デジタル証明書のプロビジョニングの設定

この内容は管理対象の Chromebook にのみ適用されます。

管理者は、認証証明書を必要とする保護設定された組織のネットワークと内部リソースへのアクセスを Chromebook のユーザーに許可できます。そのためには、ユーザーが Chromebook でユーザー証明書またはシステム証明書をリクエストできるように、証明書登録(Chrome OS 用)拡張機能をリモートでインストールして設定してください。

または、ユーザー証明書とデバイス証明書については Kerberos 認証、デバイス証明書についてはホスト型サービス アカウント認証を使用した、証明書の自動プロビジョニングを設定してください。キーベースの更新を使用して、追加認証なしで既存の証明書を更新するように拡張機能を設定することも可能です。

注: 証明書の自動プロビジョニングと自動更新は、現時点ではプレビュー機能です。プレビュー機能の試用について詳しくは、新機能をテストするをご覧ください。

  • デバイス証明書 - 同じデバイスを使用するすべての管理対象ユーザーと共有されます。
  • ユーザー証明書 - ユーザーごとに固有です。

この拡張機能では、Google 管理コンソールから Microsoft® Active Directory® 証明書の登録プロセスを自動化して Chrome OS デバイスの展開をスケーリングすることも可能です。

始める前に

ユーザーによるデジタル証明書のリクエストを許可するには、以下が必要です。

  • Microsoft® Windows® Server 2008 R2 以降
  • Microsoft Internet Information Services(IIS)7.0 以降
  • Active Directory 証明書サービス(ADCS)(以下を含む):
    • 証明書登録サービス(CES)
    • 証明書登録ポリシー(CEP)
    • IIS の ADCS ウェブサイトに関連付けられた有効な証明書
    • CEP と CES で表示されるエンドポイント

拡張機能をデプロイする

すべて開く   |   すべて閉じる

手順 1: ユーザーに対して拡張機能を自動インストールする
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [アプリと拡張機能] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. 上部の [ユーザーとブラウザ] をクリックします。
  6. [追加質問を追加 次に [Chrome ウェブストアから追加] をクリックします。
  7. [証明書登録(Chrome OS 用)] を検索して選択します。拡張機能の ID は fhndealchbngfhdoncgcokameljahhog です。
  8. [ユーザーとブラウザ] ページで、[証明書登録(Chrome OS 用)] 拡張機能を選択します。
  9. 右側のパネルで、[証明書の管理] の [鍵へのアクセスを許可する] をオンにします。
  10. [インストール ポリシー] で [自動インストールする] または [自動インストールして固定する] を選択します。
  11. [保存] をクリックします。
手順 2: 拡張機能を設定する

ユーザー用の証明書登録(Chrome OS 用)拡張機能に適用する設定を記述したファイルを作成します。このサンプル ファイル を使用して、組織やユーザーのニーズに応じてポリシーを変更します。この JavaScript® Object Notation(JSON)ファイルはテキスト エディタで編集できます。

: ポリシーのユーザー表示文字列にデフォルト値がある場合、そのポリシーはユーザーの言語 / 地域に応じて翻訳されて端末に表示されます。文字列は組織のニーズに合わせて変更できますが、その場合は翻訳されません。

次のポリシーを設定できます。

ポリシー名 機能

allow_machine_cert_enrollment

ユーザーがシステム証明書をインストールできるようにします。

true に設定すると、ユーザーはシステム証明書とユーザー証明書のどちらをリクエストするのか選択できます。false に設定すると、ユーザーがリクエストできるのはユーザー証明書のみです。

デフォルト値は false です。

cep_proxy_url

CEP の https エンドポイントを指定します。

エンドポイントを確認するには:

  1. IIS マネージャーで CEP ウェブサイトに移動します。
    名前には通常 CEP が含まれています。
  2. [アプリケーションの設定] を開きます。 
    CEP の https エンドポイントは [URI] の下に一覧表示されます。

https で始まる値のみ有効です。https で始まる値を入力していれば、その値が IIS マネージャーの Uniform Resource Identifier(URI)と一致しない場合でも有効な値とみなされて使用されますが、ほとんどの場合はエラーになります。

このポリシーは必須です。

company_info

組織のブランド情報(名前やロゴなど)を指定します。

  • help_url を設定して、情報やサポートが得られるウェブページにユーザーを誘導します。
  • 指定したウェブページが証明書のないユーザーに対してブロックされる場合(初回リクエストなどで)は、help_text にユーザー向けのヘルプテキストを入力します。
  • help_urlhelp_text を設定すると、ユーザーの端末ではヘルプテキストの下に指定のウェブページが表示されます。

device_cert_request_values

端末の証明書に対する証明書署名リクエスト(CSR)で使用する値を指定します。

リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、認証局(CA)の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の CommonName の値を指定する必要があります。

