使用「ChromeOS 憑證註冊」擴充功能

如要自動註冊預先設定的憑證，使用者必須：

1. 按一下 [註冊憑證] 通知。
2. (選用) 勾選 [Enroll Device-Wide Certificate] (註冊裝置通用憑證) 方塊，申請裝置憑證。如果您未勾選方塊，則為申請使用者憑證。
3. 按一下 [註冊]。

使用者必須點選「憑證更新提醒」通知，才能更新憑證。

使用者憑證申請是指將憑證核發給傳送申請的特定使用者，而非整體裝置。使用者憑證僅適用於已登入該電腦的使用者，不適用於其他同樣使用該電腦的使用者。

1. 按一下或開啟分頁標籤，前往 [使用者名稱] 欄位。
2. 請輸入您的使用者名稱。
3. 按一下或開啟分頁標籤，前往 [密碼] 欄位。
4. 請輸入您的密碼。
5. 請勿勾選 [裝置通用] 方塊。

裝置憑證申請是指將憑證核發給整體裝置，而不僅僅是傳送申請的使用者。裝置憑證適用於同一機構內的所有電腦使用者，這對於在公開工作階段或 Kiosk 模式中的裝置來說是必需的。

1. 按一下或開啟分頁標籤，前往 [使用者名稱] 欄位。
2. 請輸入您的使用者名稱。
3. 按一下或開啟分頁標籤，前往 [密碼] 欄位。
4. 請輸入您的密碼。
5. 勾選 [裝置通用] 方塊。

無論申請類型為何 (使用者或裝置)，傳送申請的程序都相同。

1. 請按照上述步驟建立使用者或裝置憑證申請。
2. 前往 [註冊] 按鈕。
3. 按一下 [註冊]。

送出申請後，理想的結果為申請的憑證成功匯入伺服器。

1. 請按照上述說明傳送憑證申請。
2. 等待系統接收回應。
3. 當系統收到回應時，畫面上會出現一個顯示成功訊息的對話方塊，用來表示已收到及匯入憑證。
4. 在對話方塊中選取 [確定]、按 Escape 鍵，或點擊對話方塊外的視窗將其關閉。

申請送出後，有時會因為各種原因導致申請失敗。錯誤回應會簡要說明失敗原因，並告知使用者問題所在。

1. 請按照上述說明傳送憑證申請。
2. 等待系統接收回應。
3. 當系統收到回應時，畫面上會出現一個顯示失敗訊息的對話方塊，用來表示發生錯誤。
4. 在對話方塊中選取 [確定]、按 Escape 鍵，或點擊對話方塊外的視窗將其關閉。
5. 如果錯誤可修正 (例如無效的使用者名稱)，進行修正後再重新提出申請，應該就能成功。如果錯誤無法修正的話 (例如伺服器拒絕存取申請)，使用者應尋求協助。

要求送出後，有時伺服器會將要求狀態設為「待處理」，方便手動審查及核准/拒絕要求。待處理回應會簡要說明這個流程，並通知使用者相關資訊，以便使用者稍後查看要求狀態。

1. 按照上述說明傳送憑證申請。
2. 等待系統接收回應。
3. 當系統收到回應時，畫面上會出現一個顯示待處理訊息的對話方塊，表示這項申請已設為待處理。也會顯示稍後查看時需用到的註冊 URI 和申請 ID。
4. 請將註冊 URI 和申請 ID 複製到某處以便稍後參考。
5. 在對話方塊中選取 [確定]、按 Escape 鍵，或點擊對話方塊外的視窗將其關閉。

如果使用者有待處理的憑證，可能會想要查看憑證狀態。如要建立並送出待處理的憑證申請，使用者必須前往 [待處理申請] 使用者介面。

1. 按一下或開啟分頁標籤前往，並選取 [更多選項] 按鈕。
2. 在系統產生的選項清單中，按一下或開啟分頁標籤，前往選項 [顯示查看待處理申請的額外欄位？]。
3. 選取 [顯示查看待處理申請的額外欄位？]，即可顯示待處理申請欄位。

