Melding

Ben je aan het plannen om weer op kantoor te gaan werken? Bekijk hoe Chrome OS hieraan kan bijdragen.

Clientcertificaten beheren op Chrome OS-apparaten

Voor sommige netwerken en interne webbronnen is verificatie met een digitaal certificaat vereist. Met clientcertificaten kunnen gebruikers op Chrome-apparaten toegang krijgen tot dit type netwerken en bronnen.

Organisaties verifiëren gebruikers op werknemers- en leerlingapparaten met digitale certificaten aan de clientzijde, om de beveiliging van hun netwerken en interne bronnen te verbeteren. Voorbeelden hiervan zijn de verificatie EAP-TLS (802.1x) voor toegang tot LAN's en wederzijdse TLS/SSL-verificatie voor toegang tot interne webbronnen.

Je moet verschillende stappen uitvoeren om een clientcertificaat op een apparaat te zetten, zoals:

  • Veilig een sleutelpaar maken op het apparaat.
  • De openbare sleutel samen met andere identificatie- en verificatiegegevens verzenden naar een certificeringsinstantie (CA) om een certificaat te verkrijgen.
  • Het certificaat importeren naar het apparaat

Verschillende CA's ondersteunen verschillende registratieprotocollen, (zoals SCEP en EST) en organisaties hebben bepaalde werkprocessen, controlemiddelen en regels die moeten worden gecontroleerd voordat een certificaat kan worden toegekend.

Clientcertificaten worden ondersteund door de Chrome Trusted Platform Module (TPM) op ChromeOS-apparaten. Zo blijft de privésleutel op het apparaat.

Clientcertificaten beheren en registreren

Clientcertificaten beheren op ChromeOS-apparaten met de Google Cloud Certificate Connector

Je kunt de Google Cloud Certificate Connector gebruiken om certificaten en verificatiesleutels beveiligd te distribueren van je Simple Certificate Enrollment Protocol-server (SCEP) naar de apparaten van gebruikers. Zie De Google Cloud Certificate Connector gebruiken of Certificaatinschrijving voor ChromeOS instellen via SCEP voor meer informatie.

Clientcertificaten beheren op ChromeOS-apparaten met de extensie Google-certificaat inschrijven

Sinds Chrome-versie 37 kunnen partners, zoals CA's, leveranciers van infrastructuurbeheer en klanten, een extensie schrijven met de chrome.enterprise.platformKeys API om clientcertificaten te registreren op apparaten met Chrome OS. Met een extensie kunnen tal van CA's, inschrijfprotocollen en elk type internetworkflow worden ondersteund. Klanten die Microsoft Active Directory-certificaatservices gebruiken, kunnen de tool Enterprise Enrollment van Google gebruiken om certificaten aan te vragen en te installeren op Chrome-apparaten. Zie De extensie Certificaat inschrijven voor ChromeOS gebruiken voor meer informatie.

Als de gebruikerstoken chrome.enterprise.platformKeys API wordt gebruikt (ID is gelijk aan 'user'), zijn clientcertificaten die worden verkregen met extensies uniek voor een combinatie van gebruiker en apparaat. Een tweede gebruiker op hetzelfde apparaat heeft een ander certificaat. Als de gebruiker inlogt bij een ander apparaat, wordt door de CA een ander certificaat afgegeven. Omdat clientcertificaten worden ondersteund door de TPM, kan het certificaat niet worden gestolen en op een ander apparaat worden geïnstalleerd of door een andere gebruiker worden gehackt. Als je een gebruiker van een apparaat verwijdert, verwijder je ook het certificaat.

Clientcertificaten beheren op ChromeOS-apparaten met een extensie van derden

Ga als volgt te werk om clientcertificaten te registreren met een extensie van derden:

  1. Zorg dat je een Chrome-service gebruikt. Zie Chrome-serviceopties.

    In de Beheerdersconsole kun je eenvoudig gebruikers, apparaten en apps implementeren en beheren voor alle Chrome-apparaten in je organisatie.

  2. Haal een onboarding-extensie op met de chrome.enterprise.platformKeys API. waarmee de onboarding-workflow wordt geïmplementeerd en geïntegreerd met de CA.

    Ga naar de Chrome Web Store om een extensie te zoeken voor de CA die je gebruikt. Als er nog geen extensie is voor de CA kunt u er zelf een maken of een consultant of leverancier inhuren om er een voor u te maken. Bekijk de Ontwikkelaarshandleiding voor meer informatie.

