Como administrador, você pode usar a extensão Inscrição do certificado do Chrome OS para permitir que alguém receba um certificado de usuário ou de dispositivo de forma manual ou automática. Também é possível configurar a renovação automática dos certificados que estão prestes a expirar.
Antes de usar a extensão, confirme que os usuários têm acesso e que a extensão e a política gerenciada associada estão configuradas corretamente. Para receber mais ajuda sobre como configurar a extensão, consulte a seção Guia de implantação de extensões.
Tipos de solicitação de certificado
As solicitações podem ser de certificado de usuário ou de certificado de dispositivo.
- As solicitações de certificado de usuário resultam na emissão de um certificado para o usuário que enviou a solicitação e não para todo o dispositivo. Esses certificados são válidos apenas para o usuário que fez login e não para outros usuários do computador.
- As solicitações de certificado de dispositivo resultam na emissão de um certificado para todo o dispositivo de onde a solicitação foi enviada e não apenas para o usuário que a enviou. Os certificados de dispositivo são válidos para todos os usuários do computador que pertencem à mesma organização. Isso normalmente é necessário para dispositivos usados na sessão de visitante gerenciada ou no modo quiosque.
Provisionamento de certificado sem credenciais informadas pelo usuário
Você pode configurar a extensão Inscrição do certificado para provisionar ou renovar um certificado automaticamente sem que o usuário digite as credenciais.
Quando você configura uma das novas opções de provisionamento ou renovação, a extensão detecta automaticamente se um certificado ainda não foi provisionado em um dispositivo ou está prestes a expirar, depois envia uma notificação para que o usuário receba ou renove o certificado. O usuário precisa clicar na notificação para que a extensão inicie o processo de recebimento ou renovação. Veja mais detalhes na seção Guia de implantação de extensões.
Registrar um certificadoPara registrar um certificado pré-configurado automaticamente, o usuário precisa fazer o seguinte:
- Clicar na notificação Registrar certificado .
- (Opcional) Selecionar a caixa Registrar certificado para todo o dispositivo e solicitar um certificado de dispositivo. Se a caixa não for marcada, um certificado de usuário será solicitado.
- Clicar em Registrar.
Para renovar um certificado, o usuário só precisa clicar na notificação Lembrete de renovação de certificado.
Provisionamento de certificado com credenciais informadas pelo usuário
Você pode configurar a extensão Inscrição do certificado para permitir que os usuários provisionem certificados manualmente.
Fluxos de usuários principais
Os fluxos de usuários na extensão são divididos nas categorias principais e secundários. Um fluxo de usuários principais, descrito nesta seção, é algo que o usuário normalmente encontra.
Criar uma solicitação de certificado de usuárioAs solicitações de certificado de usuário devem resultar na emissão de um certificado para o usuário que a enviou e não para todo o dispositivo. Esses certificados são válidos apenas para o usuário que fez login e não para outros usuários do computador.
- Clique ou navegue com a tecla Tab até o campo "Nome de usuário".
- Digite seu nome de usuário.
- Clique ou navegue com a tecla Tab até o campo "Senha".
- Digite sua senha.
- Mantenha a caixa "Todo o dispositivo" desmarcada.
As solicitações de certificado de dispositivo devem resultar na emissão de um certificado para todo o dispositivo de onde a solicitação foi enviada e não para o usuário que a enviou. Os certificados de dispositivo são válidos para todos os usuários do computador que pertencem à mesma organização. Isso normalmente é necessário para dispositivos usados na sessão pública ou no modo quiosque.
- Clique ou navegue com a tecla Tab até o campo "Nome de usuário".
- Digite seu nome de usuário.
- Clique ou navegue com a tecla Tab até o campo "Senha".
- Digite sua senha.
- Marque a caixa "Todo o dispositivo".
O processo de envio é o mesmo para solicitações de usuário e de dispositivo.
- Crie uma solicitação de certificado de usuário ou de dispositivo conforme descrito nas etapas acima.
- Navegue até o botão "Inscrever".
- Clicar em Inscrever.
Depois que uma solicitação é enviada, o resultado ideal é uma resposta do servidor com o certificado solicitado.
- Envie uma solicitação de certificado conforme descrito acima.
- Aguarde o recebimento da resposta.