次のプレースホルダを使用できます。値はすべて省略可能です。

Chrome OS バージョン 66 以降のデバイスでは、次のプレースホルダを使用できます。

  • ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID
  • ${USER_EMAIL} - ログインしているユーザーのメールアドレス
  • ${USER_DOMAIN} - ログインしているユーザーのドメイン名
  • ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号
  • ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID
  • ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション

プレースホルダの値を取得できない場合、値は空の文字列で置換されます。

プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} はデバイスのシリアル番号で置換されます。

device_enrollment_templates

ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。

このポリシーは必須です。リストには 1 つ以上の値が必要です。

CA Microsoft 管理コンソール(MMC)の [テンプレート名] を使用します。[テンプレート表示名] ではないのでご注意ください。

デフォルト値は ChromeOSWirelessUser です。

enable_auto_enrollment

拡張機能が登録を自動的に開始するかどうかを制御します。false に設定すると、拡張機能はユーザーが EAP-TLS ネットワークに接続するのを待機します。

デフォルト値は false です。

log_level

拡張機能のログの詳細レベルを指定します。このログは Chrome の JavaScript コンソールに送信されます。

NONE(デフォルト) - コンソールには何も記録されません。

ERROR - 明白なエラーのみがコンソールに記録されます。

WARNING - 明白なエラーと警告がコンソールに記録されます。

INFO - 明白なエラーと警告に加えて、関連する対処方法の情報がコンソールに記録されます。

DEBUG - すべての情報がコンソールに記録されます。初期バージョンの場合、問題発生時にトラブルシューティングがしやすくなるように、この値を設定することをおすすめします。[その他のオプション] で、すべてのログをクリップボードに自動的にコピーできます。

ユーザーは次の 2 通りの方法で、Chrome でウェブ版のデベロッパー コンソールを開いてデバイスの Chrome ログにアクセスできます。

  • Ctrl+Shift+I キーを押します。
  • [その他のツール] 次に [デベロッパー ツール] の順にクリックします。

このポリシーは必須です。

placeholder_values

ユーザー名、パスワード、URI、リクエスト ID、ヘッダーのプレースホルダを指定します。これらの情報は、ユーザーがログインするときに役立ちます。

  • 「Username」、「Password」、「Uri」、「RequestID」の各欄の内容は、それぞれの入力欄の役割を示すヒントとして表示されます。
  • 「Header」はページのタイトルに使用されます。
  • 「Username」、「Password」、「Header」の各欄には特殊な値があり、ユーザーはこれらを指定することで多言語化されたデフォルトの名前を使用できます。
    • managed_username_placeholder - Username
    • managed_password_placeholder - Password
    • managed_login_header - Certificate enrollment
  • 上記以外の用語(パスワードではなくパスフレーズなど)を組織で使用する場合は、値を変更できます。ただし、新しい値は翻訳されません。
renew_hours_before_expiry

証明書の有効期限の前にユーザーに有効期限の通知を行う時間(時)を指定します。

デフォルト値は 120 です。

renew_reminder_interval

証明書の有効期限の前にユーザーに有効期限の通知を行う頻度を時間単位で制御します。

初回通知の後にユーザーが証明書を更新しなかった場合や通知を今後表示しないように選択しなかった場合、この変数で設定した時間数が経過した後に通知が再度表示されます。

たとえば、renew_hours_before_expiry を 120 に設定し、renew_reminder_interval を 24 に設定したとします。ユーザーが今後も通知を受け取ることを常に選択した場合、証明書の有効期限が切れるまでに合計 5 回(1 日に 1 回)の更新通知が届きます。

デフォルト値は 24 です。

request_timeout_seconds

CEP または CES のタイムアウトを呼び出すまでの時間(秒)。

デフォルト値は 20 です。

signature_algo

証明書のリクエストへの署名に拡張機能が使用する署名アルゴリズムを制御します。次の選択肢があります。

  • SHA1(推奨しません)- アルゴリズムが弱いため、ユーザーのセキュリティが侵害される可能性があります。
  • SHA256
  • SHA512(デフォルト)

user_cert_request_values

ユーザー証明書用の証明書署名リクエスト(CSR)で使用する値を指定します。

リクエスト元のプロパティを使用する代わりに、ユーザーとデバイスの属性に基づいて Subject の値を定義できます。カスタムの CSR を使用するには、リクエストに定義されている Subject の値を使用して証明書が想定どおりに生成されるように、CA の証明書テンプレートを設定する必要があります。ここでは、少なくとも Subject 内の CommonName の値を指定する必要があります。