  3. Dwing installatie van de extensie af voor je gebruikers. De chrome.enterprise.platformKeys API is alleen beschikbaar voor extensies die door beleid afgedwongen worden geïnstalleerd. Zie Apps en extensies automatisch installeren.
  4. Controleer of het netwerk zo is geconfigureerd dat gebruikers op het gast- of onboarding-netwerk verbinding kunnen maken en dat het gast- of onboarding-netwerk kan communiceren met de CA.

    In de meeste gevallen heeft een gast- of onboarding-netwerk geen exclusieve toegang en kan het uitsluitend worden gebruikt om te browsen op het extranet en om de CA te bereiken voor het onboarden van certificaten. Het onboardingproces voor certificaten kan met dit netwerk worden gestart. Je kunt het gast- of onboarding-netwerk van tevoren configureren op alle Chrome-apparaten die je beheert. Zie Netwerken beheren voor meer informatie.

  5. Controleer of elk Chrome-apparaat is ingeschreven in het domein. Alleen gebruikers in het domein waar het apparaat is geregistreerd, kunnen het certificaat van het apparaat gebruiken. Zie Chrome OS-apparaten inschrijven.

Meer informatie

Gebruikers- en apparaatcertificaten

Als beheerder kun je het registratieproces voor gebruikers- en apparaatcertificaten instellen.

Gebruikerscertificaten zijn gekoppeld aan de sessie van een beheerde gebruiker. Ze kunnen worden gebruikt om de gebruiker te verifiëren op websites, netwerken en in apps van derden.

Apparaatcertificaten zijn gekoppeld aan een beheerd apparaat. Ze worden op meerdere plekken ingezet, zoals:

  • Gekoppelde gebruikerssessies voor gebruikers die worden beheerd in hetzelfde domein als het apparaat.
  • Het Chrome-inlogscherm, waarbij de certificaten worden gebruikt door netwerken en als onderdeel van de SAML-inlogstroom van derden.
    Opmerking: Apparaatcertificaten worden alleen gebruikt in de SAML-inlogstroom van derden als het beleid voor Single sign-on-clientcertificaten is geconfigureerd.
  • Apparaten in beheerde gastsessies en de kioskmodus, waarbij de certificaten worden gebruikt door websites, netwerken en apps van derden.

Deze certificaten kunnen ook worden gebruikt door extensies, zoals VPN-clients, via de chrome.platformKeys API. Toegang tot de certificaten wordt op verschillende manieren gegeven, afhankelijk van of een account wordt beheerd of niet. Zie Toegangsmodel voor extensies en clientcertificaten voor meer informatie.

Voorbeeld gebruikerservaring

De gebruiker probeert via een gast- of onboarding-netwerk voor de eerste keer verbinding te maken met het netwerk EAP-TLS (802.1x) zonder een geldig certificaat. Als een extensie nu afgedwongen wordt geïnstalleerd, leidt deze de gebruiker door een reeks stappen (inclusief verificatie) voordat het door de CA uitgegeven certificaat wordt geïnstalleerd. Wanneer het certificaat is geïnstalleerd, kan de gebruiker het EAP-TLS-netwerk (802.1x) selecteren en verbinding maken.

Opmerking: Als je ervoor kiest certificaten te implementeren met de Google Cloud Certificate Connector, worden ze op de achtergrond geïmplementeerd. Ze moeten meteen beschikbaar zijn om te proberen verbinding te maken met het EAP-TLS-netwerk (802.1x) als het apparaat verbinding kan maken met Google-servers in een gast- of registratienetwerk.

Als voor een interne webpagina wederzijdse TLS/SSL-verificatie is vereist, wordt door de interne webbron een bericht getoond aan de gebruiker met de melding dat een certificaat vereist is. De gebruiker kan de extensie die je afgedwongen hebt geïnstalleerd daarna starten, vergelijkbare stappen volgen als die om verbinding te maken met een EAP-TLS-netwerk en de browser vernieuwen om toegang te krijgen tot de interne webpagina.

