Usar a extensão Inscrição do certificado do Chrome OS

Para registrar um certificado pré-configurado automaticamente, o usuário precisa fazer o seguinte:

1. Clicar na notificação Registrar certificado .
2. (Opcional) Selecionar a caixa Registrar certificado para todo o dispositivo e solicitar um certificado de dispositivo. Se a caixa não for marcada, um certificado de usuário será solicitado.
3. Clicar em Registrar.

Para renovar um certificado, o usuário só precisa clicar na notificação Lembrete de renovação de certificado.

As solicitações de certificado de usuário devem resultar na emissão de um certificado para o usuário que a enviou e não para todo o dispositivo. Esses certificados são válidos apenas para o usuário que fez login e não para outros usuários do computador.

1. Clique ou navegue com a tecla Tab até o campo "Nome de usuário".
2. Digite seu nome de usuário.
3. Clique ou navegue com a tecla Tab até o campo "Senha".
4. Digite sua senha.
5. Mantenha a caixa "Todo o dispositivo" desmarcada.

As solicitações de certificado de dispositivo devem resultar na emissão de um certificado para todo o dispositivo de onde a solicitação foi enviada e não para o usuário que a enviou. Os certificados de dispositivo são válidos para todos os usuários do computador que pertencem à mesma organização. Isso normalmente é necessário para dispositivos usados na sessão pública ou no modo quiosque.

1. Clique ou navegue com a tecla Tab até o campo "Nome de usuário".
2. Digite seu nome de usuário.
3. Clique ou navegue com a tecla Tab até o campo "Senha".
4. Digite sua senha.
5. Marque a caixa "Todo o dispositivo".

O processo de envio é o mesmo para solicitações de usuário e de dispositivo.

1. Crie uma solicitação de certificado de usuário ou de dispositivo conforme descrito nas etapas acima.
2. Navegue até o botão "Inscrever".
3. Clicar em Inscrever.

Depois que uma solicitação é enviada, o resultado ideal é uma resposta do servidor com o certificado solicitado.

1. Envie uma solicitação de certificado conforme descrito acima.
2. Aguarde o recebimento da resposta.
3. Quando a resposta é recebida, uma caixa de diálogo aparece com uma mensagem indicando que o certificado foi recebido e importado.
4. Selecione "Ok" na caixa de diálogo, pressione a tecla Esc ou clique fora da caixa para fechá-la ao terminar.

Depois de enviada, a solicitação pode falhar por vários motivos. A resposta de erro informa o usuário sobre o problema.

1. Envie uma solicitação de certificado conforme descrito acima.
2. Aguarde o recebimento da resposta.
3. Quando a resposta é recebida, uma caixa de diálogo aparece com uma mensagem indicando que algo deu errado.
4. Selecione "Ok" na caixa de diálogo, pressione a tecla Esc ou clique fora da caixa para fechá-la ao terminar.
5. Caso o erro possa ser corrigido, como um nome de usuário inválido, corrija-o e reenvie a solicitação. Se não for possível corrigir o erro, como quando a solicitação tem acesso negado pelo servidor, o usuário precisará pedir ajuda.

Depois de enviada, a solicitação pode ser definida como pendente pelo servidor para que seja revisada e aprovada ou rejeitada por alguém. A resposta de pendência informa o usuário sobre como verificar o status da solicitação mais tarde.

1. Envie uma solicitação de certificado conforme descrito acima.
2. Aguarde o recebimento da resposta.
3. Quando a resposta é recebida, uma caixa de diálogo aparece com uma mensagem indicando que a solicitação está pendente. A mensagem também contém o URI de registro e o código necessários para verificar o status da solicitação.
4. Copie o URI e o código da solicitação para usar mais tarde.
5. Selecione "Ok" na caixa de diálogo, pressione a tecla Esc ou clique fora da caixa para fechá-la ao terminar.

Quando o usuário tem um certificado pendente, ele pode querer verificar o status desse certificado em algum momento. Para criar e enviar solicitações de certificado pendentes, o usuário precisa acessar a IU de solicitação pendente.

1. Clique ou navegue com a tecla Tab e selecione o botão "Mais opções".
2. Na lista de opções geradas, clique ou navegue com a tecla Tab até a opção "Quer mostrar campos extras para verificar solicitações pendentes?".
3. Selecione-a para que os campos de solicitação pendente sejam exibidos.

Depois de acessar a IU de solicitação pendente, o usuário pode querer voltar à IU normal em algum momento.

