Erweiterung „Zertifikatregistrierung für ChromeOS“ verwenden

Für die automatische Registrierung eines vorkonfigurierten Zertifikats muss der Nutzer Folgendes tun:

1. Klicken Sie auf die Benachrichtigung Zertifikat registrieren.
2. Optional: Klicken Sie das Kästchen Geräteübergreifendes Zertifikat registrieren an, um ein Gerätezertifikat anzufordern. Wenn das Kästchen nicht angeklickt ist, wird ein Nutzerzertifikat angefordert.
3. Klicken Sie auf Registrieren.

Der Nutzer muss einfach auf die Benachrichtigung Erinnerung: Zertifikat erneuern klicken, um ein Zertifikat zu verlängern.

Bei Nutzerzertifikatsanfragen soll ein Zertifikat für den jeweiligen Nutzer ausgestellt werden, nicht für das gesamte Gerät. Nutzerzertifikate sind nur für den auf diesem Gerät angemeldeten Nutzer gültig, nicht für andere, die das Gerät möglicherweise ebenfalls verwenden.

1. Klicken Sie auf das Feld „Nutzername“ oder gehen Sie per Tab dorthin.
2. Geben Sie Ihren Nutzernamen ein.
3. Klicken Sie auf das Feld „Passwort“ oder gehen Sie per Tab dorthin.
4. Geben Sie Ihr Passwort ein.
5. Klicken Sie das Kästchen „Geräteübergreifend“ nicht an.

Bei Gerätezertifikatsanfragen soll ein Zertifikat für das gesamte Gerät ausgestellt werden, das die Anfrage sendet – nicht nur für den anfragenden Nutzer. Gerätezertifikate sind für alle Nutzer gültig, die zur selben Organisation auf dem Gerät gehören. Solche Zertifikate sind typischerweise für Geräte nötig, die im Modus „Öffentliche Sitzung“ oder im Kioskmodus verwendet werden.

1. Klicken Sie auf das Feld „Nutzername“ oder gehen Sie per Tab dorthin.
2. Geben Sie Ihren Nutzernamen ein.
3. Klicken Sie auf das Feld „Passwort“ oder gehen Sie per Tab dorthin.
4. Geben Sie Ihr Passwort ein.
5. Klicken Sie das Kästchen „Geräteübergreifend“ an.

Ob Nutzer- oder Gerätezertifikatsanfrage – das Senden von Anfragen funktioniert gleich.

1. Erstellen Sie wie oben beschrieben eine Nutzer- oder Gerätezertifikatsanfrage.
2. Gehen Sie zur Schaltfläche „Registrieren“.
3. Klicken Sie auf Registrieren.

Nachdem eine Anfrage gesendet wurde, sollte der Server im Idealfall eine erfolgreiche Antwort zurückgeben, die das angeforderte Zertifikat enthält.

1. Senden Sie wie oben beschrieben eine Zertifikatsanfrage.
2. Warten Sie, bis die Antwort eingegangen ist.
3. Nach dem Eingang der Antwort wird in einem Dialogfeld bestätigt, dass das Zertifikat empfangen und importiert wurde.
4. Wählen Sie im Dialogfeld „OK“ aus, drücken Sie die Esc-Taste oder klicken Sie auf eine Stelle außerhalb des Dialogfelds, um es zu schließen.

Manchmal treten bei Anfragen aus verschiedenen Gründen Fehler auf. Der Nutzer wird mit einer Fehlerantwort über die Fehler informiert.

1. Senden Sie wie oben beschrieben eine Zertifikatsanfrage.
2. Warten Sie, bis die Antwort eingegangen ist.
3. Nach dem Eingang der Antwort werden Sie in einem Dialogfeld über den Fehler informiert.
4. Wählen Sie im Dialogfeld „OK“ aus, drücken Sie die Esc-Taste oder klicken Sie auf eine Stelle außerhalb des Dialogfelds, um es zu schließen.
5. Wenn der Fehler behoben werden kann, z. B. bei einem ungültigen Nutzernamen, sollte die Korrektur ausgeführt und die Anfrage noch einmal gesendet werden. Ist das nicht möglich, z. B. wenn der Zugriff vom Server verweigert wird, sollte der Nutzer Hilfe anfordern.