次のプレースホルダを使用できます。値はすべて省略可能です。

  • ${DEVICE_DIRECTORY_ID} - デバイスのディレクトリ ID

  • ${USER_EMAIL} - ログインしているユーザーのメールアドレス

  • ${USER_DOMAIN} - ログインしているユーザーのドメイン名

  • ${DEVICE_SERIAL_NUMBER} - デバイスのシリアル番号

  • ${DEVICE_ASSET_ID} - 管理者によってデバイスに割り当てられたアセット ID

  • ${DEVICE_ANNOTATED_LOCATION} - 管理者によってデバイスに割り当てられたロケーション

  • ${USER_ID} - ログインしたユーザーのメールアドレスの先頭部分(「@」の前)

プレースホルダの値を取得できない場合、値は空の文字列で置換されます。

プレースホルダは連鎖させることができます。たとえばアセット ID を取得できない場合、${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} はデバイスのシリアル番号で置換されます。

user_enrollment_templates

ユーザー登録フローの優先順に並べられた、照合する証明書テンプレート名のリスト。拡張機能はこのリストを検索して一致する証明書テンプレートを探します。最初に一致した証明書テンプレートが使用されます。そのテンプレートにエラーがあっても、拡張機能は他の証明書テンプレートを再検索しません。

このポリシーは必須です。リストには 1 つ以上の値が必要です。

CA MMC の [テンプレート名] を使用します。[テンプレート表示名] ではないのでご注意ください。

デフォルト値は ChromeOSWirelessUser です。

証明書のプロビジョニングの設定(認証情報の入力が必要な設定 / 入力が不要な設定)

証明書の自動プロビジョニングと自動更新は、現時点ではプレビュー機能です。

デフォルトでは、「証明書登録」拡張機能は、証明書の取得時にユーザーが認証情報を入力することで証明書を手動でプロビジョニングできるように設定されています。

Chrome OS 拡張機能を使用すると、ユーザーが手動で認証情報を入力しなくても、証明書を自動的にプロビジョニングまたは更新できるように設定できます。この拡張機能では、ユーザーの Kerberos チケットがデバイスで利用可能な場合、Kerberos 認証を使用してユーザー証明書とデバイス証明書の両方をリクエストできます。また、サービス アカウントを使用してデバイス証明書のみをリクエストすることも可能です。

Kerberos 認証

始める前に

  • Chrome OS ユーザーは、デバイスに Kerberos チケットを登録する必要があります。
    • Active Directory(AD)の管理対象デバイスの場合、Kerberos チケットはユーザーのログイン時にすぐに使用できるため、追加の設定は必要ありません。
    • クラウド管理型のデバイスでは、ログイン ユーザーの Kerberos チケットを取得できるように、ポリシーで Kerberos 認証情報マネージャーを設定する必要があります。ログイン時に自動的に取得されるように設定することをおすすめします。Chrome デバイスに Kerberos シングル サインオンを設定するをご覧ください。
  • Kerberos チケットに関連付けられている Active Directory ユーザー アカウントには、設定済みの証明書テンプレートを使用して証明書をリクエストする権限が必要です。
  • 登録エンドポイントが、Chrome OS ポリシーの認証サーバーの許可リストに含まれている必要があります。詳しくは、Chrome のポリシーリストをご覧ください。
    • AD の管理対象デバイスでは、グループ ポリシー オブジェクト(GPO)を使用して設定します。
    • クラウド管理型のデバイスの場合は、管理コンソールで認証サーバーの許可リストを適切に設定します。詳しくは、認証サーバーの許可リストをご覧ください。

拡張機能の設定

拡張機能ポリシーの値 `client_authentication``kerberos` に設定します。

ホスト型サービス アカウント認証

サービス アカウントを使用してデバイス証明書をリクエストするように拡張機能を設定できます。サービス アカウントの認証情報は、ローカル ネットワークのウェブサーバーでホストされています。

警告: デバイス上の認証情報と拡張機能ポリシーをホストしているウェブサーバーが攻撃された場合、サービス アカウントの認証情報が漏洩する恐れがあります。

サービス アカウントの認証情報をホストするウェブサーバーへのアクセスを制限し、Chrome OS デバイスの初回プロビジョニングでのみ使用できるようにすることをおすすめします。

始める前に

  • HTTPS リクエストを処理できるウェブサーバーをローカル ネットワークに用意する必要があります。
  • Chrome OS でそのウェブサーバーの証明書が信頼されている必要があります。自己署名 CA によって発行された証明書がウェブサーバーで使用される場合は、その CA の証明書を管理コンソールで信頼できる証明書として設定できます。

