Algunas redes y recursos web internos requieren que los usuarios se autentiquen mediante un certificado digital. Los certificados de cliente permiten que los usuarios de dispositivos con ChromeOS accedan a estos tipos de redes y recursos.
Para mejorar la seguridad de las redes y los recursos internos, las organizaciones autentican a los usuarios en dispositivos de empleados y estudiantes con certificados digitales del cliente. Por ejemplo, la autenticación de EAP-TLS (802.1x) para permitir el acceso a las LAN y la autenticación de TLS/SSL mutua para permitir el acceso a los recursos web internos.
Hay varios pasos para colocar un certificado de cliente en un dispositivo, incluidos los siguientes:
- Generar un par de claves de forma segura en el dispositivo
- Enviar la clave pública, así como otra información de identificación y autenticación a una autoridad certificadora (CA) para obtener un certificado
- Importar el certificado al dispositivo
Las distintas CA admiten diferentes protocolos de inscripción, como SCEP y EST, y las organizaciones tienen flujos de trabajo, verificaciones y reglas específicos que deben verificarse antes de otorgar un certificado.
Los certificados de cliente están respaldados por el Módulo de plataforma segura de Chrome (TPM) en los dispositivos ChromeOS. Esto garantiza que la clave privada nunca salga del dispositivo.
Administra y aprovisiona certificados de cliente
Para distribuir de manera segura los certificados y las claves de autenticación de su servidor del Protocolo de inscripción de certificado simple (SCEP) a los dispositivos de los usuarios, puede usar Google Cloud Certificate Connector. Para obtener más información, consulta Cómo usar Google Cloud Certificate Connector o Cómo configurar la inscripción de certificado para ChromeOS mediante SCEP a fin de obtener una guía completa.
A partir de la versión 37 de Chrome, los socios (como las CA, los proveedores de administración de infraestructuras y los clientes) pueden escribir una extensión mediante la API chrome.enterprise.platformKeys para aprovisionar certificados de cliente en los dispositivos con ChromeOS. Mediante el uso de una extensión, se puede admitir una amplia variedad de CA, protocolos de inscripción y cualquier forma de flujo de trabajo basado en la Web. Los clientes que usan los servicios de certificados de Active Directory de Microsoft pueden usar la herramienta de inscripción empresarial de Google para solicitar e instalar certificados para dispositivos Chrome. Para obtener más información, consulta Cómo usar la extensión de inscripción de certificados para Chrome OS.
Cuando se usa el token de usuario de la API chrome.enterprise.platformKeys (el ID es igual a “usuario”), los certificados de cliente obtenidos mediante extensiones son únicos para el usuario y el dispositivo. Por ejemplo, un segundo usuario en el mismo dispositivo tiene un certificado diferente. Cuando el usuario accede a otro dispositivo, la CA emite un certificado distinto. Debido a que el TPM respalda los certificados de cliente, el certificado no puede ser robado e instalado en otro dispositivo, y otro usuario no puede usurparlo. Cuando quitas a un usuario de un dispositivo, también se quita el certificado.
Para aprovisionar certificados de cliente mediante una extensión de terceros, sigue estos pasos:
- Verifica que tienes un servicio de Chrome. Consulta las opciones de servicios de Chrome.
La Consola del administrador facilita la implementación y el control de los usuarios, los dispositivos y las aplicaciones en todos los dispositivos con ChromeOS de tu organización.
- Obtén una extensión de integración con la API chrome.enterprise.platformKeys que implementa el flujo de trabajo de integración y se integra con la CA.
Ve a Chrome Web Store para encontrar una extensión para la CA que usas. Si todavía no existe una extensión para la CA, tú mismo puedes crearla o contratar a un asesor o proveedor para que la cree. Si deseas obtener más información, consulta la Guía para desarrolladores.
- Instala la extensión de manera automática para tus usuarios. La API chrome.enterprise.platformKeys solo está disponible para las extensiones que la política instala de manera automática. Consulta Cómo instalar aplicaciones y extensiones automáticamente.
- Verifica que la red esté configurada para que los usuarios de la red de invitados o de integración se puedan conectar a ella y para que la red de invitados o de integración pueda comunicarse con la CA.
En la mayoría de los casos, una red de integración o de invitados no tiene acceso privilegiado, por lo que solo se puede usar para explorar la extranet y comunicarse con la CA para la integración de certificados. El proceso de integración de certificados se puede iniciar con esta red. Puedes preconfigurar la red de invitados o de integración en todos los dispositivos con ChromeOS que administres. Para obtener más información, consulta Administra redes.
- Verifica que cada dispositivo con ChromeOS esté inscrito en el dominio. Solo los usuarios del dominio en el que está inscrito el dispositivo pueden usar el certificado del dispositivo. Consulte Cómo inscribir dispositivos ChromeOS.
Información adicional
Como administrador, puedes configurar el flujo de aprovisionamiento de los certificados de usuarios y dispositivos.
Los certificados de usuarios están vinculados a la sesión de un usuario administrado. Se pueden utilizar para la autenticación a nivel de usuario en sitios web, redes y aplicaciones de terceros.
Los certificados de dispositivos están vinculados a un dispositivo administrado. Se exponen en varios lugares, como los siguientes:
- Sesiones de usuarios afiliados para usuarios que son administrados por el mismo dominio que el dispositivo.
- Pantallas de acceso de Chrome, donde los certificados se muestran a las redes y como parte del flujo de acceso de SAML de terceros.