- Quando a resposta é recebida, uma caixa de diálogo aparece com uma mensagem indicando que o certificado foi recebido e importado.
- Selecione "Ok" na caixa de diálogo, pressione a tecla Esc ou clique fora da caixa para fechá-la ao terminar.
Depois de enviada, a solicitação pode falhar por vários motivos. A resposta de erro informa o usuário sobre o problema.
- Envie uma solicitação de certificado conforme descrito acima.
- Aguarde o recebimento da resposta.
- Quando a resposta é recebida, uma caixa de diálogo aparece com uma mensagem indicando que algo deu errado.
- Selecione "Ok" na caixa de diálogo, pressione a tecla Esc ou clique fora da caixa para fechá-la ao terminar.
- Caso o erro possa ser corrigido, como um nome de usuário inválido, corrija-o e reenvie a solicitação. Se não for possível corrigir o erro, como quando a solicitação tem acesso negado pelo servidor, o usuário precisará pedir ajuda.
Fluxos de usuários secundários
Os fluxos de usuários secundários descritos abaixo raramente ocorrem.
Receber uma resposta de certificado pendenteDepois de enviada, a solicitação pode ser definida como pendente pelo servidor para que seja revisada e aprovada ou rejeitada por alguém. A resposta de pendência informa o usuário sobre como verificar o status da solicitação mais tarde.
- Envie uma solicitação de certificado conforme descrito acima.
- Aguarde o recebimento da resposta.
- Quando a resposta é recebida, uma caixa de diálogo aparece com uma mensagem indicando que a solicitação está pendente. A mensagem também contém o URI de registro e o código necessários para verificar o status da solicitação.
- Copie o URI e o código da solicitação para usar mais tarde.
- Selecione "Ok" na caixa de diálogo, pressione a tecla Esc ou clique fora da caixa para fechá-la ao terminar.
Quando o usuário tem um certificado pendente, ele pode querer verificar o status desse certificado em algum momento. Para criar e enviar solicitações de certificado pendentes, o usuário precisa acessar a IU de solicitação pendente.
- Clique ou navegue com a tecla Tab e selecione o botão "Mais opções".
- Na lista de opções geradas, clique ou navegue com a tecla Tab até a opção "Quer mostrar campos extras para verificar solicitações pendentes?".
- Selecione-a para que os campos de solicitação pendente sejam exibidos.
Depois de acessar a IU de solicitação pendente, o usuário pode querer voltar à IU normal em algum momento.
- Clique ou navegue com a tecla Tab e selecione o botão "Mais opções".
- Na lista de opções geradas, clique ou navegue com a tecla Tab até a opção "Quer ocultar os campos extras para verificar as solicitações pendentes?".
- Selecione-a para que os campos de solicitação pendente não sejam exibidos.
Quando o usuário tem um certificado pendente, ele pode querer verificar o status desse certificado em algum momento. Com a extensão, esse fluxo é muito semelhante à criação de uma nova solicitação.
- Acesse a IU de solicitação pendente conforme descrito acima.
- Clique ou navegue com a tecla Tab até o campo "Nome de usuário".
- Digite seu nome de usuário.
- Clique ou navegue com a tecla Tab até o campo "Senha".
- Digite sua senha.
- Clique ou navegue com a tecla Tab até o campo "URI de registro".
- Digite o URI de registro exibido em uma resposta de certificado pendente anterior.
- Clique ou navegue com a tecla Tab até o campo "Código da solicitação".
- Digite o código da solicitação exibido em uma resposta de certificado pendente anterior.
- Se a solicitação original for de um certificado para todo o dispositivo, marque a caixa de seleção "Todo o dispositivo". Caso contrário, mantenha a caixa de seleção "Todo o dispositivo" desmarcada.
Depois que uma solicitação de verificação de certificado pendente é criada, o usuário precisa enviar essa solicitação para receber uma resposta. A solicitação de verificação de certificado pendente pode resultar em uma resposta de sucesso, falha ou pendência que corresponde aos fluxos já mencionados.
- Crie uma solicitação de verificação de certificado pendente conforme descrito acima.
- Navegue até o botão "Verificar status".
- Selecione-o.
Algumas vezes, em casos de erro, pode ser útil para o assistente ou administrador ver os registros completos do que aconteceu com a extensão. Para que o usuário tenha acesso a esses registros, disponibilizamos um método simples de copiá-los para a área de transferência.
