管理者は証明書登録(ChromeOS 用)拡張機能を使用して、ユーザーまたはデバイスの証明書をユーザーが手動または自動で取得できるように設定できます。有効期限が近づいている既存の証明書の自動更新を設定することも可能です。
この拡張機能を使用するにあたり、ユーザーにアクセス権があること、拡張機能と関連の管理対象ポリシーが正しく設定されていることを事前にご確認ください。拡張機能の設定について詳しくは、拡張機能のデプロイガイドをご覧ください。
証明書リクエストの種類
証明書リクエストには、ユーザー証明書リクエストとデバイス証明書リクエストの 2 種類があります。
- ユーザー証明書リクエストを使用すると、デバイス全体ではなく、リクエストを送信したユーザーに対して証明書が発行されます。ユーザー証明書は、そのパソコンにログインしているユーザーに対してのみ有効で、同じパソコンを使用する他のユーザーには無効です。
- デバイス証明書リクエストを使用すると、リクエストを送信したユーザーだけではなく、送信元デバイス全体に対する証明書が発行されます。デバイス証明書はそのデバイスを使用する同じ組織内のすべてのユーザーに対して有効なものであり、一般的には管理対象のゲスト セッションやキオスクモードで使用するデバイスで必要となります。
証明書のプロビジョニング(ユーザーによる認証情報の入力は不要)
「証明書登録」拡張機能では、ユーザーが手動で認証情報を入力しなくても証明書が自動的にプロビジョニングまたは更新されるように設定できます。
新たにプロビジョニングまたは更新のオプションを設定すると、証明書がまだデバイスにプロビジョニングされていないことや証明書の有効期限が近いことが自動的に検知され、ユーザーに証明書の取得または更新を求める通知が発行されます。ユーザーが通知をクリックすると、証明書の取得または更新の手続きが開始します。詳しくは、拡張機能のデプロイガイドをご覧ください。
証明書の登録事前設定済みの証明書を自動的に登録するには、ユーザーが次の手順を行う必要があります。
- [証明書の登録] 通知をクリックします。
- (省略可)デバイス証明書をリクエストするには、[Enroll Device-Wide Certificate](デバイス共通の証明書を登録する)チェックボックスをオンにします。このチェックボックスがオフの場合は、ユーザー証明書がリクエストされます。
- [登録] をクリックします。
ユーザーは [証明書の更新の通知] をクリックするだけで証明書を更新できます。
証明書のプロビジョニング(ユーザーによる認証情報の入力が必要)
「証明書登録」拡張機能では、ユーザーに対して証明書の手動プロビジョニングを許可できます。
メインのユーザーフロー
拡張機能のユーザーフローはメインとサブに分かれています。一般的にユーザーが行うのは、このセクションでご紹介するメインのユーザーフローです。
ユーザー証明書リクエストを作成するユーザー証明書リクエストとは、デバイス全体ではなく、リクエストを送信した特定のユーザーに対して証明書が発行されるリクエストです。ユーザー証明書は、そのパソコンにログインしているユーザーに対してのみ有効で、同じパソコンを使用する他のユーザーには無効です。
- クリックするか Tab キーを使用して [ユーザー名] に移動します。
- ユーザー名を入力します。
- クリックするか Tab キーを使用して [パスワード] に移動します。
- パスワードを入力します。
- [Enroll Device-Wide Certificate] チェックボックスはオフのままにします。
デバイス証明書リクエストとは、リクエストを送信したユーザーだけでなく、送信元デバイス全体に対する証明書が発行されるリクエストです。デバイス証明書は、パソコン上の同じ組織に属する全ユーザーに対して有効なため、通常は公開セッションまたはキオスクモードで使用されるデバイスに必要です。
- クリックするか Tab キーを使用して [ユーザー名] に移動します。
- ユーザー名を入力します。
- クリックするか Tab キーを使用して [パスワード] に移動します。
- パスワードを入力します。
- [Enroll Device-Wide Certificate] チェックボックスをオンにします。
リクエストの種類(ユーザーまたはデバイス)に関係なく、送信のプロセスは同じです。
- 上述の手順でユーザーまたはデバイスの証明書リクエストを作成します。
- [登録] ボタンに移動します。
- [登録] をクリックします。
リクエスト送信後問題なく登録されると、サーバーからリクエストした証明書とともにレスポンスが届きます。
- 上述のように証明書リクエストを送信します。
- レスポンスが届くまで待ちます。
- レスポンスを受信すると、証明書が受信されインポートされたことを示す成功メッセージがダイアログに表示されます。
- ダイアログで [OK] を選択し、Esc キーを押すか、ダイアログの外側をクリックして閉じます。
リクエストの送信後にさまざまな理由でリクエストが失敗することがあります。エラー レスポンスはこれらのエラーをカプセル化し、問題の内容をユーザーに伝えます。
