証明書登録（ChromeOS 用）拡張機能の使用

事前設定済みの証明書を自動的に登録するには、ユーザーが次の手順を行う必要があります。

1. [証明書の登録] 通知をクリックします。
2. （省略可）デバイス証明書をリクエストするには、[Enroll Device-Wide Certificate]（デバイス共通の証明書を登録する）チェックボックスをオンにします。このチェックボックスがオフの場合は、ユーザー証明書がリクエストされます。
3. [登録] をクリックします。

ユーザーは [証明書の更新の通知] をクリックするだけで証明書を更新できます。

ユーザー証明書リクエストとは、デバイス全体ではなく、リクエストを送信した特定のユーザーに対して証明書が発行されるリクエストです。ユーザー証明書は、そのパソコンにログインしているユーザーに対してのみ有効で、同じパソコンを使用する他のユーザーには無効です。

1. クリックするか Tab キーを使用して [ユーザー名] に移動します。
2. ユーザー名を入力します。
3. クリックするか Tab キーを使用して [パスワード] に移動します。
4. パスワードを入力します。
5. [Enroll Device-Wide Certificate] チェックボックスはオフのままにします。

デバイス証明書リクエストとは、リクエストを送信したユーザーだけでなく、送信元デバイス全体に対する証明書が発行されるリクエストです。デバイス証明書は、パソコン上の同じ組織に属する全ユーザーに対して有効なため、通常は公開セッションまたはキオスクモードで使用されるデバイスに必要です。

1. クリックするか Tab キーを使用して [ユーザー名] に移動します。
2. ユーザー名を入力します。
3. クリックするか Tab キーを使用して [パスワード] に移動します。
4. パスワードを入力します。
5. [Enroll Device-Wide Certificate] チェックボックスをオンにします。

リクエストの種類（ユーザーまたはデバイス）に関係なく、送信のプロセスは同じです。

1. 上述の手順でユーザーまたはデバイスの証明書リクエストを作成します。
2. [登録] ボタンに移動します。
3. [登録] をクリックします。

リクエスト送信後問題なく登録されると、サーバーからリクエストした証明書とともにレスポンスが届きます。

1. 上述のように証明書リクエストを送信します。
2. レスポンスが届くまで待ちます。
3. レスポンスを受信すると、証明書が受信されインポートされたことを示す成功メッセージがダイアログに表示されます。
4. ダイアログで [OK] を選択し、Esc キーを押すか、ダイアログの外側をクリックして閉じます。

リクエストの送信後にさまざまな理由でリクエストが失敗することがあります。エラー レスポンスはこれらのエラーをカプセル化し、問題の内容をユーザーに伝えます。

1. 上述のように証明書リクエストを送信します。
2. レスポンスが届くまで待ちます。
3. レスポンスを受信すると、エラーが発生したことを示すメッセージがダイアログに表示されます。
4. ダイアログで [OK] を選択し、Esc キーを押すか、ダイアログの外側をクリックして閉じます。
5. 修正可能なエラーの場合（無効なユーザー名など）、修正してリクエストを再送信すれば成功します。修正できないエラーの場合（リクエストがサーバーでアクセス拒否されているなど）、ユーザーはサポートを求める必要があります。

送信されたリクエストを後で誰かが手動で確認して承認または拒否できるようにするために、サーバーがリクエストを保留に設定することがあります。保留中の証明書レスポンスはこのフローをカプセル化し、リクエストのステータスを後で確認するための関連情報をユーザーに通知します。

1. 上述のように証明書リクエストを送信します。
2. レスポンスが届くまで待ちます。
3. レスポンスを受信すると、リクエストが保留状態に設定されたことを示す保留メッセージがダイアログに表示されます。リクエストの登録 URI とリクエスト ID も表示されます。これらは後でリクエストを確認する際に必要になります。
4. 後で参照できるように、登録 URI とリクエスト ID をコピーします。
5. ダイアログで [OK] を選択し、Esc キーを押すか、ダイアログの外側をクリックして閉じます。

保留中の証明書について、ユーザーがそのステータスを確認したい考えることもあるでしょう。保留中の証明書に関するリクエストを作成して送信するには、保留中のリクエストを示す UI に移動する必要があります。