Nachdem eine Anfrage gesendet wurde, kann es vorkommen, dass der Server die Anfrage auf „Ausstehend“ setzt, damit sie jemand später manuell prüfen und genehmigen bzw. ablehnen kann. Der Nutzer wird mit einer entsprechenden Antwort über diesen Ablauf informiert und gebeten, den Status der Anfrage später zu prüfen.

1. Senden Sie wie oben beschrieben eine Zertifikatsanfrage.
2. Warten Sie, bis die Antwort eingegangen ist.
3. Nach dem Eingang der Antwort werden Sie in einem Dialogfeld darüber informiert, dass die Anfrage auf „Ausstehend“ gesetzt wurde. Außerdem werden der zugehörige Registrierungs-URI und die Anfrage-ID angezeigt, die nötig sind, um die Anfrage später zu prüfen.
4. Kopieren und speichern Sie den Registrierungs-URI und die Anfrage-ID für später.
5. Wählen Sie im Dialogfeld „OK“ aus, drücken Sie die Esc-Taste oder klicken Sie auf eine Stelle außerhalb des Dialogfelds, um es zu schließen.

Wenn für einen Nutzer ein Zertifikat aussteht, sollte der Nutzer den Status des Zertifikats zu einem späteren Zeitpunkt prüfen. Um Anfragen für ausstehende Zertifikate zu erstellen und zu senden, muss der Nutzer die Oberfläche für ausstehende Anfragen aufrufen.

1. Klicken Sie auf die Schaltfläche „Weitere Optionen“ oder gehen Sie per Tab dorthin.
2. Klicken Sie in der Liste der generierten Optionen auf „Sollen Felder angezeigt werden, die nur beim Überprüfen ausstehender Anfragen relevant sind?“ oder gehen Sie per Tab dorthin.
3. Wählen Sie die Option „Sollen Felder angezeigt werden, die nur beim Überprüfen ausstehender Anfragen relevant sind?“ aus, damit die entsprechenden Felder angezeigt werden.

Nutzer können von der Oberfläche für ausstehende Anfragen wieder zurück zur Standardoberfläche wechseln.

1. Klicken Sie auf die Schaltfläche „Weitere Optionen“ oder gehen Sie per Tab dorthin.
2. Klicken Sie in der Liste der generierten Optionen auf „Sollen Felder ausgeblendet werden, die nur beim Überprüfen ausstehender Anfragen relevant sind?“ oder gehen Sie per Tab dorthin.
3. Wählen Sie die Option „Sollen Felder ausgeblendet werden, die nur beim Überprüfen ausstehender Anfragen relevant sind?“ aus, damit die entsprechenden Felder ausgeblendet werden.

Wenn für einen Nutzer ein Zertifikat aussteht, sollte der Nutzer den Status des Zertifikats zu einem späteren Zeitpunkt prüfen. Das funktioniert über die Erweiterung in etwa so wie die Erstellung einer neuen Anfrage.

1. Gehen Sie wie oben beschrieben zur Oberfläche für ausstehende Anfragen.
2. Klicken Sie auf das Feld „Nutzername“ oder gehen Sie per Tab dorthin.
3. Geben Sie Ihren Nutzernamen ein.
4. Klicken Sie auf das Feld „Passwort“ oder gehen Sie per Tab dorthin.
5. Geben Sie Ihr Passwort ein.
6. Klicken Sie auf das Feld „Registrierungs-URI“ oder gehen Sie per Tab dorthin.
7. Geben Sie den Registrierungs-URI aus der zuvor erhaltenen Antwort bezüglich des ausstehenden Zertifikats ein.
8. Klicken Sie auf das Feld „Anfrage-ID“ oder gehen Sie per Tab dorthin.
9. Geben Sie die Anfrage-ID aus der zuvor erhaltenen Antwort bezüglich des ausstehenden Zertifikats ein.
10. Wenn ursprünglich ein geräteübergreifendes Zertifikat angefordert wurde, klicken Sie das Kästchen „Geräteübergreifend“ an. Klicken Sie das Kästchen „Geräteübergreifend“ andernfalls nicht an.

Nachdem eine Anfrage zur Prüfung eines ausstehenden Zertifikats erstellt wurde, muss der Nutzer diese Anfrage senden, um eine Antwort zu erhalten. Das Ergebnis einer solchen Anfrage kann wie in den oben beschriebenen Abläufen erfolgreich sein oder zu Fehlern oder dem Setzen auf „Ausstehend“ führen.