- 上述のように証明書リクエストを送信します。
- レスポンスが届くまで待ちます。
- レスポンスを受信すると、エラーが発生したことを示すメッセージがダイアログに表示されます。
- ダイアログで [OK] を選択し、Esc キーを押すか、ダイアログの外側をクリックして閉じます。
- 修正可能なエラーの場合(無効なユーザー名など)、修正してリクエストを再送信すれば成功します。修正できないエラーの場合(リクエストがサーバーでアクセス拒否されているなど)、ユーザーはサポートを求める必要があります。
サブのユーザーフロー
以下に説明するサブのユーザーフローが必要になることはまれです。
保留中の証明書レスポンスを受け取る送信されたリクエストを後で誰かが手動で確認して承認または拒否できるようにするために、サーバーがリクエストを保留に設定することがあります。保留中の証明書レスポンスはこのフローをカプセル化し、リクエストのステータスを後で確認するための関連情報をユーザーに通知します。
- 上述のように証明書リクエストを送信します。
- レスポンスが届くまで待ちます。
- レスポンスを受信すると、リクエストが保留状態に設定されたことを示す保留メッセージがダイアログに表示されます。リクエストの登録 URI とリクエスト ID も表示されます。これらは後でリクエストを確認する際に必要になります。
- 後で参照できるように、登録 URI とリクエスト ID をコピーします。
- ダイアログで [OK] を選択し、Esc キーを押すか、ダイアログの外側をクリックして閉じます。
保留中の証明書について、ユーザーがそのステータスを確認したい考えることもあるでしょう。保留中の証明書に関するリクエストを作成して送信するには、保留中のリクエストを示す UI に移動する必要があります。
- クリックするか Tab キーを使用して [その他のオプション] ボタンを選択します。
- 表示されるオプション リストで、クリックするか Tab キーを使用して [保留中のリクエストを確認するフィールドを表示しますか?] に移動します。
- [保留中のリクエストを確認するフィールドを表示しますか?] を選択して、保留中のリクエストのフィールドを表示します。
ユーザーは保留中のリクエストを示す UI から、いつでも通常の UI に戻ることができます。
- クリックするか Tab キーを使用して [その他のオプション] ボタンを選択します。
- 表示されるオプション リストで、クリックするか Tab キーを使用して [保留中のリクエストを確認するフィールドを非表示にしますか?] に移動します。
- [保留中のリクエストを確認するフィールドを非表示にしますか?] を選択して、保留中のリクエストのフィールドを非表示にします。
保留中の証明書について、ユーザーがそのステータスを確認したい考えることもあるでしょう。このフローは、新しいリクエストを作成する場合とよく似ています。
- 上述の手順で保留中のリクエストの UI に移動します。
- クリックするか Tab キーを使用して [ユーザー名] に移動します。
- ユーザー名を入力します。
- クリックするか Tab キーを使用して [パスワード] に移動します。
- パスワードを入力します。
- クリックするか Tab キーを使用して [登録 URI] に移動します。
- 前述した保留中の証明書のレスポンスに表示されている登録 URI を入力します。
- クリックするか Tab キーを使用して [リクエスト ID] に移動します。
- 前述した保留中の証明書のレスポンスに表示されているリクエスト ID を入力します。
- 元の証明書リクエストがデバイス共通の証明書に対するものである場合は、[デバイス共通] チェックボックスをオンにします。それ以外の場合は、[デバイス共通] チェックボックスをオフにします。
保留中の証明書の確認リクエストを作成した後、レスポンスを受信するには、そのリクエストを送信する必要があります。保留中の証明書の確認リクエストには、上で定義したフローと同じように、成功、失敗、または保留のレスポンスが返されます。
- 上述のように、保留中の証明書の確認リクエストを作成します。
- [ステータスを確認] ボタンに移動します。
- [ステータスを確認] ボタンを選択します。
エラーが発生した場合は、拡張機能でのアクティビティに関するすべてのログを確認することをおすすめします。ユーザーがこれらのログを入手できるように、簡単にクリップボードにコピーできる方法が用意されています。
- クリックするか Tab キーを使用して [その他のオプション] ボタンを選択します。
- 表示されるオプション リストで、クリックするか Tab キーを使用して [ログをクリップボードにコピー] に移動します。
- [ログをクリップボードにコピー] を選択すると、ログがユーザーのクリップボードにコピーされます。
- ユーザーはデバイスで通常行っているやり方で、これらのログを選択した場所に貼り付けることができます。
拡張機能のデプロイガイド
この内容は管理対象の Chromebook にのみ適用されます。