1. クリックするか Tab キーを使用して [その他のオプション] ボタンを選択します。
2. 表示されるオプション リストで、クリックするか Tab キーを使用して [保留中のリクエストを確認するフィールドを表示しますか？] に移動します。
3. [保留中のリクエストを確認するフィールドを表示しますか？] を選択して、保留中のリクエストのフィールドを表示します。

ユーザーは保留中のリクエストを示す UI から、いつでも通常の UI に戻ることができます。

1. クリックするか Tab キーを使用して [その他のオプション] ボタンを選択します。
2. 表示されるオプション リストで、クリックするか Tab キーを使用して [保留中のリクエストを確認するフィールドを非表示にしますか？] に移動します。
3. [保留中のリクエストを確認するフィールドを非表示にしますか？] を選択して、保留中のリクエストのフィールドを非表示にします。

保留中の証明書について、ユーザーがそのステータスを確認したい考えることもあるでしょう。このフローは、新しいリクエストを作成する場合とよく似ています。

1. 上述の手順で保留中のリクエストの UI に移動します。
2. クリックするか Tab キーを使用して [ユーザー名] に移動します。
3. ユーザー名を入力します。
4. クリックするか Tab キーを使用して [パスワード] に移動します。
5. パスワードを入力します。
6. クリックするか Tab キーを使用して [登録 URI] に移動します。
7. 前述した保留中の証明書のレスポンスに表示されている登録 URI を入力します。
8. クリックするか Tab キーを使用して [リクエスト ID] に移動します。
9. 前述した保留中の証明書のレスポンスに表示されているリクエスト ID を入力します。
10. 元の証明書リクエストがデバイス共通の証明書に対するものである場合は、[デバイス共通] チェックボックスをオンにします。それ以外の場合は、[デバイス共通] チェックボックスをオフにします。

保留中の証明書の確認リクエストを作成した後、レスポンスを受信するには、そのリクエストを送信する必要があります。保留中の証明書の確認リクエストには、上で定義したフローと同じように、成功、失敗、または保留のレスポンスが返されます。

1. 上述のように、保留中の証明書の確認リクエストを作成します。
2. [ステータスを確認] ボタンに移動します。
3. [ステータスを確認] ボタンを選択します。

エラーが発生した場合は、拡張機能でのアクティビティに関するすべてのログを確認することをおすすめします。ユーザーがこれらのログを入手できるように、簡単にクリップボードにコピーできる方法が用意されています。

1. クリックするか Tab キーを使用して [その他のオプション] ボタンを選択します。
2. 表示されるオプション リストで、クリックするか Tab キーを使用して [ログをクリップボードにコピー] に移動します。
3. [ログをクリップボードにコピー] を選択すると、ログがユーザーのクリップボードにコピーされます。
4. ユーザーはデバイスで通常行っているやり方で、これらのログを選択した場所に貼り付けることができます。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン [デバイス] [Chrome] [アプリと拡張機能] [ユーザーとブラウザ] に移動します。

   Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [アプリと拡張機能] [ユーザーとブラウザ] に移動します。
3. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
4. 追加アイコン [Chrome ウェブストアから追加] にカーソルを合わせます。
5. [証明書登録（ChromeOS 用）] を検索して選択します。拡張機能 ID は fhndealchbngfhdoncgcokameljahhog です。
6. [ユーザーとブラウザ] ページで、[証明書登録（ChromeOS 用）] 拡張機能を選択します。
7. 右側のパネルで、[証明書の管理] の [鍵へのアクセスを許可する] をオンにします。
8. [インストール ポリシー] で [自動インストールする] または [自動インストールして Chrome OS タスクバーに固定する] を選択します。
9. [保存] をクリックします。

ユーザー用の証明書登録（ChromeOS 用）拡張機能に適用する設定を記述したファイルを作成します。このサンプル ファイルを基に、組織やユーザーのニーズに応じてポリシーを変更します。この JavaScript Object Notation（JSON）ファイルはテキスト エディタで編集できます。