- Clique ou navegue com a tecla Tab e selecione o botão "Mais opções".
- Na lista de opções geradas, clique ou navegue com a tecla Tab até a opção "Copiar registros p/ área de transf.".
- Selecione-a para que os registros sejam copiados para a área de transferência do usuário.
- O usuário pode colar os registros em qualquer lugar seguindo o processo normal do dispositivo.
Guia de implantação de extensões
Apenas para Chromebooks gerenciados.
Como você tem a função de administrador, pode permitir que os usuários do Chromebook acessem as redes protegidas e os recursos internos da sua empresa que exigem um certificado para autenticação. Instale e configure remotamente a extensão Inscrição do certificado do ChromeOS para os usuários solicitarem certificados do sistema ou do usuário em Chromebooks.
Outra opção é configurar o provisionamento automático de certificados usando a autenticação Kerberos para certificados do usuário ou do dispositivo ou a autenticação de conta de serviço hospedado para certificados do dispositivo. Você também pode configurar a extensão para renovar certificados sem autenticação adicional usando chaves.
Com a extensão, você também pode escalonar o lançamento dos dispositivos ChromeOS com a automação do processo de inscrição de certificados do Microsoft Active Directory no Google Admin Console.
Antes de começar
Para permitir que os usuários solicitem certificados digitais, você precisa do seguinte:
- Microsoft Windows Server 2008 R2 ou posterior
- Serviços de Informações da Internet da Microsoft (IIS) 7.0 ou posterior
- Serviços de Certificados do Active Directory (ADCS), incluindo:
- Serviço de Registro de Certificado (CES)
- Política de Registro de Certificado (CEP)
- Um certificado válido associado ao site do ADCS no IIS
- Um ponto de extremidade visível para CEP e CES
Exoneração de responsabilidade
Este guia descreve como os produtos do Google funcionam com produtos de terceiros e as configurações recomendadas pelo Google. O Google não fornece suporte técnico para a configuração de produtos terceirizados. O Google se isenta de qualquer responsabilidade por produtos de terceiros. Acesse o site do produto para ver as configurações e informações de suporte mais recentes.
Implantar a extensão
Etapa 1: forçar a instalação da extensão para os usuários-
-
No Admin Console, acesse Menu DispositivosChromeApps e extensõesUsuários e navegadores.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu Navegador ChromeApps e extensõesUsuários e navegadores.
- Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
- Aponte para Adicionar Adicionar da Chrome Web Store.
- Pesquise e selecione Inscrição do certificado do ChromeOS. O código da extensão é fhndealchbngfhdoncgcokameljahhog.
- Na página Usuários e navegadores, selecione a extensão Inscrição do certificado do ChromeOS.
- No painel à direita, em Gerenciamento de certificados, ative Permitir o acesso às chaves.
- Em Política de instalação, escolha Forçar a instalação ou Forçar a instalação e fixar na barra de tarefas do Chrome OS.
- Clique em Salvar.
Crie um arquivo com as configurações que você quer aplicar à extensão Inscrição do certificado do ChromeOS para os usuários. Comece com este arquivo de amostra e mude as políticas para atender às necessidades da organização ou dos usuários. É possível editar o arquivo JSON (JavaScript Object Notation) com um editor de texto.
Observação: as políticas que contêm valores padrão nas strings mostradas para usuários são traduzidas e exibidas nos dispositivos de acordo com a localidade do usuário. Você pode alterar as strings de acordo com as necessidades da sua organização, mas elas não serão traduzidas.
É possível definir as seguintes políticas:
Nome da política | Efeitos |
---|---|
allow_machine_cert_enrollment |
Permite que os usuários instalem um certificado do sistema. Se ela estiver definida como verdadeiro, os usuários poderão solicitar um certificado do sistema ou do usuário. Se não, eles só poderão solicitar um certificado do usuário. O valor padrão é falso. |
cep_proxy_url |
Especifica o ponto de extremidade HTTPS da CEP. Para saber qual é o ponto de extremidade:
Apenas os valores que começam com HTTPS são válidos. No Gerenciador do IIS, se você digitar um valor que comece com HTTPS, mas não corresponda ao Identificador de Recurso Uniforme (URI, na sigla em inglês), ele será considerado válido, mas provavelmente falhará ao ser usado. Esta política é obrigatória. |
company_info |
Especifica as informações da marca da sua organização, como nome e logotipo.
