作为管理员,您可以使用 ChromeOS 证书注册扩展程序,允许用户手动或自动获取用户或设备证书。您还可以为即将到期的现有证书设置自动续订。
在使用此扩展程序之前,请确保用户拥有访问权限,且已正确配置此扩展程序和关联的托管政策。如需有关设置此扩展程序的更多帮助,请参阅扩展程序部署指南部分。
证书请求类型
证书请求分为两类:用户证书请求和设备证书请求。
- 用户证书请求会导致系统为发送请求的用户(而不是整个设备)颁发证书。用户证书仅适用于已登录相应设备的用户,而不适用于可能也使用该设备的其他用户。
- 设备证书请求会导致系统为发送请求的整个设备(而不仅仅是发送请求的用户)颁发证书。设备证书适用于相应设备上属于同一单位的所有用户。若设备在受管理的访客会话或自助服务终端模式下运行,则通常需要使用这种证书。
不使用用户输入的凭据进行证书配置
您可以配置此证书注册扩展程序,使其自动配置或续订证书,而无需用户手动输入凭据。
当您设置其中一个新的配置或续订选项时,此扩展程序会自动检测设备上是否已配置了证书,或者已配置的证书是否即将过期,若即将过期,系统会发出通知要求用户获取或续订证书。用户必须点击此通知,之后此扩展程序就会开始获取或续订证书。如需了解详情,请参阅扩展程序部署指南部分。
注册证书要自动注册预配置的证书,用户必须执行以下操作:
- 点击注册证书通知。
- (可选)勾选注册设备级证书复选框以请求设备证书。如果该复选框处于未选中状态,则会请求用户证书。
- 点击注册。
要续订证书,用户只需点击证书续订提醒通知即可。
使用用户输入的凭据进行证书配置
您可以配置此证书注册扩展程序,使其可让用户手动配置证书
主要用户流
此扩展程序中的用户流分为主要和次要两个类别。本部分说明的主要用户流是指用户一般情况下会遇到的情况。
创建用户证书请求用户证书请求会导致系统为发送请求的特定用户(而不是整个设备)颁发证书。用户证书仅适用于已登录相应设备的用户,而不适用于可能也使用该设备的其他用户。
- 点击或使用 Tab 键导航至“用户名”字段。
- 输入用户名。
- 点击或使用 Tab 键导航至“密码”字段。
- 输入密码。
- 让“设备级”复选框保持未选中状态。
设备证书请求会导致系统为发送请求的整个设备(而不仅仅是发送请求的用户)颁发证书。设备证书适用于相应设备上属于同一单位的所有用户。若设备在公用自助终端或自助服务终端模式下运行,则通常需要使用这种证书。
- 点击或使用 Tab 键导航至“用户名”字段。
- 输入用户名。
- 点击或使用 Tab 键导航至“密码”字段。
- 输入密码。
- 勾选“设备级”复选框。
无论发送的请求类型如何(用户或设备),发送流程都是相同的。
- 创建用户或设备证书请求(如上述步骤中所述)。
- 导航到“注册”按钮。
- 点击注册。
发送请求后,理想结果是服务器成功响应,其中包含所请求的证书。
- 发送证书请求(如上所述)。
- 等待接收响应。
- 收到响应后,系统会显示一个对话框,其中会显示一条成功消息,表明已成功接收并导入证书。
- 完成后,在对话框中选择“确定”,按 Esc 键,或者在对话框外点击一下以将其关闭。
发送请求后,有时请求可能会因各种原因而失败。错误响应会封装这样的失败信息,并将问题告知用户。
- 发送证书请求(如上所述)。
- 等待接收响应。
- 收到响应后,系统会显示一个对话框,其中会显示一条失败消息,表明出现了问题。
- 完成后,在对话框中选择“确定”,按 Esc 键,或者在对话框外点击一下以将其关闭。
- 如果错误可更正(例如无效用户名),则进行更改并重新发送请求应该就能成功。如果无法更正(例如服务器拒绝请求访问),则用户应寻求帮助。
次要用户流
次要用户流(如下所述)应该很少见。
收到待处理证书响应发送请求后,有时服务器会将该请求设为待处理,以便相应人员稍后手动审核并批准/拒绝该请求。待处理响应会封装此用户流,并将相关信息告知相应用户,以便其稍后查看请求的状态。
- 发送证书请求(如上所述)。
- 等待接收响应。
- 收到响应后,系统会显示一个对话框,其中会显示一条待处理消息,表明相应请求已被设为待处理。其中还会显示请求的注册 URI 和请求 ID(后续步骤需要使用这些信息)。
- 将这些注册 URI 和请求 ID 复制到其他地方,以供稍后使用。
- 完成后,在对话框中选择“确定”,按 Esc 键,或者在对话框外点击一下以将其关闭。
