLS (802.1x) permite acceder a las redes de área local (LAN), mientras que la autenticación TLS/SSL ofrece acceso a los recursos web internos.

Para implementar un certificado de cliente en un dispositivo se deben llevar a cabo varios pasos, incluidos los siguientes:

  • Generar un par de claves de forma segura en el dispositivo
  • Enviar la clave pública y otros datos de autenticación e identificación a una autoridad de certificación para conseguir un certificado
  • Importar el certificado en el dispositivo

Los protocolos de registro (p. ej. SCEP y EST) difieren de una autoridad de certificación a otra. Además, es necesario comprobar los procesos, los controles y las reglas específicas de las organizaciones antes de conceder un certificado.

Gestionar y aprovisionar certificados de cliente

Gestionar certificados de cliente en dispositivos Chrome

A partir de la versión 37 de Chrome, algunos partners, como las autoridades de certificación, los proveedores de gestión de infraestructuras y los clientes, pueden crear extensiones con la API chrome.enterprise.platformKeys para aprovisionar certificados de cliente en los dispositivos Chrome. El uso de una extensión permite ofrecer compatibilidad con una gran variedad de autoridades de certificación, protocolos de registro y todo tipo de flujos de trabajo basados en la Web. Los clientes que usan Servicios de certificados de Active Directory de Windows pueden utilizar la herramienta de registro de empresas de Google para solicitar e instalar certificados en los dispositivos Chrome. Para obtener más información, consulta el artículo Permitir que los usuarios soliciten certificados digitales. Mediante el uso de extensiones se pueden aprovisionar certificados de cliente fácilmente. Permiten asegurarse de que la clave privada nunca salga del dispositivo y esté protegida por el módulo de plataforma de confianza (TPM) de Chrome.

Cuando se utiliza el token de usuario de la API chrome.enterprise.platformKeys (el valor del campo ID es "user"), los certificados de cliente obtenidos mediante extensiones son exclusivos de un usuario y un dispositivo específicos. Es decir, el certificado no es el mismo para otro usuario que utilice el mismo dispositivo. Cuando el usuario inicia sesión en otro dispositivo, la autoridad de certificación emite un certificado diferente. Como los certificados de cliente están protegidos por el módulo de plataforma de confianza, no se pueden robar para instalar en otro dispositivo ni tampoco piratear. Cuando se quita una cuenta de usuario de un dispositivo, también se elimina el certificado correspondiente.

Las extensiones (por ejemplo, clientes VPN) también pueden usar estos certificados a través de la API chrome.platformKeys. El acceso a los certificados se concede de diferentes formas dependiendo de si la cuenta está gestionada o no. Para obtener más información, consulta la sección Modelo de acceso para las extensiones y los certificados de cliente.

Aprovisionar los certificados de cliente mediante una extensión

Para aprovisionar los certificados de cliente mediante una extensión, sigue estos pasos:

  1. Verifica que tienes un servicio de Chrome. Consulta el artículo Opciones de servicios de Chrome.

    La consola de administración te permite implementar y controlar fácilmente cuentas de usuario, dispositivos y aplicaciones en todos los dispositivos Chrome de tu organización.

  2. Con la API chrome.enterprise.platformKeys, obtén una extensión de incorporación que implemente tu flujo de trabajo de incorporación y se integre con tu autoridad de certificación.

    Ve a Chrome Web Store y busca una extensión para la autoridad de certificación que utilizas. Si aún no existe una extensión para esa autoridad de certificación, puedes crear una tú mismo o recurrir a un asesor o proveedor para que la cree por ti. Para obtener más información, consulta la guía para desarrolladores.

  3. Fuerza la instalación de la extensión en las cuentas de los usuarios La API chrome.enterprise.platformKeys solo funciona en extensiones que se han instalado de manera forzada mediante una política. Consulta el artículo Instalar aplicaciones y extensiones automáticamente.
  4. Comprueba que la red esté configurada de forma que los usuarios de la red de incorporación o de invitados pueden conectarse a ella y que cualquiera de las dos redes puede comunicarse con la autoridad de certificación.

    En la mayoría de los casos, las redes de incorporación o de invitados no disponen de acceso privilegiado y solo se pueden utilizar para explorar la extranet y acceder a la autoridad de certificación para incorporar los certificados. El proceso de incorporación de certificados se puede iniciar con esta red. Puedes preconfigurar la red de incorporación o de invitados en todos los dispositivos Chrome que administres. Para obtener más información, consulta el artículo Gestionar redes.

  5. Comprueba que todos los dispositivos Chrome estén registrados en el dominio. Solo los usuarios del dominio en el que esté registrado el dispositivo podrán utilizar el certificado correspondiente. Consulta el artículo Registrar dispositivos Chrome.
Certificados de usuario y de dispositivo

Como administrador, puedes configurar el proceso de registro de los certificados de usuario y de dispositivo.

Los certificados de usuario están asociados a una sesión de usuario cuya cuenta está gestionada. Permiten autenticar a los usuarios en sitios web, redes y aplicaciones de terceros.