1. Clique ou navegue com a tecla Tab e selecione o botão "Mais opções".
2. Na lista de opções geradas, clique ou navegue com a tecla Tab até a opção "Quer ocultar os campos extras para verificar as solicitações pendentes?".
3. Selecione-a para que os campos de solicitação pendente não sejam exibidos.

Quando o usuário tem um certificado pendente, ele pode querer verificar o status desse certificado em algum momento. Com a extensão, esse fluxo é muito semelhante à criação de uma nova solicitação.

1. Acesse a IU de solicitação pendente conforme descrito acima.
2. Clique ou navegue com a tecla Tab até o campo "Nome de usuário".
3. Digite seu nome de usuário.
4. Clique ou navegue com a tecla Tab até o campo "Senha".
5. Digite sua senha.
6. Clique ou navegue com a tecla Tab até o campo "URI de registro".
7. Digite o URI de registro exibido em uma resposta de certificado pendente anterior.
8. Clique ou navegue com a tecla Tab até o campo "Código da solicitação".
9. Digite o código da solicitação exibido em uma resposta de certificado pendente anterior.
10. Se a solicitação original for de um certificado para todo o dispositivo, marque a caixa de seleção "Todo o dispositivo". Caso contrário, mantenha a caixa de seleção "Todo o dispositivo" desmarcada.

Depois que uma solicitação de verificação de certificado pendente é criada, o usuário precisa enviar essa solicitação para receber uma resposta. A solicitação de verificação de certificado pendente pode resultar em uma resposta de sucesso, falha ou pendência que corresponde aos fluxos já mencionados.

1. Crie uma solicitação de verificação de certificado pendente conforme descrito acima.
2. Navegue até o botão "Verificar status".
3. Selecione-o.

Algumas vezes, em casos de erro, pode ser útil para o assistente ou administrador ver os registros completos do que aconteceu com a extensão. Para que o usuário tenha acesso a esses registros, disponibilizamos um método simples de copiá-los para a área de transferência.

1. Clique ou navegue com a tecla Tab e selecione o botão "Mais opções".
2. Na lista de opções geradas, clique ou navegue com a tecla Tab até a opção "Copiar registros p/ área de transf.".
3. Selecione-a para que os registros sejam copiados para a área de transferência do usuário.
4. O usuário pode colar os registros em qualquer lugar seguindo o processo normal do dispositivo.

1. Faça login no Google Admin Console.

   Use sua conta de administrador (não termina em @gmail.com).

2. No Admin Console, acesse Menu  DispositivosChromeApps e extensõesUsuários e navegadores.

   Se você se inscreveu no Gerenciamento de nuvem do navegador Chrome, acesse Menu  Navegador ChromeApps e extensõesUsuários e navegadores.
3. Para aplicar a configuração a todos, deixe a unidade organizacional mãe selecionada. Caso contrário, selecione uma unidade organizacional filha.
4. Aponte para Adicionar Adicionar da Chrome Web Store.
5. Pesquise e selecione Inscrição do certificado do ChromeOS. O código da extensão é fhndealchbngfhdoncgcokameljahhog.
6. Na página Usuários e navegadores, selecione a extensão Inscrição do certificado do ChromeOS.
7. No painel à direita, em Gerenciamento de certificados, ative Permitir o acesso às chaves.
8. Em Política de instalação, escolha Forçar a instalação ou Forçar a instalação e fixar na barra de tarefas do Chrome OS.
9. Clique em Salvar.

Crie um arquivo com as configurações que você quer aplicar à extensão Inscrição do certificado do ChromeOS para os usuários. Comece com este arquivo de amostra e mude as políticas para atender às necessidades da organização ou dos usuários. É possível editar o arquivo JSON (JavaScript Object Notation) com um editor de texto.

Observação: as políticas que contêm valores padrão nas strings mostradas para usuários são traduzidas e exibidas nos dispositivos de acordo com a localidade do usuário. Você pode alterar as strings de acordo com as necessidades da sua organização, mas elas não serão traduzidas.