如果用户有待处理证书,则该用户可能希望在某个时刻检查证书的状态。如要创建和发送待处理证书请求,该用户必须导航至待处理请求界面。
- 点击或使用 Tab 键导航并选择“更多选项”按钮。
- 在生成的选项列表中,点击或使用 Tab 键导航至“要显示用于检查待处理申请的额外字段吗?”选项。
- 选择“要显示用于检查待处理申请的额外字段吗?”以显示并启用待处理请求字段。
如果用户之前已导航至待处理请求界面,则该用户可能希望在某个时刻导航回常规请求界面。
- 点击或使用 Tab 键导航并选择“更多选项”按钮。
- 在生成的选项列表中,点击或使用 Tab 键导航至“要隐藏用于检查待处理申请的额外字段吗?”选项。
- 选择“要隐藏用于检查待处理申请的额外字段吗?”以停用并停止显示待处理请求字段。
如果用户有待处理证书,则该用户可能希望在某个时刻检查证书的状态。此扩展程序允许此用户流,这与允许创建全新的请求非常相似。
- 导航至“待处理请求”界面(如上所述)。
- 点击或使用 Tab 键导航至“用户名”字段。
- 输入用户名。
- 点击或使用 Tab 键导航至“密码”字段。
- 输入密码。
- 点击或使用 Tab 键导航至“注册 URI”字段。
- 输入上一个待处理证书响应中显示的注册 URI。
- 点击或使用 Tab 键导航至“请求 ID”字段。
- 输入上一个待处理证书响应中显示的请求 ID。
- 如果原始证书请求申请的是设备级证书,请勾选“设备级”复选框。否则,请勿勾选“设备级”复选框。
待处理证书检查请求创建完成后,相应用户需要发送该请求才能获得响应。待处理证书检查请求可能会返回成功、失败,或待处理响应,具体与上文所定义的用户流相匹配。
- 创建待处理证书检查请求(如上所述)。
- 导航至“查看状态”按钮。
- 选择“查看状态”按钮。
有时,在出现错误时,如果助理或管理员能看到有关此扩展程序中发生的情况的完整日志,则可能有助于帮助他们解决问题。为了让用户获取这些日志,我们提供了一种简单的方法,可以将其复制到用户的剪贴板。
- 点击或使用 Tab 键导航并选择“更多选项”按钮。
- 在生成的选项列表中,点击或使用 Tab 键导航至“将日志复制到剪贴板”选项。
- 选择“将日志复制到剪贴板”以将相应日志复制到用户的剪贴板。
- 在正常流程中,通过剪贴板,用户可以在其设备上将这些日志粘贴到自己所选的任意位置。
扩展程序部署指南
仅适用于受管理的 Chromebook。
作为管理员,您可以让 Chromebook 用户访问贵组织的受保护网络和内部资源,但需要通过证书进行身份验证。请为用户远程安装和配置“ChromeOS 证书注册”扩展程序,以便他们可以在 Chromebook 上申请用户证书或系统证书。
您也可以为用户或设备证书设置采用 Kerberos 身份验证的自动证书配置,或是为设备证书设置采用托管服务账号身份验证的自动证书配置。此外,您还可以对扩展程序进行设置,以使用密钥续订现有证书,而无需进行额外身份验证。
该扩展程序还可让您通过 Google 管理控制台自动执行 Active Directory 证书注册程序,从而为大量 ChromeOS 设备注册证书。
须知事项
如要让用户申请数字证书,您需要具备:
- Microsoft Windows Server 2008 R2 或更高版本
- Microsoft Internet 信息服务 (IIS) 7.0 或更高版本
- Active Directory 证书服务 (ADCS),包括:
- 证书注册服务 (CES)
- 证书注册政策 (CEP)
- 与 IIS 中的 ADCS 网站相关联的有效证书
- CEP 和 CES 的可见端点
免责声明
本指南介绍了 Google 产品如何与第三方产品搭配使用,以及 Google 推荐采用的配置。Google 不会针对第三方产品的配置提供技术支持服务,也不对第三方产品负责。请前往相关产品网站,获取最新的配置和支持信息。
部署扩展程序
第 1 步:为用户强制安装“Chrome 操作系统证书注册”扩展程序-
-
在管理控制台中,依次点击“菜单”图标 设备Chrome应用和扩展程序用户和浏览器。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 Chrome 浏览器应用和扩展程序用户和浏览器。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 将鼠标指向“添加”图标 从 Chrome 应用商店添加。
