管理員可以透過 ChromeOS 憑證註冊擴充功能,讓使用者得以手動或自動取得使用者或裝置憑證。您也可以調整設定,讓即將到期的憑證自動更新。
使用擴充功能前,請確認使用者有權存取,並已正確設定擴充功能和相關的受管理政策。如要進一步瞭解如何設定擴充功能,請參閱「擴充功能部署指南」一節的內容。
憑證要求類型
憑證申請分為兩種類型:使用者憑證申請及裝置憑證申請。
- 使用者憑證申請是指將憑證核發給傳送申請的特定使用者,而非整體裝置。使用者憑證僅適用於已登入該電腦的使用者,不適用於其他同樣使用該電腦的使用者。
- 裝置憑證申請是指將憑證核發給整體裝置,而不僅僅是傳送申請的使用者。當使用者在受管理訪客工作階段或 Kiosk 模式中使用裝置時,裝置憑證通常是必要條件,且適用於同一機構內的所有電腦使用者。
不需使用者輸入憑證的憑證佈建
您可以設定憑證註冊擴充功能,以自動佈建或更新憑證,無需要求使用者手動輸入憑證
在您設定新的佈建或更新選項之後,擴充功能即會自動偵測裝置是否尚未佈建憑證,或憑證是否即將到期,從而觸發通知,要求使用者取得或更新憑證。使用者必須點選通知,以便擴充功能啟動取得或更新憑證的程序。詳情請參閱「擴充功能部署指南」一節的內容。
註冊憑證如要自動註冊預先設定的憑證,使用者必須:
- 按一下 [註冊憑證] 通知。
- (選用) 勾選 [Enroll Device-Wide Certificate] (註冊裝置通用憑證) 方塊,申請裝置憑證。如果您未勾選方塊,則為申請使用者憑證。
- 按一下 [註冊]。
使用者必須點選「憑證更新提醒」通知,才能更新憑證。
需要使用者輸入憑證的憑證佈建
您可以設定憑證註冊擴充功能,讓使用者手動佈建憑證
主要使用者流程
擴充功能中的使用者流程細分為「主要」和「次要」兩類。本節所述的主要使用者流程是指使用者通常會遇到的情況。
建立使用者憑證要求使用者憑證申請是指將憑證核發給傳送申請的特定使用者,而非整體裝置。使用者憑證僅適用於已登入該電腦的使用者,不適用於其他同樣使用該電腦的使用者。
- 按一下或開啟分頁標籤,前往 [使用者名稱] 欄位。
- 請輸入您的使用者名稱。
- 按一下或開啟分頁標籤,前往 [密碼] 欄位。
- 請輸入您的密碼。
- 請勿勾選 [裝置通用] 方塊。
裝置憑證申請是指將憑證核發給整體裝置,而不僅僅是傳送申請的使用者。裝置憑證適用於同一機構內的所有電腦使用者,這對於在公開工作階段或 Kiosk 模式中的裝置來說是必需的。
- 按一下或開啟分頁標籤,前往 [使用者名稱] 欄位。
- 請輸入您的使用者名稱。
- 按一下或開啟分頁標籤,前往 [密碼] 欄位。
- 請輸入您的密碼。
- 勾選 [裝置通用] 方塊。
無論申請類型為何 (使用者或裝置),傳送申請的程序都相同。
- 請按照上述步驟建立使用者或裝置憑證申請。
- 前往 [註冊] 按鈕。
- 按一下 [註冊]。
送出申請後,理想的結果為申請的憑證成功匯入伺服器。
- 請按照上述說明傳送憑證申請。
- 等待系統接收回應。
- 當系統收到回應時,畫面上會出現一個顯示成功訊息的對話方塊,用來表示已收到及匯入憑證。
- 在對話方塊中選取 [確定]、按 Escape 鍵,或點擊對話方塊外的視窗將其關閉。
申請送出後,有時會因為各種原因導致申請失敗。錯誤回應會簡要說明失敗原因,並告知使用者問題所在。
- 請按照上述說明傳送憑證申請。
- 等待系統接收回應。
- 當系統收到回應時,畫面上會出現一個顯示失敗訊息的對話方塊,用來表示發生錯誤。
- 在對話方塊中選取 [確定]、按 Escape 鍵,或點擊對話方塊外的視窗將其關閉。
- 如果錯誤可修正 (例如無效的使用者名稱),進行修正後再重新提出申請,應該就能成功。如果錯誤無法修正的話 (例如伺服器拒絕存取申請),使用者應尋求協助。