管理者は Chromebook のユーザーに対し、組織で保護されていて認証証明書を必要とするネットワークと内部リソースへのアクセスを許可できます。そのためには、ユーザーが Chromebook でユーザー証明書またはシステム証明書をリクエストできるように、証明書登録(ChromeOS 用)拡張機能をリモートでインストールして設定してください。
または、ユーザー証明書とデバイス証明書については Kerberos 認証、デバイス証明書についてはホスト型サービス アカウント認証を使用した、証明書の自動プロビジョニングを設定してください。キーベースの更新を使用して、追加認証なしで既存の証明書を更新するように拡張機能を設定することも可能です。
また、この拡張機能では Google 管理コンソールから Microsoft Active Directory 証明書の登録プロセスを自動化して、ChromeOS デバイスを大規模に展開することもできます。
始める前に
デジタル証明書のリクエストをユーザーに対して許可するには、次のものが必要です。
- Microsoft Windows Server 2008 R2 以降
- Microsoft Internet Information Services(IIS)7.0 以降
- Active Directory 証明書サービス(ADCS)(以下を含む):
- 証明書登録サービス(CES)
- 証明書登録ポリシー(CEP)
- IIS の ADCS ウェブサイトに関連付けられた有効な証明書
- CEP と CES で表示されるエンドポイント
免責条項
このガイドは、Google プロダクトとサードパーティ製品との連携や、おすすめの設定内容についてご案内するものです。Google はサードパーティ製品の設定に関するテクニカル サポートを提供しておらず、また、それらの製品について責任を負う立場にありません。設定とサポートに関する最新情報については、各製品のウェブサイトをご確認ください。
拡張機能をデプロイする
手順 1: ユーザーに対して拡張機能を自動インストールする-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [アプリと拡張機能] [ユーザーとブラウザ] に移動します。
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [アプリと拡張機能] [ユーザーとブラウザ] に移動します。
- 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- 追加アイコン [Chrome ウェブストアから追加] にカーソルを合わせます。
- [証明書登録(ChromeOS 用)] を検索して選択します。拡張機能 ID は fhndealchbngfhdoncgcokameljahhog です。
- [ユーザーとブラウザ] ページで、[証明書登録(ChromeOS 用)] 拡張機能を選択します。
- 右側のパネルで、[証明書の管理] の [鍵へのアクセスを許可する] をオンにします。
- [インストール ポリシー] で [自動インストールする] または [自動インストールして Chrome OS タスクバーに固定する] を選択します。
- [保存] をクリックします。
ユーザー用の証明書登録(ChromeOS 用)拡張機能に適用する設定を記述したファイルを作成します。このサンプル ファイルを基に、組織やユーザーのニーズに応じてポリシーを変更します。この JavaScript Object Notation(JSON)ファイルはテキスト エディタで編集できます。
注: ユーザーに表示される文字列の中にデフォルト値が含まれるポリシーは、ユーザーの言語 / 地域に応じて翻訳された形でデバイスに表示されます。文字列は組織のニーズに合わせて変更できますが、その場合は翻訳されません。
次のポリシーを設定できます。
ポリシー名 | 機能 |
---|---|
allow_machine_cert_enrollment |
ユーザーがシステム証明書をインストールできるようにします。 true に設定すると、ユーザーはシステム証明書とユーザー証明書のどちらをリクエストするのか選択できます。false に設定すると、ユーザーがリクエストできるのはユーザー証明書のみです。 デフォルト値は false です。 |
cep_proxy_url |
CEP の https エンドポイントを指定します。 エンドポイントを確認するには:
https で始まる値のみ有効です。https で始まる値を入力していれば、その値が IIS マネージャーの Uniform Resource Identifier(URI)と一致しない場合でも有効な値とみなされて使用されますが、ほとんどの場合はエラーになります。 このポリシーは必須です。 |
company_info |
組織のブランド情報(名前やロゴなど)を指定します。
|
device_cert_request_values |