É possível definir as seguintes políticas:

Nome da política	Efeitos
allow_machine_cert_enrollment	Permite que os usuários instalem um certificado do sistema. Se ela estiver definida como verdadeiro, os usuários poderão solicitar um certificado do sistema ou do usuário. Se não, eles só poderão solicitar um certificado do usuário. O valor padrão é falso.
cep_proxy_url	Especifica o ponto de extremidade HTTPS da CEP. Para saber qual é o ponto de extremidade: No Gerenciador do IIS, acesse o site da CEP. O nome geralmente contém CEP. Abra Configurações do aplicativo. O endpoint HTTPS para a CEP aparece em uma lista em URI. Apenas os valores que começam com HTTPS são válidos. No Gerenciador do IIS, se você digitar um valor que comece com HTTPS, mas não corresponda ao Identificador de Recurso Uniforme (URI, na sigla em inglês), ele será considerado válido, mas provavelmente falhará ao ser usado. Esta política é obrigatória.
company_info	Especifica as informações da marca da sua organização, como nome e logotipo. Defina help_url e direcione os usuários para uma página da Web onde eles recebem informações ou suporte. Se a página da Web especificada for bloqueada para usuários sem um certificado, como na primeira solicitação, use help_text para inserir um texto explicativo. Se você definir help_url e help_text, a página da Web especificada aparecerá abaixo do texto explicativo nos dispositivos dos usuários.
device_cert_request_values	Especifica os valores que serão usados na solicitação de assinatura de certificado (CSR, na sigla em inglês) de um dispositivo. Em vez de usar as propriedades do requerente, defina os valores do titular com base nos atributos do usuário e do dispositivo. Ao fazer uma CSR personalizada, você também precisa configurar o modelo do certificado na autoridade de certificação (CA, na sigla em inglês) para receber e gerar um certificado com os valores do titular definidos na própria solicitação. É necessário adicionar pelo menos um valor ao campo CommonName do titular. É possível usar os marcadores a seguir. Todos os valores são opcionais. Para dispositivos ChromeOS com a versão 66 e posterior, você pode usar: ${DEVICE_DIRECTORY_ID}: código de diretório do dispositivo ${USER_EMAIL}: endereço de e-mail do usuário que fez login ${USER_DOMAIN}: nome de domínio do usuário que fez login ${DEVICE_SERIAL_NUMBER}: número de série do dispositivo ${DEVICE_ASSET_ID}: código do recurso atribuído ao dispositivo pelo administrador ${DEVICE_ANNOTATED_LOCATION}: local atribuído ao dispositivo pelo administrador Se um valor do marcador não estiver disponível, ele será substituído por uma string vazia. É possível vincular os marcadores. Por exemplo, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} será substituído pelo número de série do dispositivo se o código do recurso não estiver disponível.
device_enrollment_templates	Lista de nomes de modelos de certificado correspondentes por ordem de prioridade para fluxos de inscrição de usuários. A extensão pesquisa a lista para encontrar um modelo de certificado correspondente. O primeiro que for encontrado será usado. Se ocorrer um erro, a extensão não tentará verificar outros modelos de certificado novamente. Esta política é obrigatória. A lista deve ter pelo menos um valor. No Console de Gerenciamento Microsoft (MMC, na sigla em inglês) de CA, use o Nome do modelo e não o Nome de exibição do modelo. O padrão é ChromeOSWirelessUser.
enable_auto_enrollment	Controla se a extensão inicia a inscrição automaticamente. Se a política estiver definida como falso, a extensão aguardará o usuário tentar se conectar à rede EAP-TLS. O valor padrão é falso.
log_level	Especifica o nível de detalhe nos registros da extensão que são enviados para o Console JavaScript no Chrome. NENHUM (padrão): nada é registrado no console. ERRO: apenas erros distintos são registrados no console. AVISO: avisos e erros distintos são registrados no console. INFORMAÇÕES: avisos e erros distintos, além de informações relevantes sobre ações, são registrados no console. DEPURAR: tudo é registrado no console. Na versão inicial, essa configuração é recomendada para resolver possíveis problemas. Em Mais opções, você pode copiar automaticamente todos os registros para a área de transferência. Para acessar os registros do Chrome nos dispositivos, os usuários podem abrir o console do desenvolvedor da Web nesse navegador de duas maneiras: Pressione Ctrl + Shift + i. Clique em Mais ferramentas Ferramentas do desenvolvedor. Esta política é obrigatória.
placeholder_values	Especifica dados como nome de usuário, senha, URI, código da solicitação e marcadores de cabeçalho. Essas informações ajudam a orientar os usuários quando eles fazem login. Os campos "Nome de usuário", "Senha", "URI" e "Código da solicitação" são mostrados nos campos de entrada para indicar a função de cada um. O campo "Cabeçalho" é usado para dar título à página. Existem valores especiais para os campos Nome de usuário, Senha e Cabeçalho que permitem aos clientes usar nomes padrão internacionalizados. managed_username_placeholder: nome de usuário managed_password_placeholder: senha managed_login_header: inscrição do certificado Se sua organização usar outra terminologia, como senha longa em vez de senha, altere os valores. Mas o novo valor não será traduzido.
renew_hours_before_expiry	Especifica o período, em horas, antes da expiração do certificado para notificar aos usuários.   O padrão é 120.
renew_reminder_interval	Controla com que frequência, em horas, os usuários são notificados antes da expiração do certificado. Após a primeira notificação, se o usuário não renovar o certificado nem escolher ignorar lembretes, ele verá mais notificações depois do período definido. Por exemplo, se você definir renew_hours_before_expiry como 120 e renew_reminder_interval como 24 e um usuário sempre optar por receber mais lembretes, ele receberá cinco notificações de renovação, uma por dia, até o certificado expirar. O padrão é 24.
request_timeout_seconds	Período, em segundos, antes de expirar o tempo limite de uma chamada para CEP ou CES. O padrão é 20.
signature_algo	Especifica o algoritmo de assinatura usado pela extensão para assinar solicitações de certificado. As opções são as seguintes: SHA1 (não recomendado): algoritmo fraco que pode comprometer a segurança dos usuários SHA256 SHA512 (padrão)
user_cert_request_values	Especifica os valores usados na solicitação de assinatura de certificado (CSR) para um certificado do usuário. Em vez de usar as propriedades do requerente, defina os valores do titular com base nos atributos do usuário e do dispositivo. Para usar o recurso de CSR personalizado, também é necessário configurar o modelo de certificado na CA (Autoridade de certificação). Dessa forma, é possível esperar e gerar um certificado com os valores do titular definidos na própria solicitação. É necessário adicionar pelo menos um valor ao campo CommonName do titular. É possível usar os marcadores a seguir. Todos os valores são opcionais. ${DEVICE_DIRECTORY_ID}: código de diretório do dispositivo ${USER_EMAIL}: endereço de e-mail do usuário que fez login ${USER_DOMAIN}: nome de domínio do usuário que fez login ${DEVICE_SERIAL_NUMBER}: número de série do dispositivo ${DEVICE_ASSET_ID}: código do recurso atribuído ao dispositivo pelo administrador ${DEVICE_ANNOTATED_LOCATION}: local atribuído ao dispositivo pelo administrador ${USER_ID} : primeira parte (antes de @) do endereço de e-mail do usuário que fez login Se um valor do marcador não estiver disponível, ele será substituído por uma string vazia. É possível vincular os marcadores. Por exemplo, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} será substituído pelo número de série do dispositivo se o código do recurso não estiver disponível.
user_enrollment_templates	Lista de nomes de modelos de certificado correspondentes por ordem de prioridade para fluxos de inscrição de usuários. A extensão pesquisa a lista para encontrar um modelo de certificado correspondente. O primeiro que for encontrado será usado. Se ocorrer um erro, a extensão não tentará verificar outros modelos de certificado novamente. Esta política é obrigatória. A lista deve ter pelo menos um valor. No MMC de CA, use o Nome do modelo e não o Nome de exibição do modelo. O padrão é ChromeOSWirelessUser.