次要使用者流程
如下所述的次要使用者流程只會在少數情況下發生。
接收待處理的憑證回應要求送出後,有時伺服器會將要求狀態設為「待處理」,方便手動審查及核准/拒絕要求。待處理回應會簡要說明這個流程,並通知使用者相關資訊,以便使用者稍後查看要求狀態。
- 按照上述說明傳送憑證申請。
- 等待系統接收回應。
- 當系統收到回應時,畫面上會出現一個顯示待處理訊息的對話方塊,表示這項申請已設為待處理。也會顯示稍後查看時需用到的註冊 URI 和申請 ID。
- 請將註冊 URI 和申請 ID 複製到某處以便稍後參考。
- 在對話方塊中選取 [確定]、按 Escape 鍵,或點擊對話方塊外的視窗將其關閉。
如果使用者有待處理的憑證,可能會想要查看憑證狀態。如要建立並送出待處理的憑證申請,使用者必須前往 [待處理申請] 使用者介面。
- 按一下或開啟分頁標籤前往,並選取 [更多選項] 按鈕。
- 在系統產生的選項清單中,按一下或開啟分頁標籤,前往選項 [顯示查看待處理申請的額外欄位?]。
- 選取 [顯示查看待處理申請的額外欄位?],即可顯示待處理申請欄位。
如果使用者之前曾經前往 [待處理申請] 使用者介面,可能會想要改回一般版。
- 按一下或開啟分頁標籤前往,並選取 [更多選項] 按鈕。
- 在系統產生的選項清單中,按一下或開啟分頁標籤,前往選項 [隱藏查看待處理申請的額外欄位?]。
- 選取 [隱藏查看待處理申請的額外欄位?],即可停止顯示待處理申請欄位。
如果使用者有待處理的憑證,可能會想要查看憑證狀態。擴充功能使該流程與建立全新申請十分類似。
- 如上所述,前往 [待處理申請] 使用者介面。
- 按一下或開啟分頁標籤,前往 [使用者名稱] 欄位。
- 請輸入您的使用者名稱。
- 按一下或開啟分頁標籤,前往 [密碼] 欄位。
- 請輸入您的密碼。
- 按一下或開啟分頁標籤,前往 [註冊 URI] 欄位。
- 請輸入先前待處理憑證回應中顯示的註冊 URI。
- 按一下或開啟分頁標籤,前往 [申請 ID] 欄位。
- 輸入先前待處理憑證回應中顯示的申請 ID。
- 如果原本的憑證申請適用於裝置通用的憑證,請勾選 [裝置通用] 方塊。否則,請不要勾選 [裝置通用] 方塊。
建立待處理憑證的檢查申請後,使用者必須送出該申請才能接收回應。待處理憑證的檢查申請可能會成功、失敗,或仍為待回應;該流程符合上述定義。
- 如上所述,建立待處理憑證的檢查申請。
- 前往 [檢查狀態] 按鈕。
- 選取 [檢查狀態] 按鈕。
如發生錯誤,請助理或系統管理員查看擴充功能的完整紀錄可能會有所幫助。為了協助使用者取得這些記錄,我們提供了一種簡單的方式,可讓您將記錄複製到剪貼簿。
- 按一下或開啟分頁標籤前往,並選取 [更多選項] 按鈕。
- 在系統產生的選項清單中,按一下或開啟分頁標籤,前往選項 [複製記錄到剪貼簿]。
- 選取 [複製記錄到剪貼簿],即可將記錄複製到使用者的剪貼簿。
- 使用者可以透過裝置的一般程序,將這些記錄從此處複製到所選的任何地方。
擴充功能部署指南
僅適用於受管理的 Chromebook。
管理員可讓 Chromebook 使用者存取貴機構受保護的網路和內部資源,而存取這些項目都需要憑證以供驗證。管理員從遠端安裝並設定「ChromeOS 憑證註冊」擴充功能後,使用者便能在 Chromebook 上申請使用者或系統憑證。
或者,您可以針對使用者憑證或裝置憑證使用 Kerberos 驗證,或針對裝置憑證使用代管服務帳戶驗證,來設定憑證自動化佈建。您還可以設定擴充功能,讓系統不需要其他驗證,就能使用金鑰更新現有憑證。
這個擴充功能也可讓您從 Google 管理控制台自動執行 Microsoft Active Directory 憑證註冊程序,以便大量設定 ChromeOS 裝置。