Nota: Los certificados de dispositivos solo aparecen en un flujo de acceso de SAML de terceros si configuraste la política de certificados de cliente de inicio de sesión único. - Dispositivos en modo de kiosco y sesión de invitado administrada, en los que se muestran los certificados a sitios web, redes y apps de terceros.
Las extensiones, como los clientes de VPN que usan la API chrome.platformKeys, también pueden usar estos certificados. El acceso a los certificados se otorga de diferentes maneras, en función de si la cuenta está administrada o no. Para obtener más información, consulta Modelo de acceso para extensiones y certificados de cliente.
Desde un invitado o una red de integración, el usuario intenta conectarse a la red EAP-TLS (802.1x) por primera vez sin un certificado válido. En este punto, si una extensión se instala de manera automática, guía al usuario a través de un conjunto de pasos (incluida la autenticación) antes de instalar el certificado emitido por la CA. Cuando se instala el certificado, el usuario puede seleccionar la red EAP-TLS (802.1x) y conectarse correctamente.
Nota: Si eliges implementar certificados con Google Cloud Certificate Connector, estos se implementan de forma silenciosa en segundo plano. Deberían estar disponibles de inmediato cuando se intenta conectar a la red EAP-TLS (802.1x) si el dispositivo puede conectarse a servidores de Google en una red para invitados o de aprovisionamiento.
Cuando una página web interna requiere una autenticación de TLS/SSL mutua, el recurso web interno muestra un mensaje al usuario que indica que se requiere un certificado. En este punto, el usuario puede iniciar la extensión que instalaste de manera automática, realizar un conjunto similar de pasos, como se describe para conectarse a una red EAP-TLS, y actualizar el navegador para acceder a la página web interna.
La API chrome.platformKeys permite que las extensiones accedan a los certificados de cliente que administra la plataforma. Las apps para Android usan las APIs de KeyChain. El modelo de permisos que rige su uso depende de si la cuenta de usuario está administrada o no. Lo siguiente se aplica independientemente de si el dispositivo está inscrito.
Cuenta no administradaCuando el usuario accede con una cuenta no administrada, como su cuenta personal, es propietario de los certificados que se importaron manualmente al dispositivo y tiene el control total sobre ellos. En este caso, el usuario puede otorgar a una extensión específica el permiso para usar chrome.platformKeys a fin de acceder a un certificado en particular. No hay más restricciones.
Cuenta administradaCuando el usuario accede con una cuenta administrada, como su cuenta de trabajo, el administrador se encarga de otorgar acceso a los certificados destinados al uso corporativo. Para ello, el administrador especifica las extensiones y las apps para Android que pueden usar certificados de cliente.
Para realizar la configuración de un grupo específico de usuarios o de navegadores Chrome inscritos, incluye las cuentas de usuario o los navegadores en un grupo o una unidad organizativa. Solo se pueden agregar cuentas de usuario a los grupos. Para obtener más información, consulta Grupos y Agregar una unidad organizativa.
Afin de especificar las extensiones y apps para Android que pueden usar certificados de cliente, haz lo siguiente:
-
Accede a la Consola del administrador de Google.
Accede con tu cuenta de administrador (no termina en @gmail.com).
-
En la Consola del administrador, ve a Menú
Dispositivos
Chrome
Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú
Navegador Chrome
- (Solo usuarios) Para aplicar la configuración a un grupo, haz lo siguiente:
- Selecciona Grupos.
- Selecciona el grupo al que deseas aplicar la configuración.
- To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child organizational unit.
-
Si aún no administras la extensión o la app para Android en la Consola del administrador, haz lo siguiente (opcional):
-
Desplázate sobre Agregar
y elige una opción:
-
Agregar desde Chrome Web Store
-
Agregar desde Google Play
-
-
Busca la extensión o la app para Android y haz clic en Seleccionar. Si se te solicita, acepta los permisos de la app en nombre de tu organización.
-
-
En la lista, busca la extensión o la app para Android que quieras administrar y haz clic en ella.
-
En el panel que se abre a la derecha, en Administración de certificados, activa Permitir acceso a claves.
Nota: Si seleccionas una extensión y no ves el parámetro de configuración, significa que no es compatible con la administración de certificados. Si seleccionas una app para Android y no ves el parámetro de configuración, significa que todavía no se aprobó la app para acceder a las APIs de administración de certificados. Comunícate con nosotros para solicitar la aprobación. - Haga clic en Guardar.
No se le solicita al usuario que otorgue permiso para acceder a certificados empresariales, y solo los certificados que se importaron con la API chrome.enterprise.platformKeys cumplen con los requisitos para uso corporativo. De todos modos, una extensión puede solicitar al usuario que seleccione un certificado si esta tiene acceso a varios certificados. Cualquier certificado que se genere o importe por otros medios, como de forma manual, no está disponible para la API de las cuentas administradas.
Las apps para Android administradas no pueden pedirles a los usuarios que seleccionen un certificado empresarial a través de las APIs de KeyChain. El sistema siempre elige un certificado empresarial en nombre del usuario, si hay uno disponible. KeyChain notifica a las apps para Android sobre todos los certificados que tienen disponibles en segundo plano, y las apps pueden elegir mostrar ciertos diálogos a los usuarios directamente en la app.
Consideraciones sobre las apps para Android
- Los certificados de usuarios son compatibles con Chrome 89 o versiones posteriores.
- Los certificados de dispositivos son compatibles con Chrome 93 o versiones posteriores.
- No todas las apps para Android están aprobadas para tener acceso. Si quieres solicitar la aprobación de una app para Android determinada, comunícate con nosotros.