デジタル証明書のリクエストをユーザーに許可する

この内容は管理対象の Chromebook にのみ適用されます。

管理者は、認証用の証明書を必要とする保護設定された組織のネットワークや内部リソースへのアクセスを Chromebook のユーザーに許可できます。ユーザーが Chromebook でユーザー証明書またはシステム証明書をリクエストできるように、証明書登録(Chrome OS 用)拡張機能をリモートでインストールして設定します。

  • システム証明書 - 同じデバイスを使用するすべての管理対象ユーザーで共有されます。
  • ユーザー証明書 - ユーザーごとに固有です。

この拡張機能では、Google 管理コンソールから Microsoft® Active Directory® 証明書の登録プロセスを自動化して Chrome OS デバイスの展開をスケーリングすることも可能です。

始める前に

ユーザーによるデジタル証明書のリクエストを許可するには、以下が必要です。

  • Microsoft® Windows® Server 2008 R2 以降
  • Microsoft Internet Information Services(IIS)7.0 以降
  • Active Directory 証明書サービス(ADCS)(以下を含む):
    • 証明書登録サービス(CES)
    • 証明書登録ポリシー(CEP)
    • IIS の ADCS ウェブサイトに関連付けられた有効な証明書
    • CEP と CES で表示されるエンドポイント

拡張機能をデプロイする

すべて開く   |   すべて閉じる

手順 1: ユーザーに対して拡張機能を自動インストールする
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [アプリと拡張機能] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. 上部の [ユーザーとブラウザ] をクリックします。
  6. [追加質問を追加 次に [Chrome ウェブストアから追加] をクリックします。
  7. [証明書登録(Chrome OS 用)] を検索して選択します。拡張機能の ID は fhndealchbngfhdoncgcokameljahhog です。
  8. [ユーザーとブラウザ] ページで、[証明書登録(Chrome OS 用)] 拡張機能を選択します。
  9. 右側のパネルで、[証明書の管理] の [鍵へのアクセスを許可する] をオンにします。
  10. [インストール ポリシー] で [自動インストールする] または [自動インストールして固定する] を選択します。
  11. [保存] をクリックします。
手順 2: 拡張機能を設定する

ユーザー用の証明書登録(Chrome OS 用)拡張機能に適用する設定を記述したファイルを作成します。このサンプル ファイル を使用して、組織やユーザーのニーズに応じてポリシーを変更します。この JavaScript® Object Notation(JSON)ファイルはテキスト エディタで編集できます。

: ポリシーのユーザー表示文字列にデフォルト値がある場合、そのポリシーはユーザーの言語 / 地域に応じて翻訳されて端末に表示されます。文字列は組織のニーズに合わせて変更できますが、その場合は翻訳されません。

次のポリシーを設定できます。

ポリシー名 機能

allow_machine_cert_enrollment

ユーザーがシステム証明書をインストールできるようにします。

true に設定すると、ユーザーはシステム証明書とユーザー証明書のどちらをリクエストするのか選択できます。false に設定すると、ユーザーがリクエストできるのはユーザー証明書のみです。

デフォルト値は false です。

cep_proxy_url

CEP の https エンドポイントを指定します。

エンドポイントを確認するには:

  1. IIS マネージャーで CEP ウェブサイトに移動します。
    名前には通常 CEP が含まれています。
  2. [アプリケーションの設定] を開きます。 
    CEP の https エンドポイントは [URI] の下に一覧表示されます。

https で始まる値のみ有効です。https で始まる値を入力していれば、その値が IIS マネージャーの Uniform Resource Identifier(URI)と一致しない場合でも有効な値とみなされて使用されますが、ほとんどの場合はエラーになります。

このポリシーは必須です。

company_info

組織のブランド情報(名前やロゴなど)を指定します。

  • help_url を設定して、情報やサポートが得られるウェブページにユーザーを誘導します。
  • 指定したウェブページが証明書のないユーザーに対してブロックされる場合(初回リクエストなどで)は、help_text にユーザー向けのヘルプテキストを入力します。
  • help_url と help_text を設定すると、ユーザーの端末ではヘルプテキストの下に指定のウェブページが表示されます。

device_cert_request_values

端末の証明書に対する証明書署名リクエスト(CSR)で使用する値を指定します。

リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、認証局(CA)の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の CommonName の値を指定する必要があります。

次のプレースホルダを使用できます。値はすべて省略可能です。

Chrome OS バージョン 66 以降のデバイスでは、次のプレースホルダを使用できます。

  • ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID
  • ${USER_EMAIL} - ログインしているユーザーのメールアドレス
  • ${USER_DOMAIN} - ログインしているユーザーのドメイン名
  • ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号
  • ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID
  • ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション

プレースホルダの値を取得できない場合、値は空の文字列で置換されます。

プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} はデバイスのシリアル番号で置換されます。

device_enrollment_templates

ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。

このポリシーは必須です。リストには 1 つ以上の値が必要です。

CA Microsoft 管理コンソール(MMC)の [テンプレート名] を使用します。[テンプレート表示名] ではないのでご注意ください。

デフォルト値は ChromeOSWirelessUser です。

enable_auto_enrollment

拡張機能が登録を自動的に開始するかどうかを制御します。false に設定すると、拡張機能はユーザーが EAP-TLS ネットワークに接続するのを待機します。

デフォルト値は false です。

log_level

拡張機能のログの詳細レベルを指定します。このログは Chrome の JavaScript コンソールに送信されます。

NONE(デフォルト) - コンソールには何も記録されません。

ERROR - 明白なエラーのみがコンソールに記録されます。

WARNING - 明白なエラーと警告がコンソールに記録されます。

INFO - 明白なエラーと警告に加えて、関連する対処方法の情報がコンソールに記録されます。

DEBUG - すべての情報がコンソールに記録されます。初期バージョンの場合、問題発生時にトラブルシューティングがしやすくなるように、この値を設定することをおすすめします。[その他のオプション] で、すべてのログをクリップボードに自動的にコピーできます。

ユーザーは次の 2 通りの方法で、Chrome でウェブ版のデベロッパー コンソールを開いてデバイスの Chrome ログにアクセスできます。

  • Ctrl+Shift+I キーを押します。
  • [その他のツール] 次に [デベロッパー ツール] の順にクリックします。

このポリシーは必須です。

placeholder_values

ユーザー名、パスワード、URI、リクエスト ID、ヘッダーのプレースホルダを指定します。これらの情報は、ユーザーがログインするときに役立ちます。

  • 「Username」、「Password」、「Uri」、「RequestID」の各欄の内容は、それぞれの入力欄の役割を示すヒントとして表示されます。
  • 「Header」はページのタイトルに使用されます。
  • 「Username」、「Password」、「Header」の各欄には特殊な値があり、ユーザーはこれらを指定することで多言語化されたデフォルトの名前を使用できます。
    • managed_username_placeholder - Username
    • managed_password_placeholder - Password
    • managed_login_header - Certificate enrollment
  • 上記以外の用語(パスワードではなくパスフレーズなど)を組織で使用する場合は、値を変更できます。ただし、新しい値は翻訳されません。
renew_hours_before_expiry

証明書の有効期限の前にユーザーに有効期限の通知を行う時間(時)を指定します。

デフォルト値は 120 です。

renew_reminder_interval

証明書の有効期限の前にユーザーに有効期限の通知を行う頻度を時間単位で制御します。

初回通知の後にユーザーが証明書を更新しなかった場合や通知を今後表示しないように選択しなかった場合、この変数で設定した時間数が経過した後に通知が再度表示されます。

たとえば、renew_hours_before_expiry を 120 に設定し、renew_reminder_interval を 24 に設定したとします。ユーザーが今後も通知を受け取ることを常に選択した場合、証明書の有効期限が切れるまでに合計 5 回(1 日に 1 回)の更新通知が届きます。

デフォルト値は 24 です。

request_timeout_seconds

CEP または CES のタイムアウトを呼び出すまでの時間(秒)。

デフォルト値は 20 です。

signature_algo

証明書のリクエストへの署名に拡張機能が使用する署名アルゴリズムを制御します。次の選択肢があります。

  • SHA1(推奨しません)- アルゴリズムが弱いため、ユーザーのセキュリティが侵害される可能性があります。
  • SHA256
  • SHA512(デフォルト)

user_cert_request_values

ユーザー証明書用の証明書署名リクエスト(CSR)で使用する値を指定します。

リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、CA の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の CommonName の値を指定する必要があります。

次のプレースホルダを使用できます。値はすべて省略可能です。

  • ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID

  • ${USER_EMAIL} - ログインしているユーザーのメールアドレス

  • ${USER_DOMAIN} - ログインしているユーザーのドメイン名

  • ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号

  • ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID

  • ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション

  • ${USER_ID} - ログインしたユーザーのメールアドレスの先頭部分(「@」の前)

プレースホルダの値を取得できない場合、値は空の文字列で置換されます。

プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} はデバイスのシリアル番号で置換されます。

user_enrollment_templates

ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。

このポリシーは必須です。リストには 1 つ以上の値が必要です。

CA MMC の [テンプレート名] を使用します。[テンプレート表示名] ではないのでご注意ください。

デフォルト値は ChromeOSWirelessUser です。

手順 3: JSON ファイルを検証する
任意のツールで設定ファイルを検証し、JSON コードにエラーがないことを確認します。エラーが見つかった場合は、設定ファイルの構文と構造を確認して修正し、再度検証します。
手順 4: 拡張機能のポリシーを適用する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [アプリと拡張機能] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. 上部の [ユーザーとブラウザ] をクリックします。
  6. [証明書登録(Chrome OS 用)] 拡張機能を探して選択します。
  7. 右側のパネルの [拡張機能のポリシー] で、テキスト欄に手順 2 で作成した JSON データを入力します。
  8. [インストール ポリシー] で [自動インストールする] または [自動インストールして固定する] を選択します。
  9. [保存] をクリックします。
手順 5:(省略可)拡張機能に登録する Wi-Fi ネットワークを設定する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス] にアクセスします。
  3. [ネットワーク] 次に [Wi-Fi] の順にクリックします。
  4. 新しい EAP-TLS ネットワークを追加します。
    Wi-Fi ネットワーク設定を追加する方法については、ネットワークの管理をご覧ください。
  5. ネットワークの参照先を登録拡張機能に設定します。[クライアントの登録 URL] に「chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html」と入力します。

注: 登録拡張機能 URL で登録を行うようにネットワークを設定していない場合でも、Chrome ブラウザでこの URL にアクセスすることができます。この設定により、ネットワークを設定する前に手動で URL をテストしたり、EAP-TLS ネットワーク以外での使用目的(証明書ベースの VPN など)で証明書を登録したりできます。ブラウザで URL に移動してネットワーク設定の手順を省略するようにユーザーに指示してください。

手順 6: ポリシーが適用されていることを確認する
管理者が証明書登録(Chrome OS 用)拡張機能を導入したら、ユーザーは端末を再起動して設定を有効にする必要があります。管理者は、ユーザーの端末にポリシーが正しく適用されているか確認できます。
  1. 管理対象の Chrome 端末で、chrome://policy にアクセスします。
  2. [ポリシーを再読み込み] をクリックします。
  3. [証明書登録(Chrome OS 用)] までスクロールします。
  4. 各ポリシーの項目の値が JSON ファイルで設定した値と同じであることを確認します。

免責条項

この記事では、Google のサービスでサードパーティ製品を使用する方法と、Google が推奨する設定について説明しています。Google は、サードパーティ製品の設定に関するテクニカル サポートを提供しておりません。また、サードパーティ製品に関して一切の責任を負いません。設定やサポートに関する最新情報は、該当製品のウェブサイトでご確認いただけます。コンサルティング サービスをご希望の場合は、Google ソリューション プロバイダまでご連絡ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。