端末の証明書に対する証明書署名リクエスト(CSR)で使用する値を指定します。 リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、認証局(CA)の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の 次のプレースホルダを使用できます。値はすべて省略可能です。 バージョン 66 以降の ChromeOS デバイスでは、次のプレースホルダを使用できます。
プレースホルダの値を取得できない場合、値は空の文字列で置換されます。 プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、 |
device_enrollment_templates |
ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。 このポリシーは必須です。リストには 1 つ以上の値が必要です。 CA Microsoft 管理コンソール(MMC)の [テンプレート名] を使用します。[テンプレートの表示名] ではないのでご注意ください。 デフォルト値は ChromeOSWirelessUser です。 |
enable_auto_enrollment |
拡張機能が登録を自動的に開始するかどうかを制御します。false に設定すると、拡張機能はユーザーが EAP-TLS ネットワークに接続するのを待機します。 デフォルト値は false です。 |
log_level |
拡張機能のログの詳細レベルを指定します。ここで指定したレベルに応じて情報が Chrome の JavaScript コンソールに送信されます。 NONE(デフォルト) - コンソールには何も記録されません。 ERROR - 明白なエラーのみがコンソールに記録されます。 WARNING - 明白なエラーと警告がコンソールに記録されます。 INFO - 明白なエラーと警告に加えて、関連する対処方法の情報がコンソールに記録されます。 DEBUG - すべての情報がコンソールに記録されます。初期バージョンの場合、問題発生時にトラブルシューティングがしやすくなるように、この値を設定することをおすすめします。[その他のオプション] で、すべてのログをクリップボードに自動的にコピーできます。 ユーザーは次の 2 通りの方法で、Chrome でウェブ版のデベロッパー コンソールを開いてデバイスの Chrome ログにアクセスできます。
このポリシーは必須です。 |
placeholder_values |
ユーザー名、パスワード、URI、リクエスト ID、ヘッダーのプレースホルダを指定します。これらの情報は、ユーザーがログインするときに役立ちます。
|
renew_hours_before_expiry |
証明書の有効期限が切れる何時間前にユーザーに通知するかを指定します。
デフォルト値は 120 です。 |
renew_reminder_interval |
証明書の有効期限の前にユーザーに有効期限の通知を行う頻度を時間単位で制御します。 初回通知の後にユーザーが証明書を更新しなかった場合や通知を今後表示しないように選択しなかった場合、この変数で設定した時間数が経過した後に通知が再度表示されます。 たとえば、renew_hours_before_expiry を 120 に設定し、renew_reminder_interval を 24 に設定したとします。ユーザーが今後も通知を受け取ることを常に選択した場合、証明書の有効期限が切れるまでに合計 5 回(1 日に 1 回)の更新通知が届きます。 デフォルト値は 24 です。 |
request_timeout_seconds |
CEP または CES のタイムアウトを呼び出すまでの時間(秒)。 デフォルト値は 20 です。 |
signature_algo |
証明書のリクエストへの署名に拡張機能が使用する署名アルゴリズムを制御します。次の選択肢があります。
|
user_cert_request_values |
ユーザー証明書用の証明書署名リクエスト(CSR)で使用する値を指定します。 リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、CA の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の 次のプレースホルダを使用できます。値はすべて省略可能です。
プレースホルダの値を取得できない場合、値は空の文字列で置換されます。 プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、 |
user_enrollment_templates |
ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。 このポリシーは必須です。リストには 1 つ以上の値が必要です。 CA MMC の [テンプレート名] を使用します。[テンプレート表示名] ではないのでご注意ください。 デフォルト値は ChromeOSWirelessUser です。 |
証明書のプロビジョニングの設定(ユーザーによる認証情報の入力が必要な場合、必要ではない場合)
