Usar la extensión Registro de certificado para ChromeOS

Para registrar automáticamente un certificado preconfigurado, debes seguir este procedimiento:

1. Haz clic en la notificación Enroll Certificate (Registrar certificado).
2. (Opcional) Selecciona la casilla Enroll Device-Wide Certificate (Registrar certificado del dispositivo) para solicitar un certificado de dispositivo. Si no seleccionas esta casilla, se solicitará un certificado de usuario.
3. Haz clic en Enroll (Registrar).

Para renovar un certificado, el usuario solo tiene que hacer clic en la notificación Recordatorio de renovación de certificado.

Con las solicitudes de certificado de usuario se emite un certificado para el usuario específico que envía la solicitud, no para el dispositivo en general. Los certificados de usuario solo son válidos para la persona que ha iniciado sesión en ese equipo, no para otros usuarios que también lo utilicen.

1. Haz clic en el campo Username (Nombre de usuario) o pulsa el tabulador para desplazarte hasta este campo.
2. Escribe tu nombre de usuario.
3. Haz clic en el campo Password (Contraseña) o pulsa el tabulador para desplazarte hasta este campo.
4. Escribe tu contraseña.
5. Deja la casilla Device-Wide (A nivel de dispositivo) desmarcada.

Con las solicitudes de certificado de dispositivo se emite un certificado para el dispositivo desde el que se ha enviado la solicitud, no solo para el usuario que la ha enviado. Los certificados de dispositivo son válidos para todos los miembros de la organización que utilizan ese equipo. Generalmente, suelen ser necesarios cuando los dispositivos se usan en sesiones públicas o en modo kiosco.

1. Haz clic en el campo Username (Nombre de usuario) o pulsa el tabulador para desplazarte hasta este campo.
2. Escribe tu nombre de usuario.
3. Haz clic en el campo Password (Contraseña) o pulsa el tabulador para desplazarte hasta este campo.
4. Escribe tu contraseña.
5. Marca la casilla Device-Wide (A nivel de dispositivo).

Independientemente del tipo de solicitud que se envíe (de usuario o de dispositivo), el proceso para enviarla es el mismo.

1. Crea una solicitud de certificado de usuario o de dispositivo siguiendo los pasos indicados más arriba.
2. Desplázate hasta el botón Enroll (Registrar).
3. Haz clic en Enroll (Registrar).

Una vez que se envía una solicitud, debería obtenerse una respuesta del servidor en la que se incluirá el certificado solicitado.

1. Envía una solicitud de certificado, tal como se ha indicado anteriormente.
2. Espera a que se reciba la respuesta.
3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje en el que se indica que el certificado se ha recibido e importado.
4. Selecciona Okay (Aceptar) en el cuadro de diálogo, pulsa la tecla Esc o haz clic fuera del cuadro de diálogo para cerrarlo una vez que hayas terminado.

Una vez enviada una solicitud, puede que no llegue a aprobarse por diferentes motivos. Una respuesta de error recoge esos fallos e informa al usuario acerca del problema que se ha producido.

1. Envía una solicitud de certificado, tal como se ha indicado anteriormente.
2. Espera a que se reciba la respuesta.
3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje de error en el que se indica que ha habido algún problema.
4. Selecciona Okay (Aceptar) en el cuadro de diálogo, pulsa la tecla Esc o haz clic fuera del cuadro de diálogo para cerrarlo una vez que hayas terminado.
5. Si el error se puede corregir (por ejemplo, si se trata de un nombre de usuario no válido), la corrección y el reenvío de la solicitud deberían completarse sin problemas. En caso contrario (por ejemplo, cuando el servidor deniega la solicitud), el usuario deberá pedir ayuda.

En algunas ocasiones, cuando se envía una solicitud, el servidor puede ponerla en estado pendiente hasta que una persona la revise y decida si se aprueba o se rechaza. Una respuesta pendiente encapsula este flujo y ofrece al usuario la información pertinente para comprobar el estado de la solicitud más adelante.

1. Envía una solicitud de certificado, tal como se ha indicado anteriormente.
2. Espera a que se reciba la respuesta.
3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje en el que se indica que la solicitud se ha puesto en estado pendiente. También se muestra el URI de registro y el ID de la solicitud, que son necesarios para comprobar la solicitud más adelante.
4. Copia el URI de registro y el ID de solicitud para consultarlos más adelante.
5. Selecciona Okay (Aceptar) en el cuadro de diálogo, pulsa la tecla Esc o haz clic fuera del cuadro de diálogo para cerrarlo una vez que hayas terminado.

Si un usuario tiene un certificado pendiente, es posible que quiera comprobar el estado del certificado en algún momento. Para poder crear y enviar solicitudes de certificados pendientes, el usuario debe acceder a la interfaz de solicitudes pendientes.

