某些网络和内部网络资源要求用户使用数字证书进行身份验证。ChromeOS 设备的用户只需使用客户端证书即可访问此类网络和资源。
为了增强网络和内部资源的安全性,很多组织使用客户端数字证书对员工设备用户和学生设备用户进行身份验证。例如,针对局域网的访问者进行 EAP-TLS (802.1x) 身份验证;针对内部网络资源的访问者进行双向 TLS/SSL 身份验证。
要将客户端证书安装在设备上,您需要执行多个步骤,包括:
- 在设备上安全地生成密钥对。
- 将公钥和其他识别信息及身份验证信息发送给证书授权中心 (CA) 以获取证书。
- 将证书导入到设备中
不同的证书授权机构支持不同的注册协议(如 SCEP 和 EST),并且还会审核各组织的具体工作流程、检查项和规则,然后才会授予证书。
ChromeOS 设备上的客户端证书由 Chrome 可信平台模块 (TPM) 提供支持。这可确保私钥始终不会脱离设备。
管理和配置客户端证书
您可以使用 Google Cloud Certificate Connector 将证书和身份验证密钥从简单证书注册协议 (SCEP) 服务器安全地分发到用户的移动设备。有关详情,请参阅使用 Google Cloud Certificate Connector 或通过 SCEP 为 ChromeOS 配置证书注册,获取全面的指导。
从 Chrome 37 版开始,合作伙伴(如证书授权机构)、基础架构管理供应商和客户都可以使用 chrome.enterprise.platformKeys API 编写扩展程序,以便为 ChromeOS 设备配置客户端证书。通过使用扩展程序,各种各样的证书授权机构、注册协议和任何形式的基于网络的工作流程均可得到支持。使用 Microsoft Active Directory 证书服务的客户可以使用 Google 的企业注册工具为 Chrome 设备请求和安装证书。有关详情,请参阅使用“ChromeOS 证书注册”扩展程序。
当使用 chrome.enterprise.platformKeys API 用户令牌时(ID 等于“用户”),使用扩展程序获取的客户端证书对用户和设备具有唯一性。例如,同一台设备上的第二个用户会拥有不同的证书。当该用户登录到其他设备时,证书授权机构会颁发不同的证书。由于客户端证书受 TPM 支持,因此其他用户既无法窃取该证书并将其安装在其他设备上,也无法盗用该证书。如果您将某个用户从设备上移除,相应的证书也会被一并移除。
要使用第三方扩展程序配置客户端证书,请执行以下操作:
- 确认您是否拥有 Chrome 服务。查看 Chrome 服务方案。
借助管理控制台,您可以轻松为组织内的所有 ChromeOS 设备部署用户、设备和应用并施加控制。
- 获取一个可使用 chrome.enterprise.platformKeys API 且能实施您的初始启用工作流程并与您的证书授权机构相集成的初始启用扩展程序。
转到 Chrome 网上应用店,查找适用于您使用的证书授权机构的扩展程序。如果这样的扩展程序尚不存在,您可以自行创建一个,也可聘请顾问或供应商为您创建一个。有关详情,请参阅开发者指南。
- 为您的用户强制安装此扩展程序。只有根据政策强制安装的扩展程序才可以使用 chrome.enterprise.platformKeys API。查看自动安装应用和扩展程序。
- 确认网络已配置妥当,以便访客网络或初始启用网络中的用户可以连接到此网络,从而使访客网络或初始启用网络可以与证书授权机构进行通信。
在大多数情况下,访客网络或初始启用网络没有特权,因此这些网络仅能用于浏览外网,以及用于访问证书授权机构以进行证书的初始启用。您可以使用此网络来开始证书的初始启用流程。您可以在您管理的所有 Chrome OS 设备上预先配置访客网络或初始启用网络。有关详情,请参阅管理网络。
- 确认每台 Chrome OS 设备都已在网域中注册。只有注册了设备的网域中的用户才能使用相应设备的证书。请参阅注册 ChromeOS 设备。
其他信息
作为管理员,您可以为用户证书和设备证书设置配置流程。
用户证书涉及的是受管理用户的会话,可用于对网站、网络和第三方应用进行用户级别的身份验证。
设备证书涉及的是受管理的设备。许多地方都需要此类证书,例如:
- 与设备受同一网域管理的用户的关联用户会话。
- Chrome 登录屏幕:对网络进行验证时以及在第三方 SAML 登录过程中都需要设备证书。
注意:只有您配置了单点登录客户端证书政策,才需要在第三方 SAML 登录过程中使用设备证书。 - 采用受管理的访客会话和自助服务终端模式的设备:对网站、网络和第三方应用进行验证时需要设备证书。
