Уведомление

Готовитесь к возвращению сотрудников в офис? Узнайте, как Chrome OS поможет вам организовать эффективную работу.

Как управлять сертификатами клиента на устройствах ChromeOS

Для доступа к некоторым сетям и внутренним веб-ресурсам требуется пройти аутентификацию с помощью цифрового сертификата, получить который может любой пользователь ChromeOS.

Организации могут применять эти сертификаты, чтобы выполнять аутентификацию пользователей на устройствах, предназначенных для работы и учебы. Например, для доступа к локальным сетям применяется протокол EAP-TLS (802.1x), а для посещения внутренних веб-ресурсов – взаимная аутентификация с использованием протокола TLS/SSL. Это повышает общий уровень безопасности систем.

Чтобы добавить на устройство сертификат клиента, необходимо выполнить несколько действий, включая следующие:

  • сгенерировать на устройстве пару ключей;
  • отправить открытый ключ и другие сведения для идентификации и аутентификации в центр сертификации;
  • импортировать полученный сертификат на устройство.

Центры сертификации поддерживают разные протоколы регистрации (например, SCEP и EST), а у организаций есть собственные рабочие процессы, проверки и правила. Их необходимо узнать до выдачи сертификата.

Сертификаты клиента размещаются в доверенном платформенном модуле Chrome (TPM) на устройствах с ChromeOS. Это гарантирует сохранность закрытого ключа.

Как управлять сертификатами клиента и предоставлять их

Как управлять сертификатами клиента на устройствах с ChromeOS с помощью Google Cloud Certificate Connector

Чтобы распространять сертификаты и ключи аутентификации с сервера Simple Certificate Enrollment Protocol (SCEP) на устройства пользователей, вы можете использовать службу Google Cloud Certificate Connector. Подробные инструкции приведены в статьях Как использовать Google Cloud Certificate Connector и Как настроить регистрацию сертификатов для ChromeOS через SCEP.

Как управлять сертификатами клиента на устройствах с ChromeOS с помощью расширения "Регистрация сертификата"

С помощью chrome.enterprise.platformKeys API центры сертификации, поставщики средств управления инфраструктурой и сами клиенты могут разработать расширение для установки сертификатов клиента на устройства с ChromeOS. Для этого требуется ChromeOS 37 или более поздней версии. Расширение позволяет обеспечить поддержку различных центров сертификации, протоколов регистрации и любых других видов веб-процессов. Клиенты, которые пользуются службами сертификатов Microsoft Active Directory, могут запрашивать и устанавливать сертификаты на устройства Chrome с помощью инструмента Google для регистрации корпоративных устройств. Подробнее о том, как использовать расширение "Регистрация сертификата для ChromeOS"

Chrome.enterprise.platformKeys API присваивает пользователю индивидуальный токен ("пользователь" указывается в качестве идентификатора), который позволяет выдать каждой паре "пользователь – устройство" уникальный сертификат клиента через расширение. Если у устройства несколько пользователей, сертификат получит каждый из них. Когда пользователь выполняет вход на другом устройстве, центр сертификации выдает новый сертификат. Он хранится в доверенном платформенном модуле, поэтому злоумышленники не могут украсть его или установить на другое устройство. При удалении аккаунта пользователя с устройства также удаляется сертификат.

Как управлять сертификатами клиента на устройствах с ChromeOS с помощью стороннего расширения

Чтобы предоставлять сертификаты клиента с помощью стороннего расширения, выполните следующие действия:

  1. Убедитесь, что вы пользуетесь сервисом Chrome. Подробнее о типах сервисов Chrome

    С помощью консоли администратора можно легко управлять аккаунтами пользователей, приложениями и устройствами ChromeOS в организации.

  2. Найдите совместимое с вашим центром сертификации расширение, которое использует chrome.enterprise.platformKeys API и соответствует внутренним веб-процессам организации.

    В интернет-магазине Chrome найдите расширение для используемого центра сертификации. Если такого расширения ещё нет, вы можете создать его самостоятельно либо воспользоваться услугами консультанта или поставщика. Подробнее…

  3. Принудительно установите расширение для пользователей. В противном случае chrome.enterprise.platformKeys API будет недоступен. Подробнее об автоматической установке приложений и расширений
  4. Убедитесь, что сеть настроена, а пользователи гостевой или внутренней сети могут подключиться к ней и установить соединение с центром сертификации.

    Чаще всего в гостевых или внутренних сетях нет привилегированного доступа. Их можно использовать, только чтобы работать в экстранете и подключаться к центру сертификации для получения сертификата и начала его регистрации. Подробнее о том, как настроить гостевую или внутреннюю сеть на всех управляемых устройствах ChromeOS

  5. Убедитесь, что все устройства с ChromeOS зарегистрированы в домене. Только пользователи в указанном домене имеют доступ к сертификатам таких устройств. Подробнее о регистрации устройств с ChromeOS

Дополнительная информация

Сертификаты пользователя и устройства

Администратор может настроить инициализацию сертификатов пользователя и устройства.

Сертификаты пользователя привязаны к сеансу управляемого пользователя и могут применяться для его аутентификации на сайтах, в сетях и сторонних приложениях.

Сертификаты устройства привязаны к управляемому устройству. Ниже перечислены примеры, когда они используются.

  • Во время сеансов аффилированных пользователей, если они принадлежат к тому же домену, что и устройство.
  • На экране входа в Chrome, когда сертификаты предоставляются для аутентификации в сетях или как один из этапов аутентификации на базе SAML через сторонние сервисы.
    Примечание. Сертификаты устройства предоставляются при аутентификации на базе SAML через сторонние сервисы, если вы настроили правило "Сертификаты клиента для системы единого входа".
  • На устройствах в режиме управляемого гостевого сеанса и режиме киоска сертификаты предоставляются сайтам, сетям и сторонним приложениям.

С помощью chrome.platformKeys API расширение, например клиент VPN, может использовать такой сертификат. Способ настройки доступа к нему зависит от того, является ли аккаунт управляемым. Подробнее том, как настроить доступ к расширениям и сертификатам клиента

Пример использования сертификата

Пользователь гостевой или внутренней сети без действительного сертификата впервые подключается к сети с протоколом EAP-TLS (802.1x). В этот момент, если расширение было установлено принудительно, оно сообщает пользователю, какие действия (включая аутентификацию) ему нужно выполнить перед установкой сертификата, выданного центром сертификации. После установки пользователь может выбрать сеть с протоколом EAP-TLS (802.1x) и подключиться к ней.

Примечание. Если вы решите использовать службу Google Cloud Certificate Connector, сертификаты будут развернуты автоматически в фоновом режиме. Если устройство сможет подключиться к серверам Google в гостевой или предназначенной для инициализации сети, сертификаты будут доступны сразу при подключении к сети с протоколом EAP-TLS (802.1x).

Когда внутренняя веб-страница требует взаимной аутентификации с использованием протокола TLS/SSL, появляется сообщение о том, что для доступа к ресурсу нужен сертификат. В этот момент пользователь запускает расширение, выполняет действия, аналогичные тем, которые применялись для подключения к сети с протоколом EAP-TLS, и обновляет страницу. Теперь у него есть доступ к внутреннему ресурсу.

Модель доступа для расширений и приложений Android

Расширения могут получать доступ к сертификатам клиента с помощью chrome.platformKeys API. Приложения Android используют для этого KeyChain API. Ниже описаны модели разрешений, которые можно использовать для разных типов аккаунтов. Эта информация действительна вне зависимости от того, зарегистрировано ли устройство.

Обычный аккаунт

Войдя в аккаунт, который не управляется посторонними (например, личный), сотрудник полностью контролирует сертификаты, импортированные на устройство. Пользователь может свободно предоставить определенному расширению право использовать chrome.platformKeys для доступа к сертификату без дополнительных ограничений.

Управляемый аккаунт

Предоставить доступ к корпоративным сертификатам для управляемых аккаунтов (например, рабочих) может только администратор. Для этого он указывает определенные расширения и приложения Android.

Чтобы задать настройки для определенных пользователей или зарегистрированных браузеров Chrome, поместите аккаунты пользователей или браузеры в отдельную группу или организационное подразделение. В группы можно добавить только аккаунты пользователей. Подробнее о группах и о том, как создать организационное подразделение

Чтобы задать расширения и приложения Android, которые могут использовать сертификаты клиента:

  1. Войдите в консоль администратора Google.

    Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

  2. В консоли администратора нажмите на значок меню а затем Устройстваа затемChromeа затемПриложения и расширенияа затемПользователи и браузеры.

    Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню а затем Браузер Chromeа затемПриложения и расширенияа затемПользователи и браузеры.

  3. Чтобы применить настройку к группе, выполните следующие действия:
    1. Выберите Группы.
    2. Найдите нужную группу.
  4. Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.

  5. Если вы ещё не управляете расширением или приложением Android в консоли администратора:

    1. Наведите указатель на значок "Добавить" и выберите нужный вариант:

      • Добавить из интернет-магазина Chrome.

      • Добавить из Google Play.

    2. Найдите расширение или приложение Android и нажмите Выбрать. Если появится запрос, подтвердите разрешения для приложения от имени организации.

  6. В списке найдите расширение или приложение Android, которым вы хотите управлять, и нажмите на него.

  7. На панели справа в разделе Управление сертификатами включите параметр Разрешить доступ к ключам.
    Примечание. Если вы выбрали расширение и не видите этот параметр, значит расширение не поддерживает управление сертификатами. Если вы выбрали приложение Android и не видите этот параметр, это значит, что приложение ещё не получило разрешение на доступ к API управления сертификатами. Чтобы запросить разрешение, свяжитесь с нами.

  8. Нажмите Сохранить.

Пользователь не предоставляет разрешение на доступ к сертификатам организации, и допустимыми для корпоративного использования являются только те сертификаты, которые были импортированы с помощью chrome.enterprise.platformKeys API. Однако пользователю требуется выбрать нужный сертификат, если у расширения есть доступ к нескольким вариантам. Сертификаты, которые были сгенерированы или импортированы другими способами, недоступны для API в управляемом аккаунте.

Управляемые приложения Android не могут отправить пользователям запрос на выбор сертификата через KeyChain API. Система всегда выбирает такой сертификат (если он есть) от имени пользователя. KeyChain API уведомляет приложения Android обо всех доступных сертификатах, и приложения сами определяют, какое диалоговое окно показать пользователю.

Примечания о приложениях Android

  • Сертификаты пользователей поддерживаются в браузере Chrome 89 и более поздней версии.
  • Сертификаты устройств поддерживаются в браузере Chrome 93 и более поздней версии.
  • Не все приложения Android получили разрешение на доступ. Чтобы запросить разрешение для определенного приложения Android, свяжитесь с нами.

Статьи по теме

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
8353397728279840064
true
Поиск по Справочному центру
true
true
true
true
true
410864
false
false