1. Haz clic o pulsa el tabulador para desplazarte hasta el botón More Options (Más opciones) y selecciónalo.
2. En la lista de opciones que aparece, haz clic o pulsa el tabulador para desplazarte hasta la opción "Show extra fields for checking on pending requests?" (¿Mostrar campos adicionales para comprobar las solicitudes pendientes?).
3. Selecciona la opción "Show extra fields for checking on pending requests?" (¿Mostrar campos adicionales para comprobar las solicitudes pendientes?) para que se muestren los campos de las solicitudes pendientes.

Si un usuario ha accedido anteriormente a la interfaz de solicitudes pendientes, es posible que quiera volver a la interfaz de solicitudes normales en algún momento.

1. Haz clic o pulsa el tabulador para desplazarte hasta el botón More Options (Más opciones) y selecciónalo.
2. En la lista de opciones que aparece, haz clic o pulsa el tabulador para desplazarte hasta la opción "Hide extra fields for checking on pending requests?" (¿Ocultar campos adicionales para comprobar las solicitudes pendientes?).
3. Selecciona "Hide extra fields for checking on pending requests?" (¿Ocultar campos adicionales para comprobar las solicitudes pendientes?) para que no se muestren los campos de las solicitudes pendientes.

Si un usuario tiene un certificado pendiente, es posible que quiera comprobar el estado del certificado en algún momento. La forma en que la extensión lleva a cabo este flujo es muy similar al proceso que se sigue para crear una solicitud.

1. Ve a la interfaz de solicitudes pendientes, tal como indicamos más arriba.
2. Haz clic en el campo Username (Nombre de usuario) o pulsa el tabulador para desplazarte hasta este campo.
3. Escribe tu nombre de usuario.
4. Haz clic en el campo Password (Contraseña) o pulsa el tabulador para desplazarte hasta este campo.
5. Escribe tu contraseña.
6. Haz clic en el campo Enrollment URI (URI de registro) o pulsa el tabulador para desplazarte hasta este campo.
7. Introduce el URI de registro que se muestra en una respuesta anterior de certificado pendiente.
8. Haz clic en el campo Request ID (ID de solicitud) o pulsa el tabulador para desplazarte hasta este campo.
9. Introduce el ID de solicitud que se muestra en una respuesta anterior de certificado pendiente.
10. Si la solicitud de certificado original era de un certificado de dispositivo, marca la casilla Device-Wide (A nivel de dispositivo). De lo contrario, déjala desmarcada.

Una vez que se ha creado una solicitud de revisión de un certificado pendiente, el usuario debe enviarla para obtener una respuesta. Una solicitud de revisión de un certificado pendiente puede procesarse correctamente, fallar o seguir pendiente de respuesta. Estos flujos son iguales a los que ya hemos descrito más arriba.

1. Crea una solicitud de revisión de certificado pendiente, tal como se ha indicado anteriormente.
2. Desplázate hasta el botón Check Status (Comprobar estado).
3. Selecciona el botón Check Status (Comprobar estado).

Algunas veces, cuando se producen errores, puede ser útil que un ayudante o administrador consulte los registros íntegros de lo que ha ocurrido en la extensión. Para que un usuario pueda obtener estos registros, te ofrecemos un sencillo método que le permitirá copiarlos en su portapapeles.

1. Haz clic o pulsa el tabulador para desplazarte hasta el botón More Options (Más opciones) y selecciónalo.
2. En la lista de opciones que aparece, haz clic o pulsa el tabulador para desplazarte hasta la opción "Copy Logs to Clipboard" (Copiar registros en el portapapeles).
3. Selecciona "Copy Logs to Clipboard" (Copiar registros en el portapapeles) para que los registros se copien en el portapapeles del usuario.
4. Ahora el usuario podrá pegar estos registros donde quiera siguiendo el proceso normal en su dispositivo.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú  Dispositivos Chrome Aplicaciones y extensionesUsuarios y navegadores.

   Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú  Navegador ChromeAplicaciones y extensionesUsuarios y navegadores.
3. Si quieres aplicar la configuración a todos los usuarios, deja seleccionado el nivel organizativo superior. De lo contrario, selecciona una unidad organizativa secundaria.
4. Selecciona Añadir Añadir desde Chrome Web Store.
5. Busca y selecciona Registro de certificado para Chrome OS. El ID de la extensión es fhndealchbngfhdoncgcokameljahhog.
6. En la página Usuarios y navegadores, selecciona la extensión Registro de certificado para Chrome OS.
7. En el panel de la derecha, en Gestión de certificados, activa Permitir el acceso a las claves.
8. En Política de instalación, elige Forzar la instalación o Forzar la instalación y fijar a la barra de tareas de ChromeOS.
9. Haz clic en Guardar.

Crea un archivo que contenga los ajustes que quieres aplicar a la extensión Registro de certificado para Chrome OS de los usuarios. Empieza con este archivo de muestra y cambia las políticas para ajustarlas a las necesidades de tu organización o de tus usuarios. Puedes editar el archivo JavaScript Object Notation (JSON) con un editor de texto.