如果使用者之前曾經前往 [待處理申請] 使用者介面，可能會想要改回一般版。

1. 按一下或開啟分頁標籤前往，並選取 [更多選項] 按鈕。
2. 在系統產生的選項清單中，按一下或開啟分頁標籤，前往選項 [隱藏查看待處理申請的額外欄位？]。
3. 選取 [隱藏查看待處理申請的額外欄位？]，即可停止顯示待處理申請欄位。

如果使用者有待處理的憑證，可能會想要查看憑證狀態。擴充功能使該流程與建立全新申請十分類似。

1. 如上所述，前往 [待處理申請] 使用者介面。
2. 按一下或開啟分頁標籤，前往 [使用者名稱] 欄位。
3. 請輸入您的使用者名稱。
4. 按一下或開啟分頁標籤，前往 [密碼] 欄位。
5. 請輸入您的密碼。
6. 按一下或開啟分頁標籤，前往 [註冊 URI] 欄位。
7. 請輸入先前待處理憑證回應中顯示的註冊 URI。
8. 按一下或開啟分頁標籤，前往 [申請 ID] 欄位。
9. 輸入先前待處理憑證回應中顯示的申請 ID。
10. 如果原本的憑證申請適用於裝置通用的憑證，請勾選 [裝置通用] 方塊。否則，請不要勾選 [裝置通用] 方塊。

建立待處理憑證的檢查申請後，使用者必須送出該申請才能接收回應。待處理憑證的檢查申請可能會成功、失敗，或仍為待回應；該流程符合上述定義。

1. 如上所述，建立待處理憑證的檢查申請。
2. 前往 [檢查狀態] 按鈕。
3. 選取 [檢查狀態] 按鈕。

如發生錯誤，請助理或系統管理員查看擴充功能的完整紀錄可能會有所幫助。為了協助使用者取得這些記錄，我們提供了一種簡單的方式，可讓您將記錄複製到剪貼簿。

1. 按一下或開啟分頁標籤前往，並選取 [更多選項] 按鈕。
2. 在系統產生的選項清單中，按一下或開啟分頁標籤，前往選項 [複製記錄到剪貼簿]。
3. 選取 [複製記錄到剪貼簿]，即可將記錄複製到使用者的剪貼簿。
4. 使用者可以透過裝置的一般程序，將這些記錄從此處複製到所選的任何地方。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「Chrome」「應用程式和擴充功能」「使用者和瀏覽器」。

   如果您已註冊 Chrome 瀏覽器雲端管理服務，請依序點選「選單」圖示  「Chrome 瀏覽器」「應用程式和擴充功能」「使用者和瀏覽器」。
3. 如要為所有使用者套用設定，請選取頂層機構單位；如果只要為部分使用者套用設定，請選取子機構單位。
4. 依序將滑鼠游標移至「新增」圖示 「從 Chrome 線上應用程式商店新增」。
5. 搜尋並選取「ChromeOS 憑證註冊」。擴充功能 ID 是 fhndealchbngfhdoncgcokameljahhog。
6. 在「使用者和瀏覽器」頁面，選取「ChromeOS 憑證註冊」擴充功能。
7. 在右側面板的「憑證管理」下方，開啟「允許存取金鑰」。
8. 在「安裝政策」下方，選擇「強制安裝」或「強制安裝並且固定至 Chrome OS 工具列」。
9. 按一下「儲存」。

您需要先建立一個檔案，其中包含要套用到使用者「ChromeOS 憑證註冊」擴充功能的相關設定。您可以使用「這個範例檔案」開始進行設定，並根據貴機構或使用者的需求變更政策。此外，您可以使用文字編輯器來編輯 JavaScript Object Notation (JSON) 檔案。