事前準備
如要讓使用者要求數位憑證,您需要:
- Microsoft Windows Server 2008 R2 以上版本
- Microsoft Internet Information Services (IIS) 7.0 以上版本
- Active Directory 憑證服務 (ADCS),包括:
- 憑證註冊服務 (CES)
- 憑證註冊政策 (CEP)
- 與 IIS 中 ADCS 網站相關聯的有效憑證
- CEP 和 CES 的顯示端點
免責事項
本指南說明 Google 產品與第三方產品搭配運作的方式,並提供了 Google 建議的設定。Google 不提供第三方產品設定的相關技術支援。Google 不為第三方產品承擔任何責任。如需這些產品的最新設定和支援資訊,請前往產品網站。
部署擴充功能
步驟 1:為使用者強制安裝擴充功能-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「應用程式和擴充功能」「使用者和瀏覽器」。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「應用程式和擴充功能」「使用者和瀏覽器」。
- 如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 依序將滑鼠游標移至「新增」圖示 「從 Chrome 線上應用程式商店新增」。
- 搜尋並選取「ChromeOS 憑證註冊」。擴充功能 ID 是 fhndealchbngfhdoncgcokameljahhog。
- 在「使用者和瀏覽器」頁面,選取「ChromeOS 憑證註冊」擴充功能。
- 在右側面板的「憑證管理」下方,開啟「允許存取金鑰」。
- 在「安裝政策」下方,選擇「強制安裝」或「強制安裝並且固定至 Chrome OS 工具列」。
- 按一下「儲存」。
您需要先建立一個檔案,其中包含要套用到使用者「ChromeOS 憑證註冊」擴充功能的相關設定。您可以使用「這個範例檔案」開始進行設定,並根據貴機構或使用者的需求變更政策。此外,您可以使用文字編輯器來編輯 JavaScript Object Notation (JSON) 檔案。
注意:如果使用者端所見政策的字串為預設值,系統會根據使用者的語言代碼在裝置上提供經過翻譯的版本。您仍可以根據貴機構的需求變更字串,但系統就不會翻譯這些字串。
您可以設定下列政策:
政策名稱 | 用途 |
---|---|
allow_machine_cert_enrollment |
允許使用者安裝系統憑證。 如果設為 true,使用者可以選擇要申請系統憑證或使用者憑證;否則,使用者就只能申請使用者憑證。 預設值為 false。 |
cep_proxy_url |
指定 CEP 的 https 端點。 如何取得端點資訊:
以 https 開頭的值才是有效的值。如果輸入以 https 開頭的值,但這個值卻與 IIS 管理員中的統一資源識別項 (URI) 不符,系統仍會將其視為有效值並加以使用,不過很可能會執行失敗。 這項政策為必要政策。 |
company_info |
指定貴機構的品牌資訊,例如名稱和商標。
|
device_cert_request_values |
指定裝置憑證的憑證簽署要求 (CSR) 中所用的值。 您可以根據使用者和裝置屬性 (而非要求者的屬性) 定義主體值。如要使用自訂的 CSR,請務必在憑證授權單位 (CA) 上一併設定憑證範本,這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 您可以使用下列預留位置。這些都是選用的值。 如果您採用的是搭載 66 以上版本的 ChromeOS 裝置,則可以使用:
如果無法取得某個預留位置的值,系統會以空白字串取代。 您可以為預留位置設定鏈結。舉例來說,如果無法取得資產 ID,將以裝置序號取代 |
device_enrollment_templates |
用於裝置註冊流程的相符憑證範本名稱清單 (以優先順序排列)。擴充功能會搜尋清單,尋找相符的憑證範本,並採用第一個符合的憑證範本。如果發生錯誤,擴充功能將不會重新採用其他憑證範本。 這項政策為必要政策。清單中至少要有一個值。 在 CA Microsoft Management Console (MMC) 中,使用範本名稱,而非使用範本顯示名稱。 預設值是 ChromeOSWirelessUser。 |
enable_auto_enrollment |
控制擴充功能是否會自動啟動註冊程序。如果設為 false,擴充功能會等待使用者嘗試連線至 EAP-TLS 網路時才開始進行註冊。 預設值為 false。 |
log_level |
指定擴充功能記錄的資料詳細程度,這些記錄會傳送到 Chrome 的 JavaScript 控制台。 NONE (預設值):控制台不會記錄任何資訊。 ERROR:控制台只會記錄明確的錯誤。 WARNING:控制台會記錄明確的錯誤和警告。 INFO:控制台會記錄明確的錯誤和警告,以及相關的動作資訊。 DEBUG:控制台會記錄所有資訊。如果是初始版本,建議您使用此設定,以便排解任何可能發生的問題。您可以在「更多選項」中自動將所有記錄複製到剪貼簿。 使用者可以透過以下 2 種方式在 Chrome 中開啟網頁開發人員控制台,並使用自己的裝置存取 Chrome 記錄:
這項政策為必要政策。 |
placeholder_values |
指定使用者名稱、密碼、URI、要求 ID 和標頭預留位置。這項資訊可協助引導使用者登入。
|
renew_hours_before_expiry |
指定在憑證到期前,要提早多久向使用者通知憑證即將到期 (以小時為單位)。
預設值為 120。 |
renew_reminder_interval |
控制在憑證到期前,向使用者通知憑證即將到期的頻率 (以小時為單位)。 收到初次通知後,如果使用者未更新憑證,也沒有選擇忽略提醒,只要經過這個變數設定的小時數,系統就會再次顯示通知。 舉例來說,如果將 renew_hours_before_expiry 和 renew_reminder_interval 分別設為 120 和 24,且使用者一律選擇要再次顯示提醒,則使用者在憑證到期之前會收到 5 次更新通知 (每天 1 次)。 預設值為 24。 |
request_timeout_seconds |
CEP 或 CES 呼叫逾時的時間長度 (以秒為單位)。 預設值為 20。 |
signature_algo |
決定擴充功能簽署憑證要求時所使用的簽名演算法。以下是可用選項:
|
user_cert_request_values |
指定要在使用者憑證的憑證簽署要求 (CSR) 中所使用的值。 您可以根據使用者和裝置屬性 (而非要求者的屬性) 定義主體值。如要使用自訂的 CSR,請務必在 CA 上一併設定憑證範本,這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 您可以使用下列預留位置。這些都是選用的值。
如果無法取得某個預留位置的值,系統會以空白字串取代。 您可以為預留位置設定鏈結。舉例來說,如果無法取得資產 ID,將以裝置序號取代 |
user_enrollment_templates |
用於裝置註冊流程的相符憑證範本名稱清單 (以優先順序排列)。擴充功能會搜尋清單,尋找相符的憑證範本,並採用第一個符合的憑證範本。如果發生錯誤,擴充功能將不會重新採用其他憑證範本。 這項政策為必要政策。清單中至少要有一個值。 在 CA MMC 中,使用範本名稱 (而非範本顯示名稱)。 預設值是 ChromeOSWirelessUser。 |