1. Erstellen Sie wie oben beschrieben eine Anfrage zur Prüfung eines ausstehenden Zertifikats.
2. Gehen Sie zur Schaltfläche „Status prüfen“.
3. Klicken Sie auf die Schaltfläche „Status prüfen“.

Bei Fehlern kann es für einen Assistenten oder Administrator hilfreich sein, sich die vollständigen Protokolle der Vorgänge anzusehen. Der Nutzer kann die Protokolle wie unten beschrieben in die Zwischenablage kopieren.

1. Klicken Sie auf die Schaltfläche „Weitere Optionen“ oder gehen Sie per Tab dorthin.
2. Klicken Sie in der Liste der generierten Optionen auf „Protokolle in Zwischenablage kopieren“ oder gehen Sie per Tab dorthin.
3. Wählen Sie „Protokolle in Zwischenablage kopieren“ aus, um die Protokolle in die Zwischenablage des Nutzers zu kopieren.
4. Nun kann der Nutzer die Protokolle an der gewünschten Stelle einfügen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü    Geräte  Chrome  Apps und Erweiterungen  Nutzer und Browser.

   Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü    Chrome-Browser  Apps und Erweiterungen  Nutzer und Browser.
3. Wenn die Einstellung für alle Nutzer gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Wählen Sie andernfalls eine untergeordnete Organisationseinheit aus.
4. Bewegen Sie den Mauszeiger auf „Hinzufügen“ Aus dem Chrome Web Store hinzufügen.
5. Suchen Sie nach der Erweiterung Zertifikatregistrierung für ChromeOS und wählen Sie sie aus. Die Erweiterungs-ID lautet „fhndealchbngfhdoncgcokameljahhog“.
6. Wählen Sie auf der Seite Nutzer und Browser die Erweiterung Zertifikatregistrierung für ChromeOS aus.
7. Aktivieren Sie im Steuerfeld rechts unter Zertifikatsverwaltung die Option Zugriff auf Schlüssel zulassen.
8. Wählen Sie unter Installationsrichtlinien die Option Installation erzwingen oder Installation erzwingen und Anpinnen an ChromeOS-Taskleiste aus.
9. Klicken Sie auf Speichern.

Erstellen Sie eine Datei mit den Einstellungen, die Sie auf die Erweiterung „Zertifikatregistrierung für ChromeOS“ für Nutzer anwenden möchten. Verwenden Sie diese Beispieldatei als Vorlage und ändern Sie die Richtlinien entsprechend den Anforderungen Ihrer Organisation oder der Nutzer. Sie können die JSON-Datei (JavaScript Object Notation) mit einem Texteditor bearbeiten.

Hinweis: Richtlinien, die Standardwerte in Strings enthalten, die für Nutzer sichtbar sind, werden übersetzt und in der entsprechenden Sprache des Nutzers auf den Geräten angezeigt. Sie können die Strings zwar für Ihre Organisation anpassen, aber sie werden dann nicht übersetzt.

Sie können die folgenden Richtlinien festlegen:

Richtlinienname	Funktion
allow_machine_cert_enrollment	Ermöglicht Nutzern, ein Systemzertifikat zu installieren. Ist die Einstellung auf „wahr“ gesetzt, können Nutzer ein System- oder Nutzerzertifikat anfordern. Andernfalls lässt sich nur ein Nutzerzertifikat anfordern. Der Standardwert lautet „falsch“.
cep_proxy_url	Gibt den HTTPS-Endpunkt für die CEP an. So rufen Sie den Endpunkt ab: Wechseln Sie im IIS-Manager zur CEP-Website. Der Name enthält normalerweise CEP. Öffnen Sie die Anwendungseinstellungen. Der HTTPS-Endpunkt für die CEP ist dort unter URI aufgeführt. Gültig sind nur Werte, die mit HTTPS beginnen. Wird ein mit HTTPS beginnender Wert eingegeben, der nicht mit dem URI (Uniform Resource Identifier) im IIS-Manager übereinstimmt, wird dieser zwar als gültig angesehen und verwendet, aber es treten höchstwahrscheinlich Fehler auf. Diese Richtlinie ist obligatorisch.
company_info	Gibt die Informationen Ihrer Organisation an, z. B. Name und Logo. Legen Sie help_url fest, um Nutzer auf eine Webseite zu leiten, auf der sie Informationen oder Support erhalten. Wenn die von Ihnen angegebene Webseite für Nutzer ohne Zertifikat blockiert ist, z. B. bei der ersten Anfrage, geben Sie über help_text einen hilfreichen Text an. Wenn Sie help_url und help_text festlegen, wird die von Ihnen angegebene Webseite unter dem Hilfetext auf den Geräten der Nutzer angezeigt.
device_cert_request_values	Gibt die Werte an, die in der Anfrage für die Zertifikatsunterzeichnung (Certificate Signing Request, CSR) für ein Gerätezertifikat verwendet werden sollen. Sie können Werte auf Grundlage von Nutzer- und Geräteattributen festlegen, anstatt die Eigenschaften des Anfragenden zu verwenden. Wenn Sie die benutzerdefinierte CSR verwenden möchten, sollten Sie auch die Zertifikatvorlage gemäß der erwarteten Zertifizierungsstelle konfigurieren und ein Zertifikat mit den in der Anfrage definierten Werten erstellen. Dafür müssen Sie mindestens einen Wert für den CommonName angeben. Sie können die folgenden Platzhalter verwenden. Alle Werte sind optional. Für ChromeOS-Geräte mit Version 66 und höher können Sie Folgendes verwenden: ${DEVICE_DIRECTORY_ID}: Verzeichnis-ID eines Geräts ${USER_EMAIL}: E-Mail-Adresse des angemeldeten Nutzers ${USER_DOMAIN}: Domain des angemeldeten Nutzers ${DEVICE_SERIAL_NUMBER}: Seriennummer des Geräts ${DEVICE_ASSET_ID}: Asset-ID, die dem Gerät vom Administrator zugewiesen wurde ${DEVICE_ANNOTATED_LOCATION}: Standort, der dem Gerät vom Administrator zugewiesen wurde Wenn kein Platzhalterwert verfügbar ist, wird ein leerer String eingefügt. Sie können Platzhalter auch verketten. ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} wird beispielsweise durch die Seriennummer des Geräts ersetzt, wenn die Asset-ID nicht verfügbar ist.
device_enrollment_templates	Liste übereinstimmender Namen von Zertifikatvorlagen, die nach Priorität geordnet sind und für den Ablauf bei der Nutzerregistrierung verwendet werden. In der Liste wird nach einer passenden Zertifikatvorlage gesucht. Die erste übereinstimmende Zertifikatvorlage wird dann verwendet. Wenn dabei ein Fehler auftritt, werden keine weiteren Zertifikatvorlagen ausprobiert. Diese Richtlinie ist obligatorisch. Dazu muss mindestens ein Wert in der Liste vorhanden sein. Verwenden Sie in der Zertifizierungsstelle "Microsoft Management Console" (MMC) den Namen der Vorlage, nicht den Anzeigenamen. Der Standardwert ist ChromeOSWirelessUser.
enable_auto_enrollment	Steuert, ob die Erweiterung automatisch die Registrierung startet. Ist die Einstellung auf „falsch“ gesetzt, wird darauf gewartet, dass der Nutzer versucht, eine Verbindung zum EAP-TLS-Netzwerk herzustellen. Der Standardwert lautet „falsch“.
log_level	Gibt die Detailebene in den Protokollen der Erweiterung an, die an die JavaScript-Konsole in Chrome gesendet werden. NONE (Keine, Standardeinstellung): In der Konsole werden keine Ereignisse protokolliert. ERROR (Fehler): Nur deutlich erkennbare Fehler werden in der Konsole protokolliert. WARNING (Warnung): Deutlich erkennbare Fehler und Warnungen werden in der Konsole protokolliert. INFO (Information): Deutlich erkennbare Fehler und Warnungen sowie entsprechende Informationen zu notwendigen Maßnahmen werden in der Konsole protokolliert. DEBUG (Fehlerbehebung): Alle Ereignisse werden in der Konsole protokolliert. Diese Ebene wird für die anfängliche Version empfohlen, um mögliche Probleme zu beheben. Unter Weitere Optionen können Sie alle Protokolle automatisch in die Zwischenablage kopieren. Es gibt zwei Möglichkeiten für Nutzer, die Webentwicklerkonsole in Chrome zu öffnen, um auf die Chrome-Protokolle auf ihrem Gerät zuzugreifen: Drücken Sie Strg + Umschalttaste + i. Klicken Sie auf Weitere Tools Entwicklertools. Diese Richtlinie ist obligatorisch.