Configurar o provisionamento de certificados com ou sem credenciais informadas pelo usuário

Por padrão, a extensão Inscrição de certificado permite o provisionamento manual quando o usuário informa as credenciais ao tentar receber um certificado.

Com a extensão do ChromeOS, você pode permitir que os usuários provisionem ou renovem automaticamente um certificado sem informar as credenciais manualmente. A extensão pode solicitar certificados do usuário e do dispositivo usando a autenticação Kerberos quando um tíquete do Kerberos está disponível no dispositivo. Ela também pode solicitar certificados do dispositivo usando apenas uma conta de serviço.

Autenticação Kerberos

Antes de começar

• O usuário do ChromeOS precisa ter um tíquete do Kerberos no dispositivo.
  • O gerenciador de credenciais do Kerberos precisa ser configurado pela política para permitir a busca de um tíquete para o usuário que fez login. De preferência, essa operação é configurada para ocorrer automaticamente no login. Consulte Configurar o Logon único do Kerberos para dispositivos ChromeOS.
• A conta de usuário do Active Directory associada ao tíquete do Kerberos precisa ter permissão para solicitar certificados usando o modelo de certificado configurado.
• O endpoint de inscrição precisa estar listado na política do ChromeOS Servidores de autenticação integrados. Veja detalhes na Lista de políticas do Chrome.
  • Defina a configuração Servidores de autenticação integrados corretamente no Admin Console. Veja detalhes em Servidores de autenticação integrados.