- 搜索并选择 ChromeOS 证书注册。扩展程序 ID 为 fhndealchbngfhdoncgcokameljahhog。
- 在用户和浏览器页面,选择 ChromeOS 证书注册扩展程序。
- 在右侧面板的证书管理下方,启用允许访问密钥。
- 在安装政策下方,选择强制安装或强制安装 + 固定到 ChromeOS 任务栏。
- 点击保存。
创建一个文件,在其中加入要为用户应用到“ChromeOS 证书注册”扩展程序的设置。请使用此示例文件开始设置,并根据贵组织或用户的需求更改政策。您可以使用文本编辑器编辑此 JavaScript 对象表示法 (JSON) 文件。
注意:如果政策中面向用户的字符串为默认值,系统会将其翻译成用户所在区域的语言并在设备上显示。您可以根据贵组织的需求更改字符串,但系统不会翻译这些字符串。
您可以设置以下政策:
政策名称 | 用途 |
---|---|
allow_machine_cert_enrollment |
允许用户安装系统证书。 如果设为“true”,用户就可以选择是申请系统证书还是用户证书。否则,用户就只能申请用户证书。 默认值为“false”。 |
cep_proxy_url |
指定 CEP 的 https 端点。 如要获取端点,请执行以下操作:
只有以 https 开头的值才有效。如果您输入的值以“https”开头,但与 IIS 管理器中的统一资源标识符 (URI) 不一致,系统会将该值视为有效值并加以使用,但很可能会出错。 此政策为必要政策。 |
company_info |
指定贵组织的品牌信息,例如名称和徽标。
|
device_cert_request_values |
指定要在设备证书的证书签名请求 (CSR) 中使用的值。 您可以根据用户和设备属性(而不是请求者的属性)来指定主体值。如要使用自定义 CSR,您还需要通过证书授权机构 (CA) 配置证书模板,以生成主体值为请求中所指定值的证书。您至少需要提供主体的 您可以使用以下占位符,所有值都是选填的。 对于运行 66 及更高版本的 ChromeOS 设备,您可以使用:
如果某个占位符值不可用,系统会用空白字符串替代。 您可以将多个占位符串接起来。举例来说,当没有提供资产 ID 时,系统会将 |
device_enrollment_templates |
用于用户注册流程的匹配证书模板名称列表(按照优先级排列)。扩展程序会搜索此列表,以查找匹配的证书模板,并使用第一个匹配的证书模板。如果发生错误,扩展程序不会使用其他证书模板重试。 此政策为必要政策,且列表中必须至少包含 1 个值。 在 CA Microsoft 管理控制台 (MMC) 中,请使用模板名称,而不要使用模板显示名称。 默认名称为 ChromeOSWirelessUser(Chrome 操作系统无线用户)。 |
enable_auto_enrollment |
控制是否让扩展程序自动开始注册。如果设为“false”,扩展程序会等用户尝试连接到 EAP-TLS 网络时才开始注册。 默认值为“false”。 |
log_level |
指定发送到 Chrome 中 JavaScript 控制台的扩展程序日志的详细程度。 NONE(默认)- 控制台不会记录任何内容。 ERROR - 控制台只会记录明显错误。 WARNING - 控制台会记录明显错误和警告。 INFO - 控制台会记录明显错误、警告和相关操作信息。 DEBUG - 控制台会记录所有内容。如果您使用的是初始版本,我们推荐您使用此设置,以便排查任何可能发生的问题。在更多选项中,您可以选择自动将所有日志复制到剪贴板。 用户可以通过两种方式在 Chrome 中打开网络开发者控制台,从而访问设备上的 Chrome 日志:
此政策为必要政策。 |
placeholder_values |
指定用户名、密码、URI、请求 ID 和标题占位符。这些信息有助于引导用户登录。
|
renew_hours_before_expiry |
指定要提前多少小时通知用户其证书即将过期。
默认为 120。 |
renew_reminder_interval |
控制多少小时通知一次用户其证书即将过期。 如果用户初次收到通知后未为证书续期,也未选择忽略提醒,那么在指定的小时数过后,系统会再次显示通知。 举例来说,如果您将“renew_hours_before_expiry”和“renew_reminder_interval”分别设为 120 和 24,而且用户始终选择接收后续提醒,那么在证书过期之前,用户会收到 5 次续期通知(每天一次)。 默认值为 24。 |