诸如 VPN 客户端等扩展程序还可通过 chrome.platformKeys API 使用这些证书。授予证书访问权限的方式各有不同,具体取决于账号是否受管理。有关详情,请参阅扩展程序和客户端证书的访问模型。
假设用户是首次尝试通过访客网络或初始启用网络连接到 EAP-TLS (802.1x) 网络,且没有有效证书。此时,如果扩展程序是强制安装的,则它会先引导用户完成一系列步骤(包括身份验证),然后再安装证书授权机构颁发的证书。证书安装完毕后,该用户就可以选择 EAP-TLS (802.1x) 网络并成功连接到此网络。
注意:如果您选择使用 Google Cloud Certificate Connector 部署证书,则系统会在后台静默部署证书。如果设备可以连接到访客网络或配置网络上的 Google 服务器,那么在尝试连接到 EAP-TLS (802.1x) 网络时,证书应立即可用。
如果内部网页要求进行双向 TLS/SSL 身份验证,则内部网络资源会向用户显示一条消息,告知用户必须使用证书。此时,该用户可以启动您强制安装的扩展程序,然后完成与连接到 EAP-TLS 网络类似的一系列操作,之后再刷新浏览器,即可访问内部网页。
chrome.platformKeys API 允许扩展程序访问由平台管理的客户端证书。Android 应用使用 KeyChain API。控制具体使用权限的模型取决于相应用户账号是否受管理。无论设备是否注册,以下情况均适用。
不受管理的账号如果用户使用不受管理的账号(如个人账号)登录,则他们拥有已手动导入到设备上的证书且完全受这些证书的控制。在这种情况下,用户可以向特定扩展程序授予使用 chrome.platformKeys 访问特定证书的权限。没有其他限制。
受管理的账号如果用户使用受管理的账号(如工作账号)登录,则由管理员负责授予相关权限以访问供企业使用的证书。管理员可指定允许哪些扩展程序和 Android 应用使用客户端证书,从而完成上述授权。
要为特定用户群组或已注册的 Chrome 浏览器指定设置,请将相应用户账号或浏览器放入某个群组或组织部门中。您只能将用户账号添加到群组中。有关详情,请参阅群组和添加组织部门。
要指定可以使用客户端证书的扩展程序和 Android 应用,请按以下步骤操作:
-
-
在管理控制台中,依次点击“菜单”图标
设备
Chrome
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标
Chrome 浏览器
- (仅适用于用户)要将设置应用于群组,请执行以下操作:
- 选择群组。
- 选择要应用该设置的群组。
- 要将设置应用于所有人,请将顶级单位部门保持为已选中状态。否则,请选择某个下级单位部门。
-
(可选)如果您尚未在管理控制台中管理相应扩展程序或 Android 应用,请执行以下操作:
-
将鼠标指向“添加”图标
,然后选择一个选项:
-
从 Chrome 应用商店中添加
-
从 Google Play 中添加
-
-
找到所需扩展程序或 Android 应用,然后点击选择。如果出现提示,请代表您的组织接受应用权限许可。
-
-
在列表中,找到并点击您要管理的扩展程序或 Android 应用。
-
在打开的右侧面板中,启用证书管理下的允许访问密钥。
注意:如果您选择了某个扩展程序,但未看到该设置,则表示该扩展程序不支持证书管理。如果您选择了某个 Android 应用,但未看到该设置,则表示该应用尚未获准访问证书管理 API。您可以与我们联系,请求批准。 - 点击保存。
用户不会被要求授予企业证书的访问权限,且只有通过 chrome.enterprise.platformKeys API 导入的证书才可供企业使用。如果某一扩展程序拥有多个证书的访问权限,则仍可请求用户选择一个证书。对于受管理的账号来说,通过手动等其他方式生成或导入的所有证书都不适用于此 API。
受管理的 Android 应用无法请求用户通过 KeyChain API 选择企业证书。一律由系统代表用户选择企业证书(如有)。KeyChain 会在后台通知 Android 应用所有可用的证书,而应用可以自行选择在应用内直接向用户显示一些对话框。
有关 Android 应用的注意事项
- 用户证书在 Chrome 89 或更高版本上受支持。
- 设备证书在 Chrome 93 或更高版本上受支持。
- 并非所有 Android 应用都已获准访问。如需请求批准特定 Android 应用,请与我们联系。