|
device_cert_request_values |
Especifica os valores que serão usados na solicitação de assinatura de certificado (CSR, na sigla em inglês) de um dispositivo. Em vez de usar as propriedades do requerente, defina os valores do titular com base nos atributos do usuário e do dispositivo. Ao fazer uma CSR personalizada, você também precisa configurar o modelo do certificado na autoridade de certificação (CA, na sigla em inglês) para receber e gerar um certificado com os valores do titular definidos na própria solicitação. É necessário adicionar pelo menos um valor ao campo É possível usar os marcadores a seguir. Todos os valores são opcionais. Para dispositivos ChromeOS com a versão 66 e posterior, você pode usar:
Se um valor do marcador não estiver disponível, ele será substituído por uma string vazia. É possível vincular os marcadores. Por exemplo, |
device_enrollment_templates |
Lista de nomes de modelos de certificado correspondentes por ordem de prioridade para fluxos de inscrição de usuários. A extensão pesquisa a lista para encontrar um modelo de certificado correspondente. O primeiro que for encontrado será usado. Se ocorrer um erro, a extensão não tentará verificar outros modelos de certificado novamente. Esta política é obrigatória. A lista deve ter pelo menos um valor. No Console de Gerenciamento Microsoft (MMC, na sigla em inglês) de CA, use o Nome do modelo e não o Nome de exibição do modelo. O padrão é ChromeOSWirelessUser. |
enable_auto_enrollment |
Controla se a extensão inicia a inscrição automaticamente. Se a política estiver definida como falso, a extensão aguardará o usuário tentar se conectar à rede EAP-TLS. O valor padrão é falso. |
log_level |
Especifica o nível de detalhe nos registros da extensão que são enviados para o Console JavaScript no Chrome. NENHUM (padrão): nada é registrado no console. ERRO: apenas erros distintos são registrados no console. AVISO: avisos e erros distintos são registrados no console. INFORMAÇÕES: avisos e erros distintos, além de informações relevantes sobre ações, são registrados no console. DEPURAR: tudo é registrado no console. Na versão inicial, essa configuração é recomendada para resolver possíveis problemas. Em Mais opções, você pode copiar automaticamente todos os registros para a área de transferência. Para acessar os registros do Chrome nos dispositivos, os usuários podem abrir o console do desenvolvedor da Web nesse navegador de duas maneiras:
Esta política é obrigatória. |
placeholder_values |
Especifica dados como nome de usuário, senha, URI, código da solicitação e marcadores de cabeçalho. Essas informações ajudam a orientar os usuários quando eles fazem login.
|
renew_hours_before_expiry |
Especifica o período, em horas, antes da expiração do certificado para notificar aos usuários.
O padrão é 120. |
renew_reminder_interval |
Controla com que frequência, em horas, os usuários são notificados antes da expiração do certificado. Após a primeira notificação, se o usuário não renovar o certificado nem escolher ignorar lembretes, ele verá mais notificações depois do período definido. Por exemplo, se você definir renew_hours_before_expiry como 120 e renew_reminder_interval como 24 e um usuário sempre optar por receber mais lembretes, ele receberá cinco notificações de renovação, uma por dia, até o certificado expirar. O padrão é 24. |
request_timeout_seconds |
Período, em segundos, antes de expirar o tempo limite de uma chamada para CEP ou CES. O padrão é 20. |
signature_algo |
Especifica o algoritmo de assinatura usado pela extensão para assinar solicitações de certificado. As opções são as seguintes:
|
user_cert_request_values |
Especifica os valores usados na solicitação de assinatura de certificado (CSR) para um certificado do usuário. Em vez de usar as propriedades do requerente, defina os valores do titular com base nos atributos do usuário e do dispositivo. Para usar o recurso de CSR personalizado, também é necessário configurar o modelo de certificado na CA (Autoridade de certificação). Dessa forma, é possível esperar e gerar um certificado com os valores do titular definidos na própria solicitação. É necessário adicionar pelo menos um valor ao campo É possível usar os marcadores a seguir. Todos os valores são opcionais.