request_timeout_seconds |
指经过多少秒后对 CEP 或 CES 的调用会超时。 默认值为 20。 |
signature_algo |
控制扩展程序使用哪种签名算法签署证书请求。选项如下:
|
user_cert_request_values |
指定要在用户证书的证书签署请求 (CSR) 中使用的值。 您可以根据用户和设备属性(而不是请求者的属性)来指定主体值。如要使用自定义 CSR,您还需要在 CA 上配置证书模板,以生成主体值为请求中所指定值的证书。您至少需要提供主体的 您可以使用以下占位符,而所有值都是选填的。
如果某个占位符值不可用,系统会用空白字符串替代。 您可以将多个占位符串接起来。举例来说,当没有提供资产 ID 时,系统会将 |
user_enrollment_templates |
用于用户注册流程的匹配证书模板名称列表(按照优先级排列)。扩展程序会搜索此列表,以查找匹配的证书模板,并使用第一个匹配的证书模板。如果发生错误,扩展程序不会使用其他证书模板重试。 此政策为必要政策,且列表中必须至少包含 1 个值。 在 CA MMC 中,请使用模板名称,而不要使用模板显示名称。 默认名称为 ChromeOSWirelessUser(Chrome 操作系统无线用户)。 |
设置需要或无需用户输入凭据的证书配置功能
默认情况下,系统已经设置证书注册扩展程序,让用户可以手动配置证书。为此,用户需要在尝试获取证书时提供凭据。
使用这款 ChromeOS 扩展程序,您可以确保用户能自动配置或续订证书,而无需手动输入凭据。如果设备上有 Kerberos 票据供用户使用,那么此扩展程序可以通过 Kerberos 身份验证同时申请用户和设备证书。此外,设备证书也可以仅使用服务账号来申请。
Kerberos 身份验证
须知事项
- ChromeOS 用户的设备上必须要有 Kerberos 票据。
- 必须通过政策配置 Kerberos 凭据管理器,以便为已登录的用户提取 Kerberos 票据。建议您进行配置,以在登录时自动提取。请参阅为 ChromeOS 设备配置 Kerberos 单点登录。
- 与 Kerberos 票据关联的 Active Directory 用户账号必须要有相关权限,能够使用配置的证书模板申请证书。
- 注册端点必须列在集成式身份验证服务器 ChromeOS 政策中。有关详情,请参阅 Chrome 政策列表中的政策。
- 在管理控制台中正确配置集成式身份验证服务器设置。有关详情,请参阅集成身份验证服务器。
配置扩展程序
请将扩展程序政策值 `client_authentication`
设为 `kerberos`
。
托管服务账号身份验证
您可以对扩展程序进行设置,以使用服务账号申请设备证书。服务账号的凭据托管在本地网络的网络服务器上。
警告:如果攻击者获得了相关访问权限,能够访问用于托管设备上的凭据和扩展程序政策的网络服务器,则或许可以提取出服务账号凭据。
对于托管服务账号凭据的网络服务器,我们建议您限制对该服务器的访问权限,仅允许唯一作用是初始配置 ChromeOS 设备的配置网络访问。
须知事项
- 您在本地网络中必须要有能够处理 HTTPS 请求的网络服务器。
- ChromeOS 必须信任该网络服务器的证书。如果网络服务器使用自签名 CA 颁发的证书,您可以在管理控制台中将该 CA 的证书配置为受信任。
第 1 步:生成遮盖的密码
- 打开扩展程序。
- 选择 More(更多) Password Mask Tool(密码遮盖工具)。
- 输入服务账号密码。
- 选择 Mask(遮盖)。
- 将掩码和遮盖的密码复制到一个文本文件中。
第 2 步:将凭据存储在内部网络服务器上
- 配置网络服务器,以提供包含以下内容的 JSON 文件:
{
‘username’: ‘<服务账号用户名>’,
‘maskedPassword’: ‘<复制并粘贴遮盖的密码>’
}
- 将网络服务器用来托管凭据的网址复制到一个文本文件。
第 3 步:配置扩展程序政策
- 将扩展程序政策变量
'service_account_host'
设为您在上述步骤中复制的网址。 - 将扩展程序政策变量
‘service_account_host_password_mask’
