有些網路和內部網路資源會要求使用者使用數位憑證驗證自己的身分。用戶端憑證可讓使用者在 ChromeOS 裝置上存取這些類型的網路和資源。
為了提升網路和內部資源的安全性,許多機構會使用用戶端數位憑證,驗證員工與學生裝置的使用者,例如允許存取 LAN 的 EAP-TLS (802.1x) 驗證,以及允許存取內部網路資源的 TLS/SSL 共同驗證。
在裝置上設定用戶端憑證時,需執行以下步驟:
- 在裝置上產生安全的金鑰組。
- 將公開金鑰和其他識別與驗證資訊傳送至憑證授權單位 (CA) 以便取得憑證。
- 將取得的憑證匯入裝置。
各個憑證授權單位支援的註冊通訊協定 (例如 SCEP 和 EST) 有所不同,且每個機構都有特定的工作流程、檢查項目和規則,必須在授予憑證前完成檢查。
ChromeOS 裝置上的用戶端憑證會受 Chrome 信任平台模組 (TPM) 支援,確保私密金鑰絕對不會從裝置外洩。
管理及佈建用戶端憑證
您可以使用 Google Cloud Certificate Connector,將憑證和驗證金鑰從您的簡易憑證註冊通訊協定 (SCEP) 伺服器安全地發布到使用者的裝置。詳情請參閱「使用 Google Cloud Certificate Connector」或「透過 SCEP 設定 ChromeOS 憑證註冊」。
從 Chrome 37 版開始,我們的合作夥伴 (例如憑證授權單位、基礎架構管理供應商,以及客戶) 都可以使用 chrome.enterprise.platformKeys API 撰寫擴充功能,藉此在 ChromeOS 裝置上佈建用戶端憑證。使用擴充功能,即可支援多個憑證授權單位、各種註冊通訊協定和任何形式的網路工作流程。使用 Microsoft Active Directory 憑證服務的客戶可以利用 Google 的企業註冊工具要求及安裝 Chrome 裝置憑證。詳情請參閱「使用『ChromeOS 憑證註冊』擴充功能」。
使用 chrome.enterprise.platformKeys API 使用者權杖 (ID 為「user」) 時,每個透過擴充功能取得的用戶端憑證都專屬於特定使用者與裝置的組合。舉例來說,在同一台裝置上,第二位使用者會擁有不同的憑證。使用者登入其他裝置時,憑證授權單位會核發不同的憑證。由於用戶端憑證受 TPM 支援,憑證不會遭竊,也不會被安裝在另一個裝置上,或者遭到另一位使用者入侵。當您將使用者從裝置中移除時,使用者的憑證也會隨之移除。
如要使用第三方擴充功能佈建用戶端憑證,請依下列指示操作:
- 確認您擁有 Chrome 服務。請參閱「Chrome 服務選項」。
您可以透過管理控制台輕鬆為機構中的所有 ChromeOS 裝置部署使用者、裝置和應用程式,並控管這些設定。
- 使用 chrome.enterprise.platformKeys API 取得登入擴充功能,以執行登入工作流程,並與您的憑證授權單位整合。
前往 Chrome 線上應用程式商店,找出您的憑證授權單位專用的擴充功能。如果您使用的憑證授權單位尚未提供擴充功能,您可以自行製作擴充功能,或者購買顧問或供應商服務,由對方為您製作擴充功能。詳情請參閱開發人員指南。
- 為使用者強制安裝擴充功能。chrome.enterprise.platformKeys API 僅適用於依政策強制安裝的擴充功能。請參閱「自動安裝應用程式和擴充功能」。
- 確認網路已設定完成,訪客或登入網路的使用者皆可連線,且訪客或登入網路可與憑證授權單位通訊。
在大多數情況下,訪客或登入網路並不具備存取權限,因此只能用來瀏覽外部網路,及連線至憑證授權單位以進行憑證登入。憑證登入程序可透過這個網路進行。您可以在您管理的所有 ChromeOS 裝置中預先設定訪客或登入網路。詳情請參閱「為受管理的裝置設定網路 (Wi-Fi、乙太網路、VPN、行動網路)」。
- 確認網域中所有的 ChromeOS 裝置都已完成註冊。只有裝置所註冊網域內的使用者才能使用裝置憑證。請參閱「註冊 ChromeOS 裝置」。
其他資訊
管理員可設定使用者和裝置憑證的佈建流程。
使用者憑證:與受管理的使用者工作階段建立繫結,可用於網站、網路與第三方應用程式的使用者層級驗證。
裝置憑證:與受管理的裝置建立繫結,將於以下多個位置公開顯示,例如:
- 針對受裝置所屬網域管理的使用者相關的工作階段。
- Chrome 登入畫面,憑證在此處會顯示於網路,或成為第三方 SAML 登入流程的一部分。
注意:如果您設定了單一登入用戶端憑證政策,則裝置憑證只會顯示於第三方 SAML 登入流程。 - 受管理訪客工作階段與 Kiosk 模式中的裝置,其中憑證會顯示於網站、網路與第三方應用程式。