Se um valor do marcador não estiver disponível, ele será substituído por uma string vazia. É possível vincular os marcadores. Por exemplo, |
user_enrollment_templates |
Lista de nomes de modelos de certificado correspondentes por ordem de prioridade para fluxos de inscrição de usuários. A extensão pesquisa a lista para encontrar um modelo de certificado correspondente. O primeiro que for encontrado será usado. Se ocorrer um erro, a extensão não tentará verificar outros modelos de certificado novamente. Esta política é obrigatória. A lista deve ter pelo menos um valor. No MMC de CA, use o Nome do modelo e não o Nome de exibição do modelo. O padrão é ChromeOSWirelessUser. |
Configurar o provisionamento de certificados com ou sem credenciais informadas pelo usuário
Por padrão, a extensão Inscrição de certificado permite o provisionamento manual quando o usuário informa as credenciais ao tentar receber um certificado.
Com a extensão do ChromeOS, você pode permitir que os usuários provisionem ou renovem automaticamente um certificado sem informar as credenciais manualmente. A extensão pode solicitar certificados do usuário e do dispositivo usando a autenticação Kerberos quando um tíquete do Kerberos está disponível no dispositivo. Ela também pode solicitar certificados do dispositivo usando apenas uma conta de serviço.
Autenticação Kerberos
Antes de começar
- O usuário do ChromeOS precisa ter um tíquete do Kerberos no dispositivo.
- O gerenciador de credenciais do Kerberos precisa ser configurado pela política para permitir a busca de um tíquete para o usuário que fez login. De preferência, essa operação é configurada para ocorrer automaticamente no login. Consulte Configurar o Logon único do Kerberos para dispositivos ChromeOS.
- A conta de usuário do Active Directory associada ao tíquete do Kerberos precisa ter permissão para solicitar certificados usando o modelo de certificado configurado.
- O endpoint de inscrição precisa estar listado na política do ChromeOS Servidores de autenticação integrados. Veja detalhes na Lista de políticas do Chrome.
- Defina a configuração Servidores de autenticação integrados corretamente no Admin Console. Veja detalhes em Servidores de autenticação integrados.
Configurar a extensão
Defina o valor client_authentication
da política da extensão como kerberos
.
Autenticação de conta de serviço hospedado
Você pode configurar a extensão para solicitar um certificado do dispositivo usando uma conta de serviço. As credenciais da conta de serviço são hospedadas em um servidor da Web na rede local.
Aviso: se um invasor tiver acesso ao servidor da Web que hospeda as credenciais e à política da extensão no dispositivo, poderá extrair as credenciais da conta de serviço.
Recomendamos restringir o acesso ao servidor da Web que hospeda as credenciais da conta de serviço a uma rede usada apenas para o provisionamento inicial de dispositivos ChromeOS.
Antes de começar
- Você precisa ter um servidor da Web na rede local compatível com solicitações HTTPS.
- O ChromeOS precisa confiar no certificado desse servidor. Se o servidor da Web usar um certificado emitido por uma autoridade de certificação autoassinada, você poderá configurar esse certificado como confiável no Admin Console.
Etapa 1: gerar a senha mascarada
- Abra a extensão.
- Selecione MaisFerramenta de mascaramento de senha.
- Digite a senha da conta de serviço.
- Selecione Máscara.
- Copie a máscara e a senha mascarada em um arquivo de texto.
Etapa 2: armazenar as credenciais no servidor da Web interno
- Configure o servidor da Web para exibir um arquivo JSON que contenha o seguinte:
{
‘username’: ‘<nome de usuário da conta de serviço>’,
‘maskedPassword’: ‘<copie e cole a senha mascarada>’
}
- Copie e cole em um arquivo de texto o URL que o servidor da Web usa para hospedar as credenciais.
Etapa 2: configurar a política de extensão
- Defina a variável
service_account_host
da política da extensão como o URL copiado acima. - Defina a variável
service_account_host_password_mask
da política da extensão como a máscara copiada acima.
Renovação automática de certificados
Você pode configurar a extensão para renovar certificados sem autenticação adicional usando chaves.
Antes de começar
Um endpoint do Serviço de Registro de Certificado (CES, na sigla em inglês) do Serviço de Certificados do Active Directory compatível com a renovação baseada em chaves para o modelo de certificado configurado precisa estar disponível. Veja os detalhes em Configurar o Serviço Web de Registro de Certificado para renovação baseada em chave de certificados em uma porta personalizada.