Los certificados de dispositivo están asociados a un dispositivo gestionado. Se pueden usar en distintas situaciones:

  • Sesiones de usuario afiliadas de cuentas que están gestionadas en el mismo dominio que el dispositivo.
  • Pantallas de inicio de sesión de Chrome, donde los certificados permiten la autenticación en redes y en procesos de inicio de sesión SAML de terceros.
    Nota: Los certificados de dispositivo solo se utilizan en procesos de inicio de sesión SAML de terceros si has configurado la política "Certificados de cliente de inicio de sesión único".
  • Dispositivos con sesión de invitado gestionada o en modo kiosco, donde los certificados se envían a sitios web, redes y aplicaciones de terceros.

Para configurar una extensión de forma que gestione los certificados de usuario y de dispositivo, consulta la documentación de la extensión sobre el registro de certificados.

Ejemplo de experiencia de usuario

El usuario intenta conectarse por primera vez a la red EAP-TLS (802.1x) desde una red de incorporación o de invitados. En ese momento, la extensión que has instalado forzosamente guía al usuario por una serie de pasos (incluido el de autenticación) antes de instalar el certificado emitido por la autoridad de certificación. Una vez que se ha instalado el certificado, el usuario puede seleccionar la red EAP-TLS (802.1x) y conectarse a ella.

Cuando una página web interna requiere una autenticación mutua TLS/SSL, el recurso web interno muestra un mensaje al usuario para indicarle que se debe utilizar un certificado. El usuario puede iniciar la extensión que se instaló forzosamente, seguir una serie de pasos similares a los del proceso de conexión a una red EAP-TLS y actualizar el navegador para acceder a la página web interna.

Modelo de acceso para las extensiones y las aplicaciones Android

Mediante la API chrome.platformKeys, las extensiones pueden acceder a los certificados de cliente gestionados en la plataforma. Las aplicaciones Android utilizan las APIs KeyChain. El modelo de permisos que controla su uso depende de si la cuenta de usuario está gestionada o no. La información siguiente se aplica independientemente de si el dispositivo está registrado o no.

Cuenta no gestionada

Cuando el usuario inicia sesión con una cuenta no gestionada (por ejemplo, con su cuenta personal), es propietario de los certificados que se han importado manualmente en el dispositivo y tiene control total sobre ellos. En este caso, el usuario puede autorizar a una extensión determinada a utilizar chrome.platformKeys para acceder a un certificado concreto. No se aplican más restricciones.

Cuenta gestionada

Cuando el usuario inicia sesión con una cuenta gestionada (por ejemplo, con su cuenta de trabajo), el administrador es responsable de dar acceso a los certificados que se han ideado para usarse en la empresa. Para ello, debe especificar las extensiones y las aplicaciones Android que pueden usar certificados de cliente.

Para especificar las extensiones y las aplicaciones Android que pueden utilizar certificados de cliente, sigue estos pasos:

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Dispositivos y luego Administración de Chrome.
  3. Haz clic en Aplicaciones y extensionesy luegoUsuarios y navegadores.
  4. Si quieres aplicar la configuración a todos los usuarios, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
  5. (Opcional) Si aún no gestionas la extensión o la aplicación Android en la consola de administración, haz lo siguiente:

    1. Haz clic en Añadir "" y elige una opción:

      • Añadir desde Chrome Web Store

      • Añadir desde Google Play

    2. Localiza la extensión o la aplicación Android y haz clic en Seleccionar. Si se te pide, acepta los permisos de la aplicación en nombre de tu organización.

  6. En la lista, busca la extensión o la aplicación Android que quieras gestionar y haz clic en ella.

  7. En el panel que se abre a la derecha, en Gestión de certificados, activa Permitir el acceso a las claves.
    Nota: Si seleccionas una extensión y no ves este ajuste, significa que no es compatible con la gestión de certificados. Si seleccionas una aplicación Android y no ves este ajuste, significa que aún no se ha aprobado el acceso a las APIs de gestión de certificados. Para solicitar la aprobación, ponte en contacto con nosotros.

  8. Haz clic en Guardar.

No se pide al usuario permiso para acceder a los certificados de empresa. Además, solo los certificados que se han importado mediante la API chrome.enterprise.platformKeys se pueden usar en la empresa. Si una extensión tiene acceso a varios certificados, es posible que se le pida al usuario que seleccione uno. Un certificado que se haya generado o importado mediante otros medios (por ejemplo, manualmente) no estará disponible para la API en caso de que se trate de una cuenta gestionada.

Las aplicaciones Android gestionadas no pueden solicitar a los usuarios que seleccionen un certificado de empresa a través de las APIs KeyChain. El sistema siempre selecciona un certificado de empresa en nombre del usuario, si hubiera uno disponible. La API KeyChain notifica a las aplicaciones Android todos los certificados que están disponibles en segundo plano, y las aplicaciones pueden elegir si se mostrará un cuadro de diálogo a los usuarios directamente en la aplicación.

Consideraciones sobre las aplicaciones Android

  • Los certificados de usuario son compatibles con Chrome 89 y versiones posteriores.
  • Los certificados de dispositivo son compatibles con Chrome 93 y versiones posteriores.
  • No todas las aplicaciones Android tienen aprobado el acceso. Si quieres solicitar aprobación para una aplicación Android concreta, ponte en contacto con nosotros.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
Buscar en el Centro de ayuda
true
410864
false