無論是否需要使用者輸入憑證,都可設定憑證佈建
根據預設,憑證註冊擴充功能設定完成後,使用者就可以在嘗試取得憑證 (certificate) 時提供自己的憑證 (credential),藉此手動佈建憑證 (certificate)。
您可以使用 ChromeOS 擴充功能,確保使用者能夠自動佈建或更新憑證,而無須手動輸入憑證。如果使用者的裝置具有 Kerberos 票證,這個擴充功能即可使用 Kerberos 驗證來要求使用者與裝置憑證。此外,您也可以使用服務帳戶來要求裝置憑證。
Kerberos 驗證
事前準備
- ChromeOS 使用者的裝置上必須具備 Kerberos 票證。
- Kerberos Credential Manager 必須由政策進行設定,以允許系統為登入的使用者擷取 Kerberos 票證。理想情況下,該設定會在使用者登入時自動完成。請參閱「為 ChromeOS 裝置設定 Kerberos 單一登入服務」。
- 與 Kerberos 票證相關聯的 Active Directory 使用者帳戶必須擁有使用已設定的「憑證範本」來要求憑證的權限。
- 註冊端點必須列在整合式驗證伺服器 ChromeOS 政策中。詳情請參閱 Chrome 政策清單中的政策。
- 在管理控制台中正確指定「整合式驗證伺服器」設定。詳情請參閱「整合式驗證伺服器」。
設定擴充功能
將擴充功能政策值 `client_authentication`
設為 `kerberos`
。
託管服務帳戶驗證
您可以設定擴充功能,要求裝置憑證使用服務帳戶。服務帳戶的憑證會由您的區域網路伺服器所代管。
警告:如果攻擊者可以存取代管憑證的網路伺服器以及裝置上的擴充功能政策,就有可能獲取服務帳戶憑證。
建議您將代管服務帳戶憑證的網路伺服器存取權,限制在僅用於初始 ChromeOS 裝置佈建作業的佈建網路。
事前準備
- 您在區域網路上必須具有可處理 HTTPS 要求的網路伺服器。
- ChromeOS 必須信任該網路伺服器的憑證。如果網路伺服器使用自行簽署 CA 所核發的憑證,您可以在管理控制台中,將該 CA 憑證設定為受信任。
步驟 1:產生遮罩密碼
- 開啟擴充功能。
- 依序選取 [更多] [密碼遮罩工具]。
- 輸入服務帳戶密碼。
- 選取 [遮罩]。
- 將遮罩和遮罩密碼複製到文字檔中。
步驟 2:將憑證儲存在內部網路伺服器
- 設定網路伺服器,以提供包含下列內容的 JSON 檔案:
{
’使用者名稱‘:‘<服務帳戶使用者名稱>’、
‘遮罩密碼’:‘<複製並貼上遮罩密碼>’
}
- 將網路伺服器用於代管憑證的網址複製到文字檔中。
步驟 3:設定擴充功能政策
- 將擴充功能政策變數
‘service_account_host’
設為您在上述步驟中所複製的網址。 - 將擴充功能政策變數
‘service_account_host_password_mask’
設為您在上述步驟中所複製的遮罩。
自動更新憑證
您可以設定擴充功能,讓系統不需要其他驗證,就能使用金鑰更新現有憑證。
事前準備
必須有支援已設定的憑證範本進行金鑰式續購的 ADCS 憑證註冊服務 (CES) 端點。詳情請參閱在自訂連接埠上設定金鑰式更新憑證註冊網路服務。
設定擴充功能
- 將擴充功能政策值
`use_key_based_renewal`
設為 true。 - 將擴充功能政策值
‘ces_renewal_url’
設為支援金鑰式續購的憑證註冊服務 (CES) 網址。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「Chrome」「應用程式和擴充功能」「使用者和瀏覽器」。