ステップ 1: マスクされたパスワードを生成する

  1. 拡張機能を開きます。
  2. [その他のオプション] 次に [パスワード マスク ツール] を選択します。
  3. サービス アカウントのパスワードを入力します。
  4. [マスク] を選択します。
  5. マスクとマスクされたパスワードをテキスト ファイルにコピーします。

ステップ 2: 内部ウェブサーバーに認証情報を保存する

  1. 以下を含む JSON ファイルを提供するようにウェブサーバーを構成します。

{

  ‘username’: ‘<サービス アカウントのユーザー名>’,

  ‘maskedPassword’: ‘<マスクされたパスワードをコピーして貼り付ける>’

}

  1. ウェブサーバーが認証情報のホストに使用している URL をテキスト ファイルにコピーします。

ステップ 3: 拡張機能ポリシーを設定する

  1. 拡張機能ポリシーの変数 'service_account_host' を先ほどコピーした URL に設定します。
  2. 拡張機能ポリシーの変数 'service_account_host_password_mask' を先ほどコピーしたマスクに設定します。

証明書の自動更新

キーベースの更新を使用して、追加認証なしで既存の証明書を更新するように拡張機能を設定できます。

始める前に

設定した証明書テンプレートのキーベースの更新をサポートする ADCS 証明書登録サービス(CES)エンドポイントが使用可能である必要があります。詳細については、カスタム ポート上で証明書キーベースの書き換え用の証明書の登録 Web サービスを構成するをご覧ください。

拡張機能の設定

  • 拡張機能ポリシーの値 `use_key_based_renewal`true に設定します。
  • 拡張機能ポリシーの値 'ces_renewal_url' を、キーベースの更新をサポートする証明書登録サービス(CES)エンドポイントの URL に設定します。
手順 3: JSON ファイルを検証する
任意のツールで設定ファイルを検証し、JSON コードにエラーがないことを確認します。エラーが見つかった場合は、設定ファイルの構文と構造を確認して修正し、再度検証します。
手順 4: 拡張機能のポリシーを適用する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページで、[デバイス] 次に [Chrome 管理] に移動します。
  3. [アプリと拡張機能] をクリックします。
  4. 全ユーザーに設定を適用する場合は、最上位の組織部門を選択したままにします。それ以外の場合は、子組織部門を選択します。
  5. 上部の [ユーザーとブラウザ] をクリックします。
  6. [証明書登録(Chrome OS 用)] 拡張機能を探して選択します。
  7. 右側のパネルの [拡張機能のポリシー] で、テキスト欄に手順 2 で作成した JSON データを入力します。
  8. [インストール ポリシー] で [自動インストールする] または [自動インストールして固定する] を選択します。
  9. [保存] をクリックします。
手順 5:(省略可)拡張機能に登録する Wi-Fi ネットワークを設定する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[デバイス] にアクセスします。
  3. [ネットワーク] 次に [Wi-Fi] の順にクリックします。
  4. 新しい EAP-TLS ネットワークを追加します。
    Wi-Fi ネットワーク設定を追加する方法については、ネットワークの管理をご覧ください。
  5. ネットワークの参照先を登録拡張機能に設定します。[クライアントの登録 URL] に「chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html」と入力します。

注: 登録拡張機能 URL で登録を行うようにネットワークを設定していない場合でも、Chrome ブラウザでこの URL にアクセスすることができます。この設定により、ネットワークを設定する前に手動で URL をテストしたり、EAP-TLS ネットワーク以外での使用目的(証明書ベースの VPN など)で証明書を登録したりできます。ブラウザで URL に移動してネットワーク設定の手順を省略するようにユーザーに指示してください。

手順 6: ポリシーが適用されていることを確認する
管理者が証明書登録(Chrome OS 用)拡張機能を導入後、ユーザーは端末を再起動して設定を有効にする必要があります。管理者は、ユーザーの端末にポリシーが正しく適用されているか確認できます。
  1. 管理対象の Chrome 端末で、chrome://policy にアクセスします。
  2. [ポリシーを再読み込み] をクリックします。
  3. [証明書登録(Chrome OS 用)] までスクロールします。
  4. 各ポリシーの項目の値が JSON ファイルで設定した値と同じであることを確認します。

免責条項

この記事では、Google のサービスでサードパーティ製品を使用する方法と、Google が推奨する設定について説明しています。Google は、サードパーティ製品の設定に関するテクニカル サポートを提供しておりません。また、それらの製品について責任を負う立場にありません。設定とサポートに関する最新情報については、該当する製品のウェブサイトをご覧ください。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。