擴充功能 (例如 VPN 用戶端) 也可以利用 chrome.platformKeys API 使用這些憑證。授予憑證存取權的方式,視帳戶是否為受管理帳戶而異。如需瞭解詳情,請參閱「擴充功能和用戶端憑證的存取模型」。
使用者首次嘗試在不具備有效憑證的情況下,從訪客或登入網路連線至 EAP-TLS (802.1x) 網路。此時,如果您強制安裝擴充功能,擴充功能會先引導使用者進行一系列步驟 (包含驗證),然後才安裝憑證授權單位所核發的憑證。憑證安裝完成之後,使用者只要選取 EAP-TLS (802.1x) 網路即可成功連線。
注意:如果您選擇使用 Google Cloud Certificate Connector 部署憑證,部署作業會在背景中執行,不會造成任何干擾。當使用者嘗試連線至 EAP-TLS (802.1x) 網路時,如果裝置已可連線至訪客或佈建網路上的 Google 伺服器,則使用者應可立即取得憑證。
內部網頁要求 TLS/SSL 共同驗證時,內部網路資源會向使用者顯示需要憑證的訊息。這時,使用者可以啟動您強制安裝的擴充功能,進行一系列步驟 (與連線至 EAP-TLS 網路相似),然後重新整理瀏覽器即可成功存取內部網頁。
chrome.platformKeys API 可讓擴充功能存取平台管理的用戶端憑證。Android 應用程式則使用 KeyChain API。權限模型會依據使用者帳戶是否受管理來規範這些用戶端憑證的使用。不論裝置是否已註冊,均適用下列資訊。
未受管理的帳戶當使用者使用未受管理的帳戶 (例如使用者的個人帳戶) 登入,即可擁有已手動匯入裝置的憑證,而且完全由該憑證控制。在這種情況下,使用者可以授權給特定擴充功能,允許該擴充功能使用 chrome.platformKeys 存取特定憑證。此外則沒有其他限制。
受管理的帳戶當使用者使用受管理的帳戶 (例如公司帳戶) 登入時,會由系統管理員負責授予企業專用憑證的存取權,方法是指定可以使用用戶端憑證的擴充功能和 Android 應用程式。
如要為一組使用者或已註冊的 Chrome 瀏覽器進行設定,請將使用者帳戶或瀏覽器加入同一個群組或機構單位。不過只有使用者帳戶才能加入群組。詳情請參閱「網路論壇」和「新增機構單位」。
如要指定可以使用用戶端憑證的擴充功能和 Android 應用程式,請執行下列步驟:
-
-
在管理控制台中,依序點選「選單」圖示
「裝置」
「Chrome」
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示
「Chrome 瀏覽器」
- (僅限使用者) 如果要為群組套用設定,請依下列步驟操作:
- 選取「群組」。
- 選取您要套用設定的群組。
- 如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
-
(選用) 如果您尚未在管理控制台中管理擴充功能或 Android 應用程式,請執行下列步驟:
-
將滑鼠遊標移至「新增」圖示
,然後選擇下列任一做法:
-
從 Chrome 線上應用程式商店新增
-
從 Google Play 新增
-
-
找到所需的擴充功能或 Android 應用程式,然後按一下 [選取]。如果出現提示,請代表貴機構接受應用程式權限要求。
-
-
在清單中找出您要管理的擴充功能或 Android 應用程式,然後按一下。
-
在右側面板開啟「憑證管理」下方的「允許存取金鑰」。
注意:如果您選取了擴充功能後,系統沒有顯示設定,表示該擴充功能不支援憑證管理。如果您選取了 Android 應用程式後,系統沒有顯示設定,則表示應用程式未獲核淮存取憑證管理 API。如要申請核准,請與我們聯絡。 - 按一下 [儲存]。
系統不會要求使用者授予企業憑證的存取權,而且只有透過 chrome.enterprise.platformKeys API 匯入的憑證才可供企業使用。如果擴充功能可存取多個憑證,仍會要求使用者選取一個憑證。所有透過其他方式產生或匯入的憑證 (例如手動匯入的憑證) 均不適用受管理帳戶的 API。
受管理的 Android 應用程式不會要求使用者透過 KeyChain API 選取企業憑證。系統一律會代表使用者挑選企業憑證 (如果有的話)。只要有 Android 應用程式可用的憑證,KeyChain 都會在背景通知,而應用程式本身可以選擇在應用程式內直接向使用者顯示部分對話方塊。
Android 應用程式的注意事項
- Chrome 瀏覽器 89 以上版本才支援使用者憑證。
- Chrome 瀏覽器 93 以上版本才支援裝置憑證。
- 尚有部分 Android 應用程式未獲核准存取,如要要求核准特定的 Android 應用程式,請與我們聯絡。