Configurar a extensão

Defina o valor client_authentication da política da extensão como kerberos.

Autenticação de conta de serviço hospedado

Você pode configurar a extensão para solicitar um certificado do dispositivo usando uma conta de serviço. As credenciais da conta de serviço são hospedadas em um servidor da Web na rede local.

Aviso: se um invasor tiver acesso ao servidor da Web que hospeda as credenciais e à política da extensão no dispositivo, poderá extrair as credenciais da conta de serviço.

Recomendamos restringir o acesso ao servidor da Web que hospeda as credenciais da conta de serviço a uma rede usada apenas para o provisionamento inicial de dispositivos ChromeOS.

Antes de começar

• Você precisa ter um servidor da Web na rede local compatível com solicitações HTTPS.
• O ChromeOS precisa confiar no certificado desse servidor. Se o servidor da Web usar um certificado emitido por uma autoridade de certificação autoassinada, você poderá configurar esse certificado como confiável no Admin Console.

Etapa 1: gerar a senha mascarada

1. Abra a extensão.
2. Selecione MaisFerramenta de mascaramento de senha.
3. Digite a senha da conta de serviço.
4. Selecione Máscara.
5. Copie a máscara e a senha mascarada em um arquivo de texto.

Etapa 2: armazenar as credenciais no servidor da Web interno

1. Configure o servidor da Web para exibir um arquivo JSON que contenha o seguinte:

{

  ‘username’: ‘<nome de usuário da conta de serviço>’,

  ‘maskedPassword’: ‘<copie e cole a senha mascarada>’

}

2. Copie e cole em um arquivo de texto o URL que o servidor da Web usa para hospedar as credenciais.

Etapa 2: configurar a política de extensão

1. Defina a variável service_account_host da política da extensão como o URL copiado acima.
2. Defina a variável service_account_host_password_mask da política da extensão como a máscara copiada acima.

Renovação automática de certificados

Você pode configurar a extensão para renovar certificados sem autenticação adicional usando chaves.

Antes de começar

Um endpoint do Serviço de Registro de Certificado (CES, na sigla em inglês) do Serviço de Certificados do Active Directory compatível com a renovação baseada em chaves para o modelo de certificado configurado precisa estar disponível. Veja os detalhes em Configurar o Serviço Web de Registro de Certificado para renovação baseada em chave de certificados em uma porta personalizada.

Configurar a extensão

• Defina o valor use_key_based_renewal da política da extensão como true.
• Defina o valor ces_renewal_url da política da extensão como o URL do endpoint do CES compatível com a renovação baseada em chaves.

Para definir as configurações de um grupo específico de usuários ou dos navegadores Chrome registrados, coloque as contas de usuário ou os navegadores em um grupo ou unidade organizacional. Só é possível adicionar contas de usuário a grupos. Veja mais detalhes em Grupos e Adicionar uma unidade organizacional.

1. Faça login no Google Admin Console.

   Use sua conta de administrador (não termina em @gmail.com).

2. No Admin Console, acesse Menu  DispositivosRedes.
3. Clique em Wi-Fi.
4. Informe uma nova rede EAP-TLS.
   Veja os detalhes sobre como adicionar uma configuração de rede Wi-Fi em Gerenciar redes.
5. Direcione a rede para a extensão de inscrição. No campo URL de registro do cliente, digite chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Observação: o URL da extensão de inscrição pode ser acessado no navegador Chrome, mesmo sem nenhuma rede configurada para inscrição nesse URL. Com isso, você pode testá-lo manualmente antes de configurar redes ou inscrever certificados para outros usos além das redes EAP-TLS, como a VPN baseada em certificado. Peça aos usuários para acessar o URL no navegador e pule a etapa de configuração da rede.

1. Em um dispositivo ChromeOS gerenciado, acesse chrome://policy.
2. Clique em Atualizar políticas.
3. Role até Inscrição do certificado do ChromeOS.
4. Para cada política, confirme se os campos de valor são os mesmos que você definiu no arquivo JSON.