placeholder_values	Gibt den Nutzernamen, das Passwort, den URI, die Anfrage-ID und die Header-Platzhalter an. Diese Informationen helfen Nutzern bei der Anmeldung. Die Felder „Nutzername“, „Passwort“, „URI“ und „Anfrage-ID“ werden über den Eingabefeldern angezeigt, sodass zu erkennen ist, worauf sich das jeweilige Eingabefeld bezieht. Das Feld „Header“ wird für den Seitentitel verwendet. Es gibt spezielle Werte für die Felder „Nutzername“, „Passwort“ und „Header“, damit Kunden internationale Standardbezeichnungen verwenden können. managed_username_placeholder: Nutzername managed_password_placeholder: Passwort managed_login_header: Zertifikatregistrierung Wenn Ihre Organisation andere Begriffe verwendet, z. B. „Passphrase“ anstelle von „Passwort“, können Sie die Werte ändern. Der neue Wert wird jedoch nicht übersetzt.
renew_hours_before_expiry	Informiert Nutzer über den Zeitraum (in Stunden) bis zum Ablaufen des Zertifikats.   Der Standardwert ist 120.
renew_reminder_interval	Steuert das Intervall (in Stunden) vor Ablauf des Zertifikats, nach dem Nutzer erneut benachrichtigt werden. Wenn der Nutzer nach der ersten Benachrichtigung das Zertifikat nicht verlängert und Erinnerungen nicht ausgeschaltet hat, werden nach Ablauf der festgelegten Stundenzahl weitere Benachrichtigungen angezeigt. Wenn Sie beispielsweise "renew_hours_before_expiry" auf 120 und "renew_reminder_interval" auf 24 setzen und der Nutzer immer auswählt, dass er weitere Erinnerungen erhalten möchte, wird er jeweils einmal täglich fünf Tage lang benachrichtigt, bis das Zertifikat abläuft. Der Standardwert ist 24.
request_timeout_seconds	Die Zeitspanne in Sekunden, bevor eine Anfrage an CEP oder CES abläuft. Der Standardwert ist 20.
signature_algo	Legt fest, welchen Signatur-Algorithmus die Erweiterung zur Signierung von Zertifikatanfragen verwendet. Folgende Optionen sind verfügbar: SHA1 (nicht empfohlen): SHA1 ist ein schwacher Algorithmus, der die Sicherheit Ihrer Nutzer gefährden kann. SHA256 SHA512 (Standard)
user_cert_request_values	Gibt die Werte an, die in der Anfrage zur Zertifikatsignierung (Certificate Signing Request, CSR) für ein Nutzerzertifikat verwendet werden. Sie können Werte auf Grundlage von Nutzer- und Geräteattributen festlegen, anstatt die Eigenschaften des Anfragenden zu verwenden. Wenn Sie die benutzerdefinierte CSR verwenden möchten, sollten Sie auch die Zertifikatvorlage gemäß der erwarteten Zertifizierungsstelle konfigurieren und ein Zertifikat mit den in der Anfrage definierten Werten erstellen. Dafür müssen Sie mindestens einen Wert für den CommonName angeben. Sie können die folgenden Platzhalter verwenden. Alle Werte sind optional. ${DEVICE_DIRECTORY_ID}: Verzeichnis-ID eines Geräts ${USER_EMAIL}: E-Mail-Adresse des angemeldeten Nutzers ${USER_DOMAIN}: Domain des angemeldeten Nutzers ${DEVICE_SERIAL_NUMBER}: Seriennummer des Geräts ${DEVICE_ASSET_ID}: Asset-ID, die dem Gerät vom Administrator zugewiesen wurde ${DEVICE_ANNOTATED_LOCATION}: Standort, der dem Gerät vom Administrator zugewiesen wurde ${USER_ID}: erster Teil der E-Mail-Adresse des angemeldeten Nutzers (vor dem @) Wenn kein Platzhalterwert verfügbar ist, wird ein leerer String eingefügt. Sie können Platzhalter auch verketten. ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} wird beispielsweise durch die Seriennummer des Geräts ersetzt, wenn die Asset-ID nicht verfügbar ist.
user_enrollment_templates	Liste übereinstimmender Namen von Zertifikatvorlagen, die nach Priorität geordnet sind und für den Ablauf bei der Nutzerregistrierung verwendet werden. In der Liste wird nach einer passenden Zertifikatvorlage gesucht. Die erste übereinstimmende Zertifikatvorlage wird dann verwendet. Wenn dabei ein Fehler auftritt, werden keine weiteren Zertifikatvorlagen ausprobiert. Diese Richtlinie ist obligatorisch. Dazu muss mindestens ein Wert in der Liste vorhanden sein. Verwenden Sie in der MMC-Zertifizierungsstelle den Namen der Vorlage, nicht den Anzeigenamen der Vorlage. Der Standardwert ist ChromeOSWirelessUser.