「証明書登録」拡張機能のデフォルトの設定では、ユーザーが証明書の取得時に認証情報を入力することで、証明書を手動でプロビジョニングできるようになっています。
ChromeOS の拡張機能を使用することで、認証情報を手動で入力しなくても証明書を自動的にプロビジョニングまたは更新できるように設定できます。この拡張機能では、ユーザーの Kerberos チケットがデバイスで利用可能な場合、Kerberos 認証を使用してユーザー証明書とデバイス証明書の両方をリクエストできます。また、サービス アカウントを使用してデバイス証明書のみをリクエストすることも可能です。
Kerberos 認証
始める前に
- ChromeOS ユーザーは、デバイスに Kerberos チケットを登録する必要があります。
- ログイン ユーザーの Kerberos チケットを取得できるように、ポリシーによって Kerberos 認証情報マネージャーを設定する必要があります。ログイン時に自動的に取得されるように設定することをおすすめします。ChromeOS デバイスに Kerberos シングル サインオンを設定するをご覧ください。
- Kerberos チケットに関連付けられている Active Directory ユーザー アカウントには、設定済みの証明書テンプレートを使用して証明書をリクエストする権限が必要です。
- ChromeOS ポリシーの [統合認証サーバー] に登録エンドポイントを記載しておく必要があります。詳しくは、Chrome のポリシーリストをご覧ください。
- 管理コンソールで [統合認証サーバー] を適切に設定します。詳しくは、統合認証サーバーをご覧ください。
拡張機能の設定
拡張機能ポリシーの値 `client_authentication`
を `kerberos`
に設定します。
ホスト型サービス アカウント認証
サービス アカウントを使用してデバイス証明書をリクエストするように拡張機能を設定できます。サービス アカウントの認証情報は、ローカル ネットワークのウェブサーバーでホストされています。
警告: デバイス上の認証情報と拡張機能ポリシーをホストしているウェブサーバーが攻撃された場合、サービス アカウントの認証情報が漏洩する恐れがあります。
サービス アカウントの認証情報をホストするウェブサーバーへのアクセスを制限し、ChromeOS デバイスの初回プロビジョニングでのみ使用できるようにすることをおすすめします。
始める前に
- HTTPS リクエストを処理できるウェブサーバーをローカル ネットワークに用意する必要があります。
- ChromeOS でそのウェブサーバーの証明書が信頼されている必要があります。自己署名された CA が発行した証明書をウェブサーバーが使用している場合は、管理コンソールでその CA の証明書を信頼できる証明書として設定してください。
ステップ 1: マスクされたパスワードを生成する
- 拡張機能を開きます。
- [その他のオプション] [パスワード マスク ツール] を選択します。
- サービス アカウントのパスワードを入力します。
- [マスク(Mask)] を選択します。
- マスクとマスクされたパスワードをテキスト ファイルにコピーします。
ステップ 2: 内部ウェブサーバーに認証情報を保存する
- 以下を含む JSON ファイルを提供するようにウェブサーバーを構成します。
{
‘username’: ‘<サービス アカウントのユーザー名>’,
‘maskedPassword’: ‘<マスクされたパスワードをコピーして貼り付ける>’
}
- ウェブサーバーが認証情報のホストに使用している URL をテキスト ファイルにコピーします。
ステップ 3: 拡張機能ポリシーを設定する
- 拡張機能ポリシーの変数
'service_account_host'
を先ほどコピーした URL に設定します。 - 拡張機能ポリシーの変数
'service_account_host_password_mask'
を先ほどコピーしたマスクに設定します。
証明書の自動更新
キーベースの更新を使用して、追加認証なしで既存の証明書を更新するように拡張機能を設定できます。
始める前に
設定した証明書テンプレートのキーベースの更新をサポートする ADCS 証明書登録サービス(CES)エンドポイントが使用可能である必要があります。詳細については、カスタム ポート上で証明書キーベースの書き換え用の証明書の登録 Web サービスを構成するをご覧ください。
拡張機能の設定
- 拡張機能ポリシーの値
`use_key_based_renewal`
を true に設定します。 - 拡張機能ポリシーの値
'ces_renewal_url'
を、キーベースの更新をサポートする証明書登録サービス(CES)エンドポイントの URL に設定します。
-
-
管理コンソールで、メニュー アイコン [デバイス] [Chrome] [アプリと拡張機能] [ユーザーとブラウザ] に移動します。
Chrome ブラウザ クラウド管理に登録済みの場合は、メニュー アイコン [Chrome ブラウザ] [アプリと拡張機能] [ユーザーとブラウザ] に移動します。