注意：如果使用者端所見政策的字串為預設值，系統會根據使用者的語言代碼在裝置上提供經過翻譯的版本。您仍可以根據貴機構的需求變更字串，但系統就不會翻譯這些字串。

您可以設定下列政策：

政策名稱	用途
allow_machine_cert_enrollment	允許使用者安裝系統憑證。 如果設為 true，使用者可以選擇要申請系統憑證或使用者憑證；否則，使用者就只能申請使用者憑證。 預設值為 false。
cep_proxy_url	指定 CEP 的 https 端點。 如何取得端點資訊： 在「IIS 管理員」中，前往 CEP 網站。 名稱通常會包含 CEP。 開啟「應用程式設定」。 CEP 的 HTTPS 端點資訊會列於「URI」下方。 以 https 開頭的值才是有效的值。如果輸入以 https 開頭的值，但這個值卻與 IIS 管理員中的統一資源識別項 (URI) 不符，系統仍會將其視為有效值並加以使用，不過很可能會執行失敗。 這項政策為必要政策。
company_info	指定貴機構的品牌資訊，例如名稱和商標。 設定 help_url，將使用者導向提供相關資訊和支援的網頁。 如果您指定的網頁禁止沒有憑證的使用者存取 (例如第一次要求時)，請使用 help_text 為他們提供一些有用的說明文字。 如果您同時設定了 help_url 和 help_text，您指定的網頁在使用者裝置上顯示時，會出現在說明文字底部。
device_cert_request_values	指定裝置憑證的憑證簽署要求 (CSR) 中所用的值。 您可以根據使用者和裝置屬性 (而非要求者的屬性) 定義主體值。如要使用自訂的 CSR，請務必在憑證授權單位 (CA) 上一併設定憑證範本，這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 CommonName 的值。 您可以使用下列預留位置。這些都是選用的值。 如果您採用的是搭載 66 以上版本的 ChromeOS 裝置，則可以使用： ${DEVICE_DIRECTORY_ID}：裝置的目錄 ID ${USER_EMAIL}：已登入使用者的電子郵件地址 ${USER_DOMAIN}：已登入使用者的網域名稱 ${DEVICE_SERIAL_NUMBER}：裝置的序號 ${DEVICE_ASSET_ID}：管理員指派給裝置的資產 ID ${DEVICE_ANNOTATED_LOCATION}：管理員指派給裝置的位置 如果無法取得某個預留位置的值，系統會以空白字串取代。 您可以為預留位置設定鏈結。舉例來說，如果無法取得資產 ID，將以裝置序號取代 ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER}。
device_enrollment_templates	用於裝置註冊流程的相符憑證範本名稱清單 (以優先順序排列)。擴充功能會搜尋清單，尋找相符的憑證範本，並採用第一個符合的憑證範本。如果發生錯誤，擴充功能將不會重新採用其他憑證範本。 這項政策為必要政策。清單中至少要有一個值。 在 CA Microsoft Management Console (MMC) 中，使用範本名稱，而非使用範本顯示名稱。 預設值是 ChromeOSWirelessUser。
enable_auto_enrollment	控制擴充功能是否會自動啟動註冊程序。如果設為 false，擴充功能會等待使用者嘗試連線至 EAP-TLS 網路時才開始進行註冊。 預設值為 false。
log_level	指定擴充功能記錄的資料詳細程度，這些記錄會傳送到 Chrome 的 JavaScript 控制台。 NONE (預設值)：控制台不會記錄任何資訊。 ERROR：控制台只會記錄明確的錯誤。 WARNING：控制台會記錄明確的錯誤和警告。 INFO：控制台會記錄明確的錯誤和警告，以及相關的動作資訊。 DEBUG：控制台會記錄所有資訊。如果是初始版本，建議您使用此設定，以便排解任何可能發生的問題。您可以在「更多選項」中自動將所有記錄複製到剪貼簿。 使用者可以透過以下 2 種方式在 Chrome 中開啟網頁開發人員控制台，並使用自己的裝置存取 Chrome 記錄： 按下 Ctrl+Shift+i 鍵。 依序按一下 [更多工具] [開發人員工具]。 這項政策為必要政策。
placeholder_values	指定使用者名稱、密碼、URI、要求 ID 和標頭預留位置。這項資訊可協助引導使用者登入。 Username (使用者名稱)、Password (密碼)、URI 和 RequestID (要求 ID) 欄位會顯示在輸入欄位上方，說明各個輸入欄位的功用。 Header (標頭) 欄位則用於指定頁面的標題。 Username (使用者名稱)、Password (密碼) 和 Header (標頭) 欄位有特殊的值，可讓客戶使用國際化的預設名稱。 managed_username_placeholder：使用者名稱 managed_password_placeholder：密碼 managed_login_header：憑證註冊 如果貴機構使用其他詞彙 (例如通關密語而非密碼)，您可以變更這些值，但系統不會翻譯這些新的值。
renew_hours_before_expiry	指定在憑證到期前，要提早多久向使用者通知憑證即將到期 (以小時為單位)。   預設值為 120。
renew_reminder_interval	控制在憑證到期前，向使用者通知憑證即將到期的頻率 (以小時為單位)。 收到初次通知後，如果使用者未更新憑證，也沒有選擇忽略提醒，只要經過這個變數設定的小時數，系統就會再次顯示通知。 舉例來說，如果將 renew_hours_before_expiry 和 renew_reminder_interval 分別設為 120 和 24，且使用者一律選擇要再次顯示提醒，則使用者在憑證到期之前會收到 5 次更新通知 (每天 1 次)。 預設值為 24。
request_timeout_seconds	CEP 或 CES 呼叫逾時的時間長度 (以秒為單位)。 預設值為 20。
signature_algo	決定擴充功能簽署憑證要求時所使用的簽名演算法。以下是可用選項： SHA1 (不建議)：SHA1 是較弱的演算法，可能會導致使用者受到安全性威脅。 SHA256 SHA512 (預設值)
user_cert_request_values	指定要在使用者憑證的憑證簽署要求 (CSR) 中所使用的值。 您可以根據使用者和裝置屬性 (而非要求者的屬性) 定義主體值。如要使用自訂的 CSR，請務必在 CA 上一併設定憑證範本，這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 CommonName 的值。 您可以使用下列預留位置。這些都是選用的值。 ${DEVICE_DIRECTORY_ID}：裝置的目錄 ID ${USER_EMAIL}：已登入使用者的電子郵件地址 ${USER_DOMAIN}：已登入使用者的網域名稱 ${DEVICE_SERIAL_NUMBER}：裝置的序號 ${DEVICE_ASSET_ID}：管理員指派給裝置的資產 ID ${DEVICE_ANNOTATED_LOCATION}：管理員指派給裝置的位置 ${USER_ID}：已登入使用者電子郵件地址的第一個部分 (「@」之前的部分)。 如果無法取得某個預留位置的值，系統會以空白字串取代。 您可以為預留位置設定鏈結。舉例來說，如果無法取得資產 ID，將以裝置序號取代 ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER}。
user_enrollment_templates	用於裝置註冊流程的相符憑證範本名稱清單 (以優先順序排列)。擴充功能會搜尋清單，尋找相符的憑證範本，並採用第一個符合的憑證範本。如果發生錯誤，擴充功能將不會重新採用其他憑證範本。 這項政策為必要政策。清單中至少要有一個值。 在 CA MMC 中，使用範本名稱 (而非範本顯示名稱)。 預設值是 ChromeOSWirelessUser。