Zertifikatbereitstellung mit oder ohne Anmeldedaten des Nutzers konfigurieren

Die Erweiterung für die Zertifikatregistrierung ist standardmäßig so eingerichtet, dass Nutzer manuell ein Zertifikat bereitstellen. Dafür geben sie ihre Anmeldedaten ein, wenn sie ein Zertifikat abrufen möchten.

Mit der ChromeOS-Erweiterung sorgen Sie dafür, dass Nutzer Zertifikate automatisch bereitstellen oder verlängern können, ohne ihre Anmeldedaten manuell eingeben zu müssen. Die Erweiterung kann Nutzer- und Gerätezertifikate mit Kerberos-Authentifizierung anfordern, wenn auf dem Gerät ein Kerberos-Ticket für den Nutzer verfügbar ist. Es können auch Gerätezertifikate nur über ein Dienstkonto angefordert werden.

Kerberos-Authentifizierung

Hinweise

• Der ChromeOS-Nutzer muss ein Kerberos-Ticket auf dem Gerät haben.
  • Der Kerberos-Anmeldedatenmanager muss über eine Richtlinie so konfiguriert werden, dass ein Kerberos-Ticket für den angemeldeten Nutzer abgerufen werden kann. Vorzugsweise ist das so konfiguriert, dass es automatisch bei der Anmeldung geschieht. Weitere Informationen finden Sie unter Kerberos-Einmalanmeldung für ChromeOS-Geräte konfigurieren.
• Das mit dem Kerberos-Ticket verknüpfte Active Directory-Nutzerkonto muss berechtigt sein, Zertifikate mit der konfigurierten Zertifikatvorlage anzufordern.
• Der Registrierungsendpunkt muss in der ChromeOS-Richtlinie Integrierte Authentifizierungsserver aufgeführt sein. Weitere Informationen zu dieser Richtlinie finden Sie in der Liste der Chrome-Richtlinien.
  • Legen Sie die Einstellung Integrierte Authentifizierungsserver in der Admin-Konsole richtig fest. Weitere Informationen finden Sie unter Integrierte Authentifizierungsserver.

Erweiterung konfigurieren

Legen Sie den Richtlinienwert `client_authentication` der Erweiterung auf `kerberos` fest.

Authentifizierung des gehosteten Dienstkontos

Sie können in der Erweiterung festlegen, dass ein Gerätezertifikat mit einem Dienstkonto angefordert wird. Die Anmeldedaten für das Dienstkonto werden auf einem Webserver in Ihrem lokalen Netzwerk gehostet.

Warnung: Erhält ein Angreifer Zugriff auf den Webserver, auf dem die Anmeldedaten und die Erweiterungsrichtlinie auf dem Gerät gehostet werden, kann er die Anmeldedaten des Dienstkontos extrahieren.

Wir empfehlen, den Zugriff auf den Webserver, auf dem die Anmeldedaten des Dienstkontos gehostet werden, auf ein Bereitstellungsnetzwerk zu beschränken, das nur für die anfängliche ChromeOS-Gerätebereitstellung verwendet wird.

Hinweise

• Sie benötigen einen Webserver im lokalen Netzwerk, der HTTPS-Anfragen verarbeiten kann.
• ChromeOS muss das Zertifikat dieses Webservers als vertrauenswürdig einstufen. Verwendet der Webserver ein Zertifikat, das von einer selbst signierten Zertifizierungsstelle ausgestellt wurde, können Sie das Zertifikat der Zertifizierungsstelle in der Admin-Konsole als vertrauenswürdig konfigurieren.

