Notifikasi

Merencanakan strategi kembali bekerja di kantor? Lihat cara Chrome OS dapat membantu.

Mengelola sertifikat klien di perangkat ChromeOS

 Beberapa jaringan dan resource web internal mewajibkan pengguna untuk mengautentikasi diri mereka menggunakan sertifikat digital. Sertifikat klien mengizinkan pengguna di perangkat ChromeOS mengakses jenis jaringan dan resource ini.

Untuk meningkatkan keamanan jaringan dan resource internal, organisasi mengautentikasi pengguna pada perangkat karyawan serta siswa menggunakan sertifikat digital sisi klien. Misalnya, autentikasi EAP-TLS (802.1x) digunakan untuk mengizinkan akses ke LAN, sedangkan autentikasi TLS/SSL bersama digunakan untuk mengizinkan akses ke resource web internal.

Ada beberapa langkah untuk menempatkan sertifikat klien di perangkat, yang meliputi:

  • Membuat pasangan kunci dengan aman di perangkat.
  • Mengirim kunci publik serta mengidentifikasi dan mengautentikasi informasi lainnya ke otoritas sertifikat (CA) untuk mendapatkan sertifikat.
  • Mengimpor sertifikat ke perangkat

CA yang berbeda mendukung protokol pendaftaran yang berbeda, seperti SCEP dan EST. Selain itu, organisasi memiliki alur kerja, pemeriksaan, dan aturan khusus yang harus diperiksa sebelum memberikan sertifikat.

Sertifikat klien didukung oleh Trusted Platform Module (TPM) Chrome di perangkat ChromeOS. Hal ini memastikan bahwa kunci pribadi tidak pernah dikirim ke luar perangkat.

Mengelola dan menyediakan sertifikat klien

Mengelola sertifikat klien di perangkat ChromeOS menggunakan Google Cloud Certificate Connector

Untuk mendistribusikan sertifikat dan kunci autentikasi dengan aman dari server Simple Certificate Enrollment Protocol (SCEP) ke perangkat pengguna, Anda dapat menggunakan Google Cloud Certificate Connector. Untuk mengetahui detailnya, lihat Menggunakan Google Cloud Certificate Connector atau Mengonfigurasi Pendaftaran Sertifikat untuk ChromeOS melalui SCEP untuk panduan lengkap.

Mengelola sertifikat klien di perangkat ChromeOS menggunakan ekstensi Google Certificate Enrollment

Dimulai dengan Chrome versi 37, partner seperti CA, vendor pengelolaan infrastruktur, dan pelanggan dapat menulis ekstensi menggunakan chrome.enterprise.platformKeys API untuk menyediakan sertifikat klien di perangkat ChromeOS. Dengan menggunakan ekstensi, sebagian besar CA, protokol pendaftaran, dan segala bentuk alur kerja berbasis web dapat didukung. Pelanggan yang menggunakan layanan Microsoft Active Directory Certificate dapat menggunakan alat Pendaftaran Perusahaan Google untuk meminta dan menginstal sertifikat bagi perangkat Chrome. Untuk mengetahui informasi selengkapnya, baca artikel Menggunakan ekstensi Certificate Enrollment untuk ChromeOS.

Jika Token pengguna chrome.enterprise.platformKeys API digunakan (ID sama dengan "penguna"), sertifikat klien yang diperoleh menggunakan ekstensi bersifat unik bagi pengguna dan perangkat. Misalnya, pengguna kedua pada perangkat yang sama memiliki sertifikat berbeda. Saat pengguna login ke perangkat lain, sertifikat yang berbeda akan dikeluarkan oleh CA. Karena didukung oleh TPM, sertifikat klien tidak dapat dicuri dan diinstal di perangkat lain, atau dibajak oleh pengguna lain. Saat Anda menghapus pengguna dari perangkat, sertifikat juga akan dihapus.

Mengelola sertifikat klien di perangkat ChromeOS menggunakan ekstensi pihak ketiga

Untuk menyediakan sertifikat klien menggunakan ekstensi pihak ketiga:

  1. Pastikan Anda memiliki layanan Chrome. Lihat Opsi layanan Chrome.

    Konsol Admin memudahkan Anda men-deploy dan mengontrol pengguna, perangkat, serta aplikasi di seluruh perangkat ChromeOS di organisasi.

  2. Dapatkan ekstensi aktivasi menggunakan chrome.enterprise.platformKeys API yang menerapkan alur kerja aktivasi dan terintegrasi dengan CA Anda.