無論是否需要使用者輸入憑證，都可設定憑證佈建

根據預設，憑證註冊擴充功能設定完成後，使用者就可以在嘗試取得憑證 (certificate) 時提供自己的憑證 (credential)，藉此手動佈建憑證 (certificate)。

您可以使用 ChromeOS 擴充功能，確保使用者能夠自動佈建或更新憑證，而無須手動輸入憑證。如果使用者的裝置具有 Kerberos 票證，這個擴充功能即可使用 Kerberos 驗證來要求使用者與裝置憑證。此外，您也可以使用服務帳戶來要求裝置憑證。

Kerberos 驗證

事前準備

• ChromeOS 使用者的裝置上必須具備 Kerberos 票證。
  • Kerberos Credential Manager 必須由政策進行設定，以允許系統為登入的使用者擷取 Kerberos 票證。理想情況下，該設定會在使用者登入時自動完成。請參閱「為 ChromeOS 裝置設定 Kerberos 單一登入服務」。
• 與 Kerberos 票證相關聯的 Active Directory 使用者帳戶必須擁有使用已設定的「憑證範本」來要求憑證的權限。
• 註冊端點必須列在整合式驗證伺服器 ChromeOS 政策中。詳情請參閱 Chrome 政策清單中的政策。
  • 在管理控制台中正確指定「整合式驗證伺服器」設定。詳情請參閱「整合式驗證伺服器」。