注: ユーザーに表示される文字列の中にデフォルト値が含まれるポリシーは、ユーザーの言語 / 地域に応じて翻訳された形でデバイスに表示されます。文字列は組織のニーズに合わせて変更できますが、その場合は翻訳されません。

次のポリシーを設定できます。

ポリシー名	機能
allow_machine_cert_enrollment	ユーザーがシステム証明書をインストールできるようにします。 true に設定すると、ユーザーはシステム証明書とユーザー証明書のどちらをリクエストするのか選択できます。false に設定すると、ユーザーがリクエストできるのはユーザー証明書のみです。 デフォルト値は false です。
cep_proxy_url	CEP の https エンドポイントを指定します。 エンドポイントを確認するには: IIS マネージャーで CEP ウェブサイトに移動します。 名前には通常 CEP が含まれています。 [アプリケーションの設定] を開きます。 CEP の https エンドポイントは [URI] の下に一覧表示されます。 https で始まる値のみ有効です。https で始まる値を入力していれば、その値が IIS マネージャーの Uniform Resource Identifier（URI）と一致しない場合でも有効な値とみなされて使用されますが、ほとんどの場合はエラーになります。 このポリシーは必須です。
company_info	組織のブランド情報（名前やロゴなど）を指定します。 help_url を設定して、情報やサポートが得られるウェブページにユーザーを誘導します。 指定したウェブページが証明書のないユーザーに対してブロックされる場合（初回リクエストなどで）は、help_text にユーザー向けのヘルプテキストを入力します。 help_url と help_text を設定すると、指定したウェブページがユーザーのデバイスでヘルプテキストの下に表示されます。
device_cert_request_values	端末の証明書に対する証明書署名リクエスト（CSR）で使用する値を指定します。 リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、認証局（CA）の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の CommonName の値を指定する必要があります。 次のプレースホルダを使用できます。値はすべて省略可能です。 バージョン 66 以降の ChromeOS デバイスでは、次のプレースホルダを使用できます。 ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID ${USER_EMAIL} - ログインしているユーザーのメールアドレス ${USER_DOMAIN} - ログインしているユーザーのドメイン名 ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号 ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション プレースホルダの値を取得できない場合、値は空の文字列で置換されます。 プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} はデバイスのシリアル番号で置換されます。
device_enrollment_templates	ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。 このポリシーは必須です。リストには 1 つ以上の値が必要です。 CA Microsoft 管理コンソール（MMC）の [テンプレート名] を使用します。[テンプレートの表示名] ではないのでご注意ください。 デフォルト値は ChromeOSWirelessUser です。
enable_auto_enrollment	拡張機能が登録を自動的に開始するかどうかを制御します。false に設定すると、拡張機能はユーザーが EAP-TLS ネットワークに接続するのを待機します。 デフォルト値は false です。
log_level	拡張機能のログの詳細レベルを指定します。ここで指定したレベルに応じて情報が Chrome の JavaScript コンソールに送信されます。 NONE（デフォルト） - コンソールには何も記録されません。 ERROR - 明白なエラーのみがコンソールに記録されます。 WARNING - 明白なエラーと警告がコンソールに記録されます。 INFO - 明白なエラーと警告に加えて、関連する対処方法の情報がコンソールに記録されます。 DEBUG - すべての情報がコンソールに記録されます。初期バージョンの場合、問題発生時にトラブルシューティングがしやすくなるように、この値を設定することをおすすめします。[その他のオプション] で、すべてのログをクリップボードに自動的にコピーできます。 ユーザーは次の 2 通りの方法で、Chrome でウェブ版のデベロッパー コンソールを開いてデバイスの Chrome ログにアクセスできます。 Ctrl+Shift+I キーを押します。 [その他のツール] [デベロッパー ツール] の順にクリックします。 このポリシーは必須です。
placeholder_values	ユーザー名、パスワード、URI、リクエスト ID、ヘッダーのプレースホルダを指定します。これらの情報は、ユーザーがログインするときに役立ちます。 「Username」、「Password」、「Uri」、「RequestID」の各欄の内容は、それぞれの入力欄の役割を示すヒントとして表示されます。 「Header」はページのタイトルに使用されます。 「Username」、「Password」、「Header」の各欄には特殊な値があり、ユーザーはこれらを指定することで多言語化されたデフォルトの名前を使用できます。 managed_username_placeholder - Username managed_password_placeholder - Password managed_login_header - Certificate enrollment 上記以外の用語（パスワードではなくパスフレーズなど）を組織で使用する場合は、値を変更できます。ただし、新しい値は翻訳されません。
renew_hours_before_expiry	証明書の有効期限が切れる何時間前にユーザーに通知するかを指定します。   デフォルト値は 120 です。
renew_reminder_interval	証明書の有効期限の前にユーザーに有効期限の通知を行う頻度を時間単位で制御します。 初回通知の後にユーザーが証明書を更新しなかった場合や通知を今後表示しないように選択しなかった場合、この変数で設定した時間数が経過した後に通知が再度表示されます。 たとえば、renew_hours_before_expiry を 120 に設定し、renew_reminder_interval を 24 に設定したとします。ユーザーが今後も通知を受け取ることを常に選択した場合、証明書の有効期限が切れるまでに合計 5 回（1 日に 1 回）の更新通知が届きます。 デフォルト値は 24 です。
request_timeout_seconds	CEP または CES のタイムアウトを呼び出すまでの時間（秒）。 デフォルト値は 20 です。
signature_algo	証明書のリクエストへの署名に拡張機能が使用する署名アルゴリズムを制御します。次の選択肢があります。 SHA1（推奨しません）- アルゴリズムが弱いため、ユーザーの安全性が損なわれる可能性があります。 SHA256 SHA512（デフォルト）
user_cert_request_values	ユーザー証明書用の証明書署名リクエスト（CSR）で使用する値を指定します。 リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、CA の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の CommonName の値を指定する必要があります。 次のプレースホルダを使用できます。値はすべて省略可能です。 ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID ${USER_EMAIL} - ログインしているユーザーのメールアドレス ${USER_DOMAIN} - ログインしているユーザーのドメイン名 ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号 ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション ${USER_ID} - ログインしたユーザーのメールアドレスの先頭部分（「@」の前） プレースホルダの値を取得できない場合、値は空の文字列で置換されます。 プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} はデバイスのシリアル番号で置換されます。
user_enrollment_templates	ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。 このポリシーは必須です。リストには 1 つ以上の値が必要です。 CA MMC の [テンプレート名] を使用します。[テンプレート表示名] ではないのでご注意ください。 デフォルト値は ChromeOSWirelessUser です。