Configurar a extensão
- Defina o valor
use_key_based_renewal
da política da extensão como true. - Defina o valor
ces_renewal_url
da política da extensão como o URL do endpoint do CES compatível com a renovação baseada em chaves.
-
-
No Admin Console, acesse Menu DispositivosChromeApps e extensõesUsuários e navegadores.
Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu Navegador ChromeApps e extensõesUsuários e navegadores.
- (Apenas usuários) Para aplicar a configuração a um grupo, faça o seguinte:
- Selecione Grupos.
- Escolha o grupo para aplicar a configuração.
- Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
- Encontre e selecione a extensão Inscrição do certificado do ChromeOS.
- No painel à direita, em Política para extensões , digite no campo de texto os dados JSON que você criou na etapa 2.
- Em Política de instalação, escolha Forçar a instalação ou Forçar a instalação e fixar na barra de tarefas do Chrome OS.
- Clique em Salvar.
-
-
No Admin Console, acesse Menu DispositivosRedes.
- Clique em Wi-Fi.
- Informe uma nova rede EAP-TLS.
Veja os detalhes sobre como adicionar uma configuração de rede Wi-Fi em Gerenciar redes. - Direcione a rede para a extensão de inscrição. No campo URL de registro do cliente, digite chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.
Observação: o URL da extensão de inscrição pode ser acessado no navegador Chrome, mesmo sem nenhuma rede configurada para inscrição nesse URL. Com isso, você pode testá-lo manualmente antes de configurar redes ou inscrever certificados para outros usos além das redes EAP-TLS, como a VPN baseada em certificado. Peça aos usuários para acessar o URL no navegador e pule a etapa de configuração da rede.
- Em um dispositivo ChromeOS gerenciado, acesse chrome://policy.
- Clique em Atualizar políticas.
- Role até Inscrição do certificado do ChromeOS.
- Para cada política, confirme se os campos de valor são os mesmos que você definiu no arquivo JSON.
Resolver problemas com solicitações de certificados digitais
Apenas para Chromebooks gerenciados.
Veja como corrigir problemas que podem ocorrer quando os usuários solicitam certificados digitais.
Mensagens de erro na IU da extensão
Não foi possível encontrar um token válido do sistema. Talvez seu dispositivo não esteja inscrito no domínio ou você não tenha direito de solicitar um certificado do sistema.
Mensagens de erro nos registros do console do Chrome
Não foi possível fazer a inscrição no URI especificado.
Pontos de extremidade com inscrição de solicitações de extensão incorretas.
- Solicitação de URL correta: https://nomedeusuario:senha@uridoservicoCEP
- Solicitação de URL incorreta: extensao-chrome: // nomedeusuario: senha@fhndealchbngfhdoncgcokameljahhog/html/solicitar_certificado.html
Os usuários podem ter problemas de solicitação de URL quando a extensão Inscrição do certificado do ChromeOS é instalada pela primeira vez sem informações do estado atual. Também pode haver problemas quando a extensão é atualizada e perde as informações do estado em que estava antes.
Quando você quiser enviar por push uma política nova ou atualizada para a extensão, primeiro envie por push uma política vazia. Isso limpa e redefine todos os valores atuais da política. Depois envie por push a política que você quiser.
- Envie por push uma política vazia.
- Verifique se as políticas foram aplicadas aos dispositivos dos usuários.
- Envie por push a política que você preferir.
- Verifique se as políticas foram aplicadas aos dispositivos dos usuários.
- Atualize a extensão Inscrição do certificado do ChromeOS.
Não há URIs disponíveis para inscrição.
- Confirme que você configurou os serviços de função da Inscrição do certificado para aceitar a autenticação de nome de usuário e senha (não o Kerberos, por exemplo).
- Verifique se sua configuração de extensão está definida para usar o modelo de CA correto.
- Verifique se o valor informado na política user_enrollment_templates no arquivo JSON é igual ao do Nome de modelo da CA, e não ao Nome de exibição do modelo.
- Verifique as permissões dos usuários autenticados definidas no modelo da CA. Depois, assegure que os usuários tenham os privilégios adequados.
Google e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais eles estão associados.