Nota: Las políticas que contienen valores predeterminados en cadenas que los usuarios pueden ver, se traducen y aparecen en los dispositivos en función de la configuración regional del usuario. Puedes cambiar estas cadenas para adaptarlas a las necesidades de tu organización, pero no se traducirán.

Puedes definir las siguientes políticas:

Nombre de la política	Función
allow_machine_cert_enrollment	Permite a los usuarios instalar un certificado de sistema. Si el valor asignado es "true", los usuarios podrán solicitar un certificado de sistema o de usuario. De lo contrario, solo podrán solicitar un certificado de usuario. El valor predeterminado es "false".
cep_proxy_url	Especifica el punto final HTTPS de la CEP. Para obtener el punto final, haz lo siguiente: En Administrador de IIS, ve al sitio web de la CEP. El nombre normalmente incluye la palabra "CEP". Abre Configuración de la aplicación. El punto final HTTPS de la CEP se indica debajo de URI. Solo son válidos los valores que empiezan por https. Si introduces un valor que empieza por https pero no coincide con el Identificador de recursos uniforme (URI) en Administrador de IIS, se considerará válido igualmente y se utilizará, aunque es muy probable que no se pueda procesar. Esta política es obligatoria.
company_info	Especifica la información de marca de tu organización, como el nombre y el logotipo. Configura help_url de forma que dirija a los usuarios a una página web donde podrán obtener información o asistencia. Si la página web que especificas no permite el acceso a los usuarios que no tengan un certificado (por ejemplo, cuando se trata de la primera solicitud), utiliza help_text para ofrecerles un texto de ayuda. Si configuras help_url y help_text, la página web que hayas especificado aparecerá debajo del texto de ayuda en los dispositivos de los usuarios.
device_cert_request_values	Especifica los valores que se utilizarán en la solicitud de firma de certificado (CSR) de un dispositivo. En vez de usar las propiedades del solicitante, puedes definir valores de sujeto a partir de los atributos del usuario y del dispositivo. Para utilizar la CSR personalizada, también deberías configurar la plantilla de certificado en la autoridad de certificación (CA) para que se espere y se genere un certificado con los valores de sujeto definidos en la propia solicitud. Como mínimo, tienes que proporcionar un valor CommonName del sujeto. Puedes utilizar los siguientes marcadores de posición. Todos los valores son opcionales. En los dispositivos ChromeOS 66 y versiones posteriores, puedes utilizar estos elementos: ${DEVICE_DIRECTORY_ID}: el ID de directorio del dispositivo ${USER_EMAIL}: la dirección de correo electrónico del usuario que ha iniciado sesión ${USER_DOMAIN}: el nombre del dominio del usuario que ha iniciado sesión ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo ${DEVICE_ASSET_ID}: el ID de recurso asignado al dispositivo por el administrador ${DEVICE_ANNOTATED_LOCATION}: la ubicación asignada al dispositivo por el administrador Si un valor de marcador de posición no está disponible, se sustituirá por una cadena vacía. Puedes encadenar los marcadores de posición. Por ejemplo, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} se sustituye por el número de serie del dispositivo si el ID de recurso no está disponible.
device_enrollment_templates	Lista con los nombres de plantillas de certificados coincidentes, organizados por orden de prioridad en los flujos de registro de los usuarios. La extensión busca en la lista una plantilla de certificado que coincida y utiliza la primera plantilla que encuentra. Si hay un error, la extensión no intentará usar otras plantillas de certificado. Esta política es obligatoria. Debe tener al menos un valor de la lista. En Microsoft Management Console (MMC) de la autoridad de certificación (CA), utiliza Nombre de la plantilla y no Nombre visible de plantilla. El valor predeterminado es ChromeOSWirelessUser.
enable_auto_enrollment	Permite decidir si la extensión inicia automáticamente el registro. Si el valor asignado es "false", la extensión esperará a que el usuario intente conectarse a la red EAP-TLS. El valor predeterminado es "false".
log_level	Especifica el nivel de detalle de los registros de la extensión que se envían a la consola de JavaScript de Chrome. NONE (predeterminado): no se registra nada en la consola. ERROR: solo se registran los errores distintos en la consola. WARNING: se registran los errores distintos y las advertencias en la consola. INFO: se registran los errores distintos y las advertencias en la consola, junto con la información pertinente sobre las acciones. DEBUG: se registra todo en la consola. En la versión inicial se recomienda usar este ajuste para solucionar problemas potenciales. En Más opciones, puedes copiar automáticamente todos los registros en el portapapeles. Los usuarios tienen dos formas de abrir la consola de desarrollo web en Chrome para acceder a los registros de Chrome en su dispositivo: Pulsar Ctrl + Mayús + i. Hacer clic en Más herramientas Herramientas de desarrollo. Esta política es obligatoria.
placeholder_values	Especifica el nombre de usuario, la contraseña, el URI, el ID de la solicitud y los marcadores de posición de las cabeceras. Esta información ayuda a guiar a los usuarios cuando inician sesión. Los campos Username (Nombre de usuario), Password (Contraseña), URI y RequestID (ID de la solicitud), que se muestