Bildirim

Ofise dönüş stratejinizi mi planlıyorsunuz? Chrome OS'in nasıl yardımcı olabileceğini öğrenin.

Chrome OS cihazlarda istemci sertifikalarını yönetme

 Bazı ağlar ve dahili web kaynakları, kullanıcıların bir dijital sertifikayla kendi kimliklerini doğrulamalarını gerektirir. İstemci sertifikaları, ChromeOS cihazlardaki kullanıcıların bu tür ağlara ve kaynaklara erişmelerine olanak tanır.

Ağların ve dahili kaynakların güvenliğini geliştirmek için kuruluşlar, istemci tarafı dijital sertifikaları kullanarak çalışan ve öğrenci cihazlarında kullanıcıların kimliklerini doğrulamaktadır. Örneğin, EAP-TLS (802.1x) kimlik doğrulaması LAN'lara erişime izin verirken, karşılıklı TLS/SSL kimlik doğrulaması dahili web kaynaklarına erişime izin verir.

İstemci sertifikası, cihaza birkaç adımda yerleştirilir. Bu adımlardan bazıları şunlardır:

  • Cihazda güvenli şekilde bir anahtar çifti oluşturma.
  • Ortak anahtarla birlikte diğer kimlik ve kimlik doğrulama bilgilerini bir sertifika yetkilisine (CA) göndererek sertifika alma.
  • Sertifikayı cihaza aktarma.

Farklı CA'lar farklı kayıt protokollerini (SCEP ve EST gibi) destekler. Kuruluşların, bir sertifika verilmeden önce kontrol edilmesi gereken belirli iş akışları, denetimleri ve kuralları vardır.

İstemci sertifikaları, ChromeOS cihazlarda Chrome Güvenilir Platform Modülü (TPM) tarafından desteklenir. Bu işlem, özel anahtarın her zaman cihazda kalmasını sağlar.

İstemci sertifikalarını yönetme ve sertifikaların temel hazırlığını yapma

Google Cloud Sertifika Bağlayıcısı'nı kullanarak ChromeOS cihazlardaki istemci sertifikalarını yönetme

Sertifikaları ve kimlik doğrulama anahtarlarını Basit Sertifika Kayıt Protokolü (SCEP) sunucunuzdan kullanıcıların cihazlarına güvenli bir şekilde dağıtmak için Google Cloud Sertifika Bağlayıcısı'nı kullanabilirsiniz. Ayrıntılı bilgi için Google Cloud Sertifika Bağlayıcısı'nı kullanma makalesini veya ChromeOS için Sertifika Kaydını SCEP aracılığıyla yapılandırma başlıklı kapsamlı kılavuzu inceleyin.

Google Sertifika Kaydı uzantısını kullanarak ChromeOS cihazlardaki istemci sertifikalarını yönetme

Chrome 37 sürümüyle birlikte CA'lar, altyapı yönetimi tedarikçi firmaları ve müşteriler gibi iş ortakları, ChromeOS cihazlarda istemci sertifikalarının temel hazırlığını yapmak için chrome.enterprise.platformKeys API'sini kullanarak bir uzantı yazabilir. Bir uzantı kullanılarak çok çeşitli CA'lar, kayıt protokolleri ve web tabanlı herhangi bir iş akışı biçimi desteklenebilir. Microsoft Active Directory Sertifika hizmetlerini kullanan müşteriler, Chrome cihazlar için sertifika isteğinde bulunmak ve sertifikaları yüklemek üzere Google'ın Kurumsal Kayıt aracını kullanabilir. Daha fazla bilgiyi ChromeOS için Sertifika Kaydı uzantısını kullanma başlıklı makalede bulabilirsiniz.

chrome.enterprise.platformKeys API'si kullanıcı Kodu kullanıldığında (kimlik "user" değerine eşit olur), uzantılar kullanılarak edinilen istemci sertifikaları, kullanıcıya ve cihaza benzersiz olur. Örneğin, aynı cihazdaki ikinci bir kullanıcının farklı bir sertifikası olur. Kullanıcı başka bir cihazda oturum açtığında CA tarafından farklı bir sertifika yayınlanır. İstemci sertifikaları TPM tarafından desteklendiğinden, sertifika çalınıp başka bir cihaza yüklenemez veya başka bir kullanıcı tarafından ele geçirilemez. Bir kullanıcıyı bir cihazdan kaldırdığınızda, sertifika da kaldırılır.

Üçüncü taraf bir uzantı kullanarak ChromeOS cihazlarda istemci sertifikalarını yönetme

Üçüncü taraf bir uzantı kullanarak istemci sertifikalarının temel hazırlığını yapmak için:

  1. Bir Chrome hizmetiniz olduğunu doğrulayın. Chrome hizmeti seçenekleri başlıklı makaleyi inceleyin.

    Yönetici konsolunuz, kuruluşunuzdaki tüm ChromeOS cihazlarda kullanıcıları, cihazları ve uygulamaları dağıtmanızı ve kontrol etmenizi kolaylaştırır.

  2. İlk katılım iş akışını uygulayan ve CA'nız ile entegre eden chrome.enterprise.platformKeys API'sini kullanarak bir ilk katılım uzantısı edinin.

    Chrome Web Mağazası'na giderek kullandığınız CA'ya uygun bir uzantı bulun. Kullandığınız CA için mevcut bir uzantı yoksa kendiniz bir uzantı oluşturabilir veya uzantı oluşturması için bir danışman ya da tedarikçi firma ile anlaşabilirsiniz. Daha fazla bilgi edinmek için Geliştirici Kılavuzu'nu inceleyin.

  3. Uzantıyı kullanıcılarınız için zorunlu olarak yükleyin. chrome.enterprise.platformKeys API'sini yalnızca politika tarafından zorunlu olarak yüklenen uzantılar kullanabilir.  Uygulama ve uzantıları otomatik yükleme başlıklı makaleyi inceleyin.
  4. Ağın, misafir veya ilk katılım ağındaki kullanıcıların bağlanabileceği şekilde yapılandırıldığını, bu kullanıcıların misafir veya ilk katılım ağının CA'sıyla iletişim kurabildiğini doğrulayın.

    Çoğu durumda, bir misafir veya ilk katılım ağının ayrıcalıklı erişimi olmadığından, bunlar yalnızca extranet'e göz atmak ve ilk katılım sertifikası için CA'ya erişmek üzere kullanılabilir. Yeni katılıma sertifika sağlama süreci, bu ağ kullanılarak başlatılabilir. Misafir veya yeni katılım ağını, yönettiğiniz tüm ChromeOS cihazlarda önceden yapılandırabilirsiniz. Daha fazla bilgi edinmek için Ağları yönetme başlıklı makaleyi inceleyin.

  5. Her bir ChromeOS cihazın, alana kaydedildiğini doğrulayın. Yalnızca cihazın kaydedildiği alandaki kullanıcılar cihaz sertifikasını kullanabilir. ChromeOS cihazları kaydettirme başlıklı makaleyi inceleyin.

Ek bilgi

Kullanıcı ve cihaz sertifikaları

Yönetici olarak, kullanıcı ve cihaz sertifikaları için temel hazırlık akışını yapılandırabilirsiniz.

Kullanıcı sertifikaları, yönetilen bir kullanıcının oturumuna bağlıdır. Kullanıcı düzeyinde kimlik doğrulaması için web siteleri, ağlar ve üçüncü taraf uygulamalarıyla ilişkili olarak kullanılabilirler.

Cihaz sertifikaları yönetilen bir cihaza bağlıdır. Aşağıdaki gibi birden çok yerde kullanılırlar:

  • Cihazla aynı alan tarafından yönetilen kullanıcılar için ilişkili kullanıcı oturumları.
  • Sertifikaların ağlarda ve üçüncü taraf SAML oturum açma akışının bir parçası olarak kullanıldığı Chrome oturum açma ekranları.
    Not: Tek Oturum Açma İstemci Sertifikaları politikasını yapılandırdıysanız cihaz sertifikaları yalnızca üçüncü taraf SAML oturum açma akışında kullanılır.
  • Sertifikaların web siteleri, ağlar ve üçüncü taraf uygulamalarında kullanıldığı yönetilen misafir oturumu ve kiosk modundaki cihazlar.

chrome.platformKeys API'sini kullanarak VPN istemcileri gibi uzantılar da bu sertifikalardan yararlanabilir. Hesabın yönetilen bir hesap olup olmamasına bağlı olarak, sertifikalara yönelik erişim farklı şekillerde verilebilir. Daha fazla bilgi için Uzantılar ve istemci sertifikaları için erişim modeli başlıklı makaleyi inceleyin.

Örnek kullanıcı deneyimi

Kullanıcı, bir misafir veya ilk katılım ağından EAP-TLS (802.1x) ağına geçerli bir sertifika olmadan ilk kez bağlanmayı dener. Bu noktada, zorunlu yüklenmiş bir uzantı, CA tarafından verilen sertifikayı yüklemeden önce çeşitli adımlarda (kimlik doğrulama dahil) size yol gösterir. Sertifika yüklendiğinde, kullanıcı EAP-TLS (802.1x) ağını seçebilir ve başarıyla bağlanabilir.

Not: Sertifikaları Google Cloud Sertifika Bağlayıcısı ile dağıtmayı tercih ederseniz bu sertifikalar arka planda sessiz bir şekilde dağıtılır. Bu cihazlar, misafir veya temel hazırlık ağındaki Google sunucularına bağlanabiliyorlarsa EAP-TLS (802.1x) ağına bağlanmaya çalışıldığı anda kullanılabilmelidir.

Dahili bir web sayfası karşılıklı TLS/SSL kimlik doğrulaması kullanımını zorunlu tuttuğunda, dahili web kaynağı, kullanıcıya bir sertifikanın gerektiğini belirten bir ileti görüntüler. Bu noktada dahili web sayfasına erişmek için kullanıcı, zorunlu olarak yüklediğiniz uzantıyı başlatabilir, EAP-TLS ağına bağlanırken açıklanan adımlara benzer adımları uygulayabilir ve tarayıcıyı yenileyebilir.

Uzantılar ve Android uygulamaları için erişim modeli

chrome.platformKeys API, uzantıların platform tarafından yönetilen istemci sertifikalarına erişebilmesini sağlar. Android uygulamaları KeyChain API'lerini kullanır. Söz konusu uzantı ve uygulamaların kullanım biçimini belirleyen izin modeli, kullanıcı hesabının yönetilen bir hesap olup olmadığına bağlı olarak farklılık gösterir. Aşağıdaki bilgiler, cihazın kayıtlı olup olmadığına bakılmadan geçerli olacaktır.

Yönetilmeyen hesap

Kullanıcı, kendi kişisel hesabı gibi yönetilmeyen bir hesapla oturum açtığında, cihaza manuel olarak aktarılmış olan sertifikaların sahibi yine bu kullanıcı olur. Ayrıca kullanıcı, söz konusu sertifikaların tam kontrolü altında olacaktır. Bu senaryoda, kullanıcı belirli bir uzantıya, uzantının belirli bir sertifikaya erişmesi için chrome.platformKeys'i kullanma izni verebilir. Başka herhangi bir kısıtlama yoktur.

Yönetilen hesap

Kullanıcı, kendi iş hesabı gibi yönetilen bir hesapla oturum açtığında kurumsal kullanıma yönelik sertifikalara erişim verme yetkisi yöneticide olacaktır. Yönetici, izin verme işlemini istemci sertifikalarını kullanma iznine sahip olan uzantıları ve Android uygulamalarını belirterek gerçekleştirir.

Belirli bir kullanıcı veya kayıtlı Chrome tarayıcı grubunun ayarlarını yapmak için ilgili kullanıcı hesaplarını ya da tarayıcıları bir gruba ya da kuruluş birimine yerleştirin. Gruplara yalnızca kullanıcı hesapları eklenebilir. Ayrıntılı bilgi için Gruplar ve Kuruluş birimi ekleme başlıklı makaleleri inceleyin.

İstemci sertifikalarını kullanabilecek uzantıları ve Android uygulamalarını belirtmek için:

  1. Google Yönetici konsolu hesabınızda oturum açın.

    Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

  2. Yönetici Konsolu'nda Menü ardından CihazlarardındanChromeardındanUygulamalar ve uzantılarardındanKullanıcılar ve tarayıcılar'a gidin.

    Chrome Tarayıcı Bulut Yönetimi'ne kaydolduysanız Menü ardından Chrome TarayıcıardındanUygulamalar ve uzantılarardındanKullanıcılar ve tarayıcılar'a gidin.

  3. (Yalnızca kullanıcılar) Ayarı bir gruba uygulamak için şunları yapın:
    1. Gruplar'ı seçin.
    2. Ayarı uygulamak istediğiniz grubu seçin.
  4. Ayarı herkese uygulamak için en üst düzey kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.

  5. (İsteğe bağlı) Yönetici konsolunuzda uzantıyı veya Android uygulamasını zaten yönetmiyorsanız:

    1. Fare imlecini Ekle'nin üzerine getirin ve bir seçenek belirleyin:

      • Chrome Web Mağazası'ndan ekle

      • Google Play'den ekle

    2. Uzantıyı veya Android uygulamasını bulun ve Seç'i tıklayın. İstenirse kuruluşunuz adına uygulama izinlerini kabul edin.

  6. Yönetmek istediğiniz uzantıyı veya Android uygulamasını listede bulup tıklayın.

  7. Sağda açılan paneldeki Sertifika yönetimi altından Anahtarlara erişime izin ver seçeneğini etkinleştirin.
    Not: Bir uzantı seçtiğinizde ayarı görmüyorsanız ilgili uzantı, sertifika yönetimini desteklemiyordur. Bir Android uygulaması seçtiğinizde bu ayarı görmüyorsanız söz konusu uygulama henüz sertifika yönetimi API'lerine erişmek için onaylanmamıştır. Onay istemek için bize ulaşın.

  8. Kaydet'i tıklayın.

Kullanıcıdan kurumsal sertifikalara erişim izni vermesi istenmez. Yalnızca chrome.enterprise.platformKeys API kullanılarak içe aktarılan sertifikalar kurumsal kullanıma uygun olacaktır. Birden çok sertifikaya erişimi olan uzantılar, kullanıcıdan yine bir sertifika seçmesini isteyebilir. Başka yollarla, örneğin manuel olarak oluşturulan veya içe aktarılan sertifikalar, yönetilen bir hesap söz konusuysa API tarafından kullanılamaz.

Yönetilen Android uygulamaları, KeyChain API'leri üzerinden kullanıcılardan kurumsal sertifika seçmelerini isteyemez. Sertifika varsa sistem her zaman kullanıcı adına bir kurumsal sertifika seçer. KeyChain, Android uygulamalarını arka planda mevcut olan tüm sertifikalar konusunda bilgilendirir ve uygulamalar, kullanıcılara doğrudan uygulamanın içinde iletişim kutuları göstermeyi seçebilir.

Android uygulamalarıyla ilgili dikkat edilmesi gereken noktalar

  • Kullanıcı sertifikaları, Chrome 89 veya sonraki sürümler için desteklenir.
  • Cihaz sertifikaları, Chrome 93 veya sonraki sürümler için desteklenir.
  • Tüm Android uygulamaları erişim için onaylanmamıştır. Belirli bir Android uygulaması için onay isteğinde bulunmak üzere bize ulaşın.

İlgili konular

Bu size yardımcı oldu mu?

Bunu nasıl iyileştirebiliriz?
true
Arama
Aramayı temizle
Aramayı kapat
Ana menü
1530568269703276121
true
Yardım Merkezinde Arayın
true
true
true
true
true
410864
false
false