Toegangsmodel voor extensies en Android-apps

Met de chrome.platformKeys API hebben extensies toegang tot clientcertificaten die worden beheerd door het platform. Android-apps gebruiken KeyChain-API's. Het rechtenmodel waarmee het gebruik wordt bepaald, hangt af van of het gebruikersaccount beheerd of niet-beheerd is. Het volgende geldt altijd, of het apparaat is ingeschreven of niet.

Onbeheerd account

Als de gebruiker inlogt met een onbeheerd account, zoals een persoonlijk account, is deze de eigenaar van en heeft deze de volledige controle over de certificaten die handmatig zijn geïmporteerd naar het apparaat. In dit geval kan de gebruiker een specifieke extensie het recht geven chrome.platformKeys te gebruiken om toegang te krijgen tot een bepaald certificaat. Er zijn verder geen beperkingen.

Beheerd account

Als de gebruiker inlogt met een beheerd account, zoals een werkaccount, kan de beheerder toegang geven tot certificaten die zijn bedoeld voor zakelijk gebruik. De beheerder doet dit door extensies en Android-apps op te geven die clientcertificaten mogen gebruiken.

Als je instellingen wilt opgeven voor een specifieke groep gebruikers of ingeschreven Chrome-browsers, plaats je de gebruikersaccounts of browsers in een groep of organisatie-eenheid. Alleen gebruikersaccounts kunnen worden toegevoegd aan groepen. Zie Groepen en Een organisatie-eenheid toevoegen voor meer informatie.

Zo geef je extensies en Android-apps op die clientcertificaten kunnen gebruiken:

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Apparatenand thenChromeand thenApps en extensiesand thenGebruikers en browsers.

    Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu and then Chrome-browserand thenApps en extensiesand thenGebruikers en browsers.

  3. (Alleen gebruikers) Doe het volgende om de instelling toe te passen op een groep:
    1. Selecteer Groepen.
    2. Selecteer de groep waarop je de instelling wilt toepassen.
  4. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheid.
  5. (Optioneel) Doe het volgende als de extensie of Android-app nog niet wordt beheerd in de Beheerdersconsole:

    1. Plaats de cursor op Toevoegen en kies een optie:

      • Toevoegen uit de Chrome Web Store

      • Toevoegen vanuit Google Play

    2. Zoek de extensie of Android-app en klik op Selecteren. Accepteer de app-rechten namens je organisatie als daarom wordt gevraagd.

  6. Zoek in de lijst de extensie of Android-app die je wilt beheren en klik erop.

  7. Ga in het venster aan de rechterkant naar Certificaatbeheer en zet Toegang tot sleutels toestaan aan.
    Opmerking: Als je een extensie selecteert en de instelling niet ziet, wordt certificaatbeheer niet ondersteund door de extensie. Als je een Android-app selecteert en de instelling niet ziet, is de app nog niet goedgekeurd voor toegang tot certificaatbeheer-API's. Neem contact met ons op om goedkeuring te vragen.

  8. Klik op Opslaan.

De gebruiker wordt niet om toestemming gevraagd voor toegang tot zakelijke certificaten. Alleen certificaten die zijn geïmporteerd met de chrome.enterprise.platformKeys API kunnen zakelijk worden gebruikt. Een extensie kan een gebruiker nog steeds vragen een certificaat te selecteren als de extensie toegang heeft tot meerdere certificaten. Een certificaat dat op een andere manier is gemaakt of geïmporteerd, zoals handmatig, is niet beschikbaar voor de API in een beheerd account.

Beheerde Android-apps kunnen gebruikers niet vragen een zakelijk certificaat te selecteren via KeyChain-API's. Het systeem kiest altijd een zakelijk certificaat namens de gebruiker, als er een beschikbaar is. De KeyChain stelt Android-apps op de hoogtevan alle certificaten die beschikbaar zijn op de achtergrond. De apps kunnen ervoor kiezen bepaalde dialoogvensters rechtstreeks in de app weer te geven aan gebruikers.

Overwegingen voor Android-apps

  • Gebruikerscertificaten worden ondersteund voor Chrome-versie 89 of hoger.
  • Apparaatcertificaten worden ondersteund voor Chrome-versie 93 of hoger.
  • Toegang is niet goedgekeurd voor alle Android-apps. Als u goedkeuring wilt aanvragen voor een bepaalde Android-app, neemt u contact met ons op.

Gerelateerde onderwerpen

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu
4607244319840881318
true
Zoeken in het Helpcentrum
true
true
true
true
true
410864
false
false