設定擴充功能

將擴充功能政策值 `client_authentication` 設為 `kerberos`。

託管服務帳戶驗證

您可以設定擴充功能，要求裝置憑證使用服務帳戶。服務帳戶的憑證會由您的區域網路伺服器所代管。

警告：如果攻擊者可以存取代管憑證的網路伺服器以及裝置上的擴充功能政策，就有可能獲取服務帳戶憑證。

建議您將代管服務帳戶憑證的網路伺服器存取權，限制在僅用於初始 ChromeOS 裝置佈建作業的佈建網路。

事前準備

• 您在區域網路上必須具有可處理 HTTPS 要求的網路伺服器。
• ChromeOS 必須信任該網路伺服器的憑證。如果網路伺服器使用自行簽署 CA 所核發的憑證，您可以在管理控制台中，將該 CA 憑證設定為受信任。

步驟 1：產生遮罩密碼

1. 開啟擴充功能。
2. 依序選取 [更多] [密碼遮罩工具]。
3. 輸入服務帳戶密碼。
4. 選取 [遮罩]。
5. 將遮罩和遮罩密碼複製到文字檔中。

步驟 2：將憑證儲存在內部網路伺服器

1. 設定網路伺服器，以提供包含下列內容的 JSON 檔案：

{

’使用者名稱‘：‘<服務帳戶使用者名稱>’、

‘遮罩密碼’：‘<複製並貼上遮罩密碼>’

}

2. 將網路伺服器用於代管憑證的網址複製到文字檔中。

步驟 3：設定擴充功能政策

1. 將擴充功能政策變數 ‘service_account_host’ 設為您在上述步驟中所複製的網址。
2. 將擴充功能政策變數 ‘service_account_host_password_mask’ 設為您在上述步驟中所複製的遮罩。

自動更新憑證

您可以設定擴充功能，讓系統不需要其他驗證，就能使用金鑰更新現有憑證。

事前準備

必須有支援已設定的憑證範本進行金鑰式續購的 ADCS 憑證註冊服務 (CES) 端點。詳情請參閱在自訂連接埠上設定金鑰式更新憑證註冊網路服務。

設定擴充功能

• 將擴充功能政策值 `use_key_based_renewal` 設為 true。
• 將擴充功能政策值 ‘ces_renewal_url’ 設為支援金鑰式續購的憑證註冊服務 (CES) 網址。

如要為一組使用者或已註冊的 Chrome 瀏覽器進行設定，請將使用者帳戶或瀏覽器加入同一個群組或機構單位。不過只有使用者帳戶才能加入群組。詳情請參閱「網路論壇」和「新增機構單位」。

1. 登入 Google 管理控制台。

   請使用「管理員帳戶」(結尾「不是」@gmail.com) 登入。

2. 在管理控制台中，依序點選「選單」圖示  「裝置」「網路」。
3. 按一下「Wi-Fi」。
4. 新增 EAP-TLS 網路。
   如要進一步瞭解如何新增 Wi-Fi 網路設定，請參閱管理網路。
5. 將網路指向註冊擴充功能。方法是在「用戶端註冊網址」欄位中輸入 chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html。

注意：即使尚未將網路設定為透過註冊擴充功能的網址註冊，仍可在 Chrome 瀏覽器中存取這個網址。這樣一來，如果您要設定任何網路，或是註冊用於非 EAP-TLS 網路 (如憑證式 VPN) 的憑證，就可以先手動測試這個網址。請直接告訴使用者在瀏覽器中前往該網址，並略過網路設定步驟即可。

1. 在受管理的 ChromeOS 裝置上前往 chrome://policy。
2. 按一下「重新載入政策」。
3. 捲動到「ChromeOS 憑證註冊」。
4. 查看各項政策，確認值欄位中的值與您在 JSON 檔案中設定的值相同。