- (ユーザーのみ)グループに設定を適用するには、次の操作を行います。
- [グループ] を選択します。
- 設定を適用するグループを選択します。
- 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
- [証明書登録(ChromeOS 用)] 拡張機能を探して選択します。
- 右側のパネルで、[拡張機能のポリシー] の下にあるテキスト欄に手順 2 で作成した JSON データを入力します。
- [インストール ポリシー] で [自動インストールする] または [自動インストールして Chrome OS タスクバーに固定する] を選択します。
- [保存] をクリックします。
-
-
管理コンソールで、メニュー アイコン [デバイス] [ネットワーク] の順に移動します。
- [Wi-Fi] をクリックします。
- 新しい EAP-TLS ネットワークを追加します。
Wi-Fi ネットワーク設定を追加する方法については、ネットワークの管理をご覧ください。 - ネットワークの参照先を登録拡張機能に設定します。[クライアントの登録 URL] に「chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html」と入力します。
注: 登録拡張機能 URL で登録するネットワークを設定していない場合でも、Chrome ブラウザでこの URL にアクセスすることができます。これにより、ネットワークを設定する前に手動で URL をテストしたり、EAP-TLS ネットワーク以外での使用目的(証明書ベースの VPN など)で証明書を登録したりできます。ブラウザで登録拡張機能 URL に移動してネットワーク設定の手順を省略するようにユーザーに伝えてください。
- 管理対象の ChromeOS デバイスで、chrome://policy にアクセスします。
- [ポリシーを再読み込み] をクリックします。
- [証明書登録(ChromeOS 用)] までスクロールします。
- 各ポリシーのフィールドの値が JSON ファイルで設定した値と同じであることを確認します。
デジタル証明書のリクエストに関するトラブルシューティング
この内容は管理対象の Chromebook にのみ適用されます。
ユーザーがデジタル証明書をリクエストするときに起こり得る問題の解決方法をご紹介します。
拡張機能の UI に表示されるエラー メッセージ
有効なシステム トークンが見つかりませんでした。デバイスがドメインに登録されていないか、システム証明書をリクエストする権限がない可能性があります。
Chrome コンソールのログに表示されるエラー メッセージ
Could not enroll to the specified uri.
拡張機能がリクエストする登録エンドポイントが正しくありません。
- 正しい URL リクエスト - https://userNameGoesHere:passWordGoesHere@yourCEPServiceUriGoesHere
- 誤った URL リクエスト - chrome-extension://userNameGoesHere:passWordGoesHere@fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html
URL リクエストの問題は、証明書登録(ChromeOS 用)拡張機能のインストールが初めてで、状態に関する既存の情報がない場合に起こることがあります。拡張機能が更新されて状態に関する以前の情報が失われた場合にも起こることがあります。
新しいポリシーや更新したポリシーを拡張機能にプッシュする場合は、最初に空のポリシーをプッシュしてください。こうすると、現在のポリシーの値がすべて確実にフラッシュされてリセットされます。その後、使用したいポリシーをプッシュします。
- 空のポリシーをプッシュします。
- ユーザーのデバイスにポリシーが適用されていることを確認します。
- 使用したいポリシーをプッシュします。
- ユーザーのデバイスにポリシーが適用されていることを確認します。
- 証明書登録(ChromeOS 用)拡張機能を更新します。
登録に必要な URI を取得できません。
- 証明書登録の役割サービスの設定で(Kerberos などではなく)ユーザー名とパスワード認証を受け付けるようになっているか確認してください。
- 正しい CA テンプレートを使用するように拡張機能の設定が定義されていることを確認してください。
- JSON ファイルの user_enrollment_templates ポリシーに入力した値が、CA の [テンプレート表示名] ではなく [テンプレート名] と一致していることを確認してください。
- CA テンプレートに設定されている認証済みユーザーの権限を確認してください。次に、関連ユーザーに適切な権限が付与されていることを確認してください。
Google および関連するマークとロゴは Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。