    Buka Chrome Web Store untuk menemukan ekstensi bagi CA yang Anda gunakan. Jika ekstensi belum tersedia untuk CA, Anda dapat membuat ekstensi sendiri atau menyewa konsultan atau vendor untuk membuat ekstensi. Untuk informasi selengkapnya, lihat Panduan Developer.

  3. Instal otomatis ekstensi untuk pengguna Anda. chrome.enterprise.platformKeys API hanya tersedia untuk ekstensi yang telah diinstal otomatis oleh kebijakan. Lihat Menginstal aplikasi dan ekstensi secara otomatis.
  4. Pastikan bahwa jaringan telah dikonfigurasi agar pengguna di jaringan tamu atau aktivasi dapat terhubung ke ekstensi, dan agar jaringan tamu atau aktivasi dapat berkomunikasi dengan CA.

    Umumnya, jaringan tamu atau orientasi tidak memiliki akses istimewa, sehingga jaringan tersebut hanya dapat digunakan untuk menjelajahi ekstranet dan menjangkau CA bagi orientasi sertifikat. Proses aktivasi sertifikat dapat dimulai menggunakan jaringan ini. Anda dapat mengonfigurasi terlebih dulu jaringan tamu atau aktivasi di semua perangkat ChromeOS terkelola. Untuk mengetahui informasi selengkapnya, lihat Mengelola jaringan.

  5. Verifikasi bahwa setiap perangkat ChromeOS telah didaftarkan di domain. Hanya pengguna di domain tempat perangkat didaftarkan yang dapat menggunakan sertifikat perangkat. Lihat Mendaftarkan perangkat ChromeOS.

Informasi tambahan

Sertifikat pengguna dan perangkat

Sebagai administrator, Anda dapat mengonfigurasi alur penyediaan untuk sertifikat perangkat dan pengguna.

Sertifikat pengguna terikat dengan sesi pengguna terkelola. Sertifikat tersebut dapat digunakan untuk autentikasi tingkat pengguna ke situs, jaringan, dan aplikasi pihak ketiga.

Sertifikat perangkat terikat dengan perangkat yang dikelola. Sertifikat tersebut digunakan di banyak platform, seperti:

  • Sesi pengguna yang berafiliasi untuk pengguna yang dikelola oleh domain yang sama dengan perangkat.
  • Layar login Chrome, tempat sertifikat ditampilkan ke jaringan dan sebagai bagian dari alur login SAML pihak ketiga.
    Catatan: Sertifikat perangkat hanya ditampilkan dalam alur login SAML pihak ketiga jika Anda mengonfigurasi kebijakan Sertifikat Klien Single Sign-On.
  • Perangkat dalam mode tamu terkelola dan mode kios, tempat sertifikat ditampilkan ke situs, jaringan, dan aplikasi pihak ketiga.

Sertifikat ini juga dapat digunakan oleh ekstensi, seperti klien VPN yang menggunakan chrome.platformKeys API. Akses ke sertifikat diberikan dengan cara yang berbeda bergantung pada apakah akun dikelola atau tidak. Untuk mengetahui informasi selengkapnya, lihat Mengakses model untuk ekstensi dan sertifikat klien.

Contoh pengalaman pengguna

Dari jaringan tamu atau aktivasi, pengguna mencoba terhubung ke jaringan EAP-TLS (802.1x) untuk pertama kalinya tanpa sertifikat yang valid. Pada tahap ini, jika ekstensi diinstal otomatis, ekstensi tersebut akan memandu pengguna melakukan serangkaian langkah (termasuk autentikasi) sebelum menginstal sertifikat yang dikeluarkan oleh CA. Jika sertifikat diinstal, pengguna dapat memilih jaringan EAP-TLS (802.1x) dan berhasil terhubung.

Catatan: Jika Anda memilih untuk men-deploy sertifikat dengan Google Cloud Certificate Connector, sertifikat tersebut akan di-deploy secara otomatis di latar belakang. Perangkat harus segera tersedia saat mencoba terhubung ke jaringan EAP-TLS (802.1x) jika perangkat dapat terhubung ke server Google di jaringan tamu atau penyediaan.

Jika halaman web internal memerlukan autentikasi TLS/SSL bersama, resource web internal akan menampilkan pesan kepada pengguna bahwa sertifikat diperlukan. Pada tahap ini, pengguna dapat meluncurkan ekstensi yang diinstal otomatis, melakukan serangkaian langkah yang sama seperti yang dijelaskan agar terhubung ke jaringan EAP-TLS, dan memuat ulang browser untuk mengakses halaman web internal.