设为您在上述步骤中复制的掩码。
自动续订证书
您可以对扩展程序进行设置,以使用密钥续订现有证书,而无需进行额外身份验证。
开始前须知
必须要有一个 ADCS 证书注册服务 (CES) 端点支持使用密钥来续订已配置的证书模板。有关详情,请参阅为自定义端口上的基于证书密钥的续订配置证书注册 Web 服务。
配置扩展程序
- 将扩展程序政策值
`use_key_based_renewal`
设为 true。 - 将扩展程序政策值
‘ces_renewal_url’
设为上述证书注册服务 (CES) 端点的网址,该端点支持基于密钥的续订。
-
-
在管理控制台中,依次点击“菜单”图标 设备Chrome应用和扩展程序用户和浏览器。
如果您已注册 Chrome 浏览器云管理,请依次点击“菜单”图标 Chrome 浏览器应用和扩展程序用户和浏览器。
- (仅适用于用户)要将设置应用于群组,请执行以下操作:
- 选择群组。
- 选择要应用该设置的群组。
- (可选)要将设置应用于某个部门或团队,请在侧边选择一个组织部门。显示具体方法
- 找到并选择 ChromeOS 证书注册扩展程序。
- 在右侧面板的扩展程序政策下方的文本字段,输入您在第 2 步创建的 JSON 数据。
- 在安装政策下方,选择强制安装或强制安装 + 固定到 ChromeOS 任务栏。
- 点击保存。
-
-
在管理控制台中,依次点击“菜单”图标 设备 网络。
- 点击 Wi-Fi。
- 添加新的 EAP-TLS 网络。
要详细了解如何添加 Wi-Fi 网络配置,请参阅管理网络。 - 将网络指向注册扩展程序。在客户端注册网址字段,输入 chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html。
注意:即使您并未将网络配置为通过上述网址注册,也可以使用 Chrome 浏览器访问注册扩展程序网址。通过此项设置,您就可以在为用户配置任何网络或注册用于非 EAP-TLS 网络(例如基于证书的 VPN)的证书前先手动测试网址。请让用户在浏览器中转到上述网址,并跳过网络配置步骤。
- 在受管理的 ChromeOS 设备上,前往 chrome://policy。
- 点击重新加载政策。
- 滚动到 ChromeOS 证书注册。
- 确保各项政策的值字段与您在 JSON 文件中设置的值相同。
针对数字证书申请进行问题排查
仅适用于受管理的 Chromebook。
下文介绍了如何解决您在用户申请数字证书时可能遇到的问题。
扩展程序界面中显示的错误消息
找不到有效的系统令牌。您的设备可能尚未在网域内注册,或者您可能无权申请系统证书。
Chrome 控制台日志中的错误消息
无法注册到指定的 URI。
扩展程序请求错误的注册端点。
- 正确的网址请求 - https://userNameGoesHere:passWordGoesHere@yourCEPServiceUriGoesHere
- 错误的网址请求 - chrome-extension://userNameGoesHere:passWordGoesHere@fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html
如果“ChromeOS 证书注册”扩展程序是首次安装,而且没有现有状态信息,用户就可能会遇到网址请求问题。此外,如果扩展程序更新或者丢失之前的状态信息,则也可能会出现问题。
如要向扩展程序推送全新或经过更新的政策,请先推送空白政策,让系统可以清除和重置所有当前的政策值。接下来,请推送您需要的政策。
- 推送空白政策。
- 验证政策是否已应用到用户的设备。
- 推送所需政策。
- 验证政策是否已应用到用户的设备。
- 刷新“ChromeOS 证书注册”扩展程序。
没有可注册的注册 URI。
- 确保您已将“证书注册”的角色服务配置为接受基于用户名和密码(而非 Kerberos 协议等因素)的身份验证。
- 确保您已将扩展程序配置为使用正确的 CA 模板。
- 确保 JSON 文件的“user_enrollment_templates”政策中输入的值与 CA 的模板名称(而非模板显示名称)相同。
- 请检查 CA 模板中为经过身份验证的用户设置的权限,然后确保相关用户拥有合适的权限。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。