証明書のプロビジョニングの設定（ユーザーによる認証情報の入力が必要な場合、必要ではない場合）

「証明書登録」拡張機能のデフォルトの設定では、ユーザーが証明書の取得時に認証情報を入力することで、証明書を手動でプロビジョニングできるようになっています。

ChromeOS の拡張機能を使用することで、認証情報を手動で入力しなくても証明書を自動的にプロビジョニングまたは更新できるように設定できます。この拡張機能では、ユーザーの Kerberos チケットがデバイスで利用可能な場合、Kerberos 認証を使用してユーザー証明書とデバイス証明書の両方をリクエストできます。また、サービス アカウントを使用してデバイス証明書のみをリクエストすることも可能です。

Kerberos 認証

始める前に

• ChromeOS ユーザーは、デバイスに Kerberos チケットを登録する必要があります。
  • ログイン ユーザーの Kerberos チケットを取得できるように、ポリシーによって Kerberos 認証情報マネージャーを設定する必要があります。ログイン時に自動的に取得されるように設定することをおすすめします。ChromeOS デバイスに Kerberos シングル サインオンを設定するをご覧ください。
• Kerberos チケットに関連付けられている Active Directory ユーザー アカウントには、設定済みの証明書テンプレートを使用して証明書をリクエストする権限が必要です。
• ChromeOS ポリシーの [統合認証サーバー] に登録エンドポイントを記載しておく必要があります。詳しくは、Chrome のポリシーリストをご覧ください。
  • 管理コンソールで [統合認証サーバー] を適切に設定します。詳しくは、統合認証サーバーをご覧ください。

拡張機能の設定

拡張機能ポリシーの値 `client_authentication` を `kerberos` に設定します。

ホスト型サービス アカウント認証

サービス アカウントを使用してデバイス証明書をリクエストするように拡張機能を設定できます。サービス アカウントの認証情報は、ローカル ネットワークのウェブサーバーでホストされています。

警告: デバイス上の認証情報と拡張機能ポリシーをホストしているウェブサーバーが攻撃された場合、サービス アカウントの認証情報が漏洩する恐れがあります。

サービス アカウントの認証情報をホストするウェブサーバーへのアクセスを制限し、ChromeOS デバイスの初回プロビジョニングでのみ使用できるようにすることをおすすめします。

始める前に

• HTTPS リクエストを処理できるウェブサーバーをローカル ネットワークに用意する必要があります。
• ChromeOS でそのウェブサーバーの証明書が信頼されている必要があります。自己署名された CA が発行した証明書をウェブサーバーが使用している場合は、管理コンソールでその CA の証明書を信頼できる証明書として設定してください。

ステップ 1: マスクされたパスワードを生成する

1. 拡張機能を開きます。
2. [その他のオプション] [パスワード マスク ツール] を選択します。
3. サービス アカウントのパスワードを入力します。
4. [マスク（Mask）] を選択します。
5. マスクとマスクされたパスワードをテキスト ファイルにコピーします。

ステップ 2: 内部ウェブサーバーに認証情報を保存する

1. 以下を含む JSON ファイルを提供するようにウェブサーバーを構成します。

{

  ‘username’: ‘<サービス アカウントのユーザー名>’,

  ‘maskedPassword’: ‘<マスクされたパスワードをコピーして貼り付ける>’

}

2. ウェブサーバーが認証情報のホストに使用している URL をテキスト ファイルにコピーします。

ステップ 3: 拡張機能ポリシーを設定する

1. 拡張機能ポリシーの変数 'service_account_host' を先ほどコピーした URL に設定します。
2. 拡張機能ポリシーの変数 'service_account_host_password_mask' を先ほどコピーしたマスクに設定します。

証明書の自動更新

キーベースの更新を使用して、追加認証なしで既存の証明書を更新するように拡張機能を設定できます。

始める前に

設定した証明書テンプレートのキーベースの更新をサポートする ADCS 証明書登録サービス（CES）エンドポイントが使用可能である必要があります。詳細については、カスタム ポート上で証明書キーベースの書き換え用の証明書の登録 Web サービスを構成するをご覧ください。

拡張機能の設定

• 拡張機能ポリシーの値 `use_key_based_renewal` を true に設定します。
• 拡張機能ポリシーの値 'ces_renewal_url' を、キーベースの更新をサポートする証明書登録サービス（CES）エンドポイントの URL に設定します。

特定のユーザー群や登録済みの Chrome ブラウザ群に対して設定を行うには、それらのユーザー アカウントまたはブラウザを 1 つのグループまたは 1 つの組織部門に配置します。グループに追加できるのはユーザー アカウントのみです。詳しくは、Google グループと組織部門を追加するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
3. [Wi-Fi] をクリックします。
4. 新しい EAP-TLS ネットワークを追加します。
   Wi-Fi ネットワーク設定を追加する方法については、ネットワークの管理をご覧ください。
5. ネットワークの参照先を登録拡張機能に設定します。[クライアントの登録 URL] に「chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html」と入力します。

注: 登録拡張機能 URL で登録するネットワークを設定していない場合でも、Chrome ブラウザでこの URL にアクセスすることができます。これにより、ネットワークを設定する前に手動で URL をテストしたり、EAP-TLS ネットワーク以外での使用目的（証明書ベースの VPN など）で証明書を登録したりできます。ブラウザで登録拡張機能 URL に移動してネットワーク設定の手順を省略するようにユーザーに伝えてください。

1. 管理対象の ChromeOS デバイスで、chrome://policy にアクセスします。
2. [ポリシーを再読み込み] をクリックします。
3. [証明書登録（ChromeOS 用）] までスクロールします。
4. 各ポリシーのフィールドの値が JSON ファイルで設定した値と同じであることを確認します。