如果您已註冊 Chrome 瀏覽器雲端管理服務,請依序點選「選單」圖示 「Chrome 瀏覽器」「應用程式和擴充功能」「使用者和瀏覽器」。
- (僅限使用者) 如果要為群組套用設定,請依下列步驟操作:
- 選取「群組」。
- 選取您要套用設定的群組。
- 如要為所有使用者套用設定,請選取頂層機構單位;如果只要為部分使用者套用設定,請選取子機構單位。
- 尋找並選取「ChromeOS 憑證註冊」擴充功能。
- 在右側面板「擴充功能政策」下方的文字欄位中,輸入於步驟 2 建立的 JSON 資料。
- 在「安裝政策」下方,選擇「強制安裝」或「強制安裝並且固定至 Chrome OS 工具列」。
- 按一下「儲存」。
-
-
在管理控制台中,依序點選「選單」圖示 「裝置」「網路」。
- 按一下「Wi-Fi」。
- 新增 EAP-TLS 網路。
如要進一步瞭解如何新增 Wi-Fi 網路設定,請參閱管理網路。 - 將網路指向註冊擴充功能。方法是在「用戶端註冊網址」欄位中輸入 chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html。
注意:即使尚未將網路設定為透過註冊擴充功能的網址註冊,仍可在 Chrome 瀏覽器中存取這個網址。這樣一來,如果您要設定任何網路,或是註冊用於非 EAP-TLS 網路 (如憑證式 VPN) 的憑證,就可以先手動測試這個網址。請直接告訴使用者在瀏覽器中前往該網址,並略過網路設定步驟即可。
- 在受管理的 ChromeOS 裝置上前往 chrome://policy。
- 按一下「重新載入政策」。
- 捲動到「ChromeOS 憑證註冊」。
- 查看各項政策,確認值欄位中的值與您在 JSON 檔案中設定的值相同。
疑難排解數位憑證要求的相關問題
僅適用於受管理的 Chromebook。
以下是使用者要求數位憑證時可能遇到的問題,以及管理員可以採用的解決方法。
擴充功能使用者介面中顯示的錯誤訊息
找不到有效的系統權杖。您的裝置可能尚未在網域中註冊,或者您可能無權要求系統憑證。
Chrome 控制台記錄中顯示的錯誤訊息
無法以指定的 URI 註冊。
擴充功能要求錯誤的註冊端點
- 正確的網址要求:https://<使用者名稱>:<密碼>@<您的 CEPS 服務 URI>
- 錯誤的網址要求:chrome-extension://<使用者名稱>:<密碼>@fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html
在「ChromeOS 憑證註冊」擴充功能初次安裝,且尚無既有的狀態資訊時,使用者可能會遇到網址要求的問題;在擴充功能更新而遺失先前的狀態資訊時,也可能會發生這個問題。
如果要將全新或更新的政策推送到擴充功能,請先推送空白政策,讓系統清除並重設所有目前的政策值,然後再推送您要的政策。
- 推送空白政策。
- 驗證政策已套用到使用者的裝置。
- 推送您要的政策。
- 驗證政策已套用到使用者的裝置。
- 重新整理「ChromeOS 憑證註冊」擴充功能。
沒有任何可供註冊的註冊 URI。
- 檢查您是否將憑證註冊的角色服務設定為接受使用者名稱和密碼驗證 (而非 Kerberos 等項目)。
- 確認您的擴充功能設定已定義為使用正確的 CA 範本。
- 確認 JSON 檔案中 user_enrollment_templates 政策的輸入值為 CA 的範本名稱 (而非範本顯示名稱)。
- 查看 CA 範本中設定的已驗證使用者權限,然後確認相關使用者也擁有適當的權限。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。