Mengakses model untuk ekstensi dan aplikasi Android

chrome.platformKeys API memungkinkan ekstensi mengakses sertifikat klien yang dikelola oleh platform. Aplikasi Android menggunakan KeyChain API. Model izin yang mengatur penggunaan API tersebut bergantung pada apakah akun pengguna dikelola atau tidak dikelola. Hal berikut berlaku terlepas dari apakah perangkat didaftarkan atau tidak.

Akun yang tidak dikelola

Jika pengguna login menggunakan akun yang tidak dikelola, seperti akun pribadi, mereka memiliki dan berada dalam kontrol penuh sertifikat yang telah diimpor secara manual ke perangkat. Pada skenario ini, pengguna dapat memberikan izin pada ekstensi tertentu untuk menggunakan chrome.platformKeys guna mengakses sertifikat tertentu. Tidak ada batasan lebih lanjut.

Akun terkelola

Jika pengguna login menggunakan akun terkelola, seperti akun kerjanya, administrator bertanggung jawab memberikan akses ke sertifikat yang ditujukan untuk penggunaan perusahaan. Administrator dapat melakukannya dengan menentukan ekstensi dan aplikasi Android yang diizinkan untuk menggunakan sertifikat klien.

Untuk menetapkan setelan bagi grup pengguna tertentu atau browser Chrome yang terdaftar, masukkan akun pengguna atau browser di grup atau unit organisasi. Hanya akun pengguna yang dapat ditambahkan ke grup. Untuk mengetahui detailnya, lihat Grup dan Tambahkan unit organisasi.

Untuk menentukan ekstensi dan aplikasi Android yang dapat menggunakan sertifikat klien:

  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluAplikasi & ekstensilaluPengguna & browser.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluAplikasi & ekstensilaluPengguna & browser.

  3. (Khusus pengguna) Untuk menerapkan setelan ke grup, lakukan tindakan berikut:
    1. Pilih Grup.
    2. Pilih grup tempat Anda ingin menerapkan setelan.
  4. Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.

  5. (Opsional) Jika Anda belum mengelola ekstensi atau aplikasi Android di konsol Admin:

    1. Arahkan kursor ke Tambahkan , lalu pilih salah satu opsi:

      • Tambahkan dari Chrome Web Store

      • Tambahkan dari Google Play

    2. Cari ekstensi atau aplikasi Android, lalu klik Pilih. Jika diminta, setujui izin aplikasi atas nama organisasi Anda.

  6. Dalam daftar, cari dan klik ekstensi atau aplikasi Android yang ingin Anda kelola.

  7. Di panel yang terbuka di sebelah kanan, pada bagian Pengelolaan sertifikat, aktifkan Izinkan akses ke kunci.
    Catatan: Jika Anda memilih ekstensi dan tidak melihat setelannya, berarti ekstensi tersebut tidak mendukung pengelolaan sertifikat. Jika Anda memilih aplikasi Android dan tidak melihat setelannya, berarti aplikasi tersebut belum disetujui untuk mengakses management API sertifikat. Hubungi kami untuk meminta persetujuan.

  8. Klik Simpan.

Pengguna tidak diminta untuk memberikan izin agar dapat mengakses sertifikat perusahaan, dan hanya sertifikat yang telah diimpor menggunakan chrome.enterprise.platformKeys API yang memenuhi syarat untuk penggunaan perusahaan. Ekstensi tetap dapat meminta pengguna untuk memilih sertifikat jika ekstensi memiliki akses ke beberapa sertifikat. Sertifikat apa pun yang dibuat atau diimpor dengan cara lain, seperti secara manual, tidak tersedia bagi API untuk akun terkelola.

Aplikasi Android terkelola tidak dapat meminta pengguna untuk memilih sertifikat perusahaan melalui KeyChain API. Sistem akan selalu memilih sertifikat perusahaan atas nama pengguna, jika tersedia. KeyChain akan memberi tahu aplikasi Android tentang semua sertifikat yang tersedia di latar belakang, dan aplikasi tersebut dapat memilih untuk menampilkan beberapa dialog kepada pengguna langsung di dalam aplikasi.

Pertimbangan untuk aplikasi Android

  • Sertifikat pengguna didukung untuk Chrome versi 89 atau yang lebih baru.
  • Sertifikat perangkat didukung untuk Chrome versi 93 atau yang lebih baru.
  • Tidak semua aplikasi Android telah disetujui untuk mendapatkan akses. Guna meminta persetujuan untuk aplikasi Android tertentu, hubungi kami.

Topik terkait

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
15864599571371169842
true
Pusat Bantuan Penelusuran
true
true
true
true
true
410864
false
false