Schritt 1: Maskiertes Passwort generieren

1. Öffnen Sie die Erweiterung.
2. Wählen Sie MorePassword Mask Tool (Mehr > Passwortmaskentool) aus.
3. Geben Sie das Passwort für das Dienstkonto ein.
4. Wählen Sie Mask (Maske) aus.
5. Kopieren Sie die Maske und das maskierte Passwort in eine Textdatei.

Schritt 2: Anmeldedaten auf dem internen Webserver speichern

1. Konfigurieren Sie den Webserver so, dass eine JSON-Datei bereitgestellt wird, die Folgendes enthält:

{

  ‘username’: ‘<Nutzername des Dienstkontos>’,

  ‘maskedPassword’: ‘<kopiertes und eingefügtes maskiertes Passwort>’

}

2. Kopieren Sie die URL, die der Webserver zum Hosten der Anmeldedaten verwendet, in eine Textdatei.

Schritt 3: Erweiterungsrichtlinien konfigurieren

1. Legen Sie für die Richtlinienvariable 'service_account_host' der Erweiterung die oben kopierte URL fest.
2. Legen Sie für die Richtlinienvariable 'service_account_host_password_mask' der Erweiterung die oben kopierte Maske fest.

Automatische Zertifikatverlängerung

Sie können die Erweiterung so konfigurieren, dass bestehende Zertifikate ohne zusätzliche Authentifizierung mit schlüsselbasierter Verlängerung verlängert werden.

Hinweise

Ein Endpunkt für den ADCS-Dienst für die Zertifikatregistrierung (Certificate Enrollment Service, CES), der die schlüsselbasierte Verlängerung für die konfigurierte Zertifikatvorlage unterstützt, muss verfügbar sein. Weitere Informationen finden Sie in der Microsoft-Dokumentation im Artikel zur Konfiguration eines Webdiensts für die Zertifikatregistrierung für die schlüsselbasierte Verlängerung auf einem benutzerdefinierten Port.

Erweiterung konfigurieren

• Setzen Sie den Richtlinienwert `use_key_based_renewal` der Erweiterung auf true.
• Legen Sie für den Richtlinienwert ‘ces_renewal_url’ der Erweiterung die URL des CES-Endpunkts fest, der die schlüsselbasierte Verlängerung unterstützt.

Wenn Sie Einstellungen für eine bestimmte Nutzergruppe oder registrierte Chrome-Browser vornehmen möchten, fassen Sie die betreffenden Nutzerkonten bzw. Browser in einer Gruppe oder Organisationseinheit zusammen. Nur Nutzerkonten können zu Gruppen hinzugefügt werden. Weitere Informationen finden Sie unter Gruppen und Organisationseinheit hinzufügen.

1. Melden Sie sich in der Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.

2. Gehen Sie in der Admin-Konsole zu „Menü“  GeräteNetzwerke.
3. Klicken Sie auf WLAN.
4. Fügen Sie ein neues EAP-TLS-Netzwerk hinzu.
   Weitere Informationen zum Hinzufügen einer WLAN-Konfiguration finden Sie unter Netzwerke verwalten.
5. Verweisen Sie das Netzwerk auf die Erweiterung für die Registrierung. Im Feld URL für die Clientregistrierung geben Sie chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html ein.

Hinweis: Sie können auch dann in Chrome auf die URL der Registrierungserweiterung zugreifen, wenn darunter noch keine Netzwerke zur Registrierung konfiguriert sind. So haben Sie die Möglichkeit, die URL manuell zu testen, bevor Sie Netzwerke konfigurieren oder Zertifikate für andere Zwecke als EAP-TLS-Netzwerke registrieren, z. B. zertifikatsbasiertes VPN. Bitten Sie die Nutzer, die URL im Browser aufzurufen und den Schritt für die Netzwerkkonfiguration zu überspringen.

1. Rufen Sie auf einem verwalteten ChromeOS-Gerät chrome://policy auf.
2. Klicken Sie auf Richtlinien neu laden.
3. Scrollen Sie zu Zertifikatregistrierung für ChromeOS.
4. Überprüfen Sie bei jeder Richtlinie, ob die Werte mit denen übereinstimmen, die Sie in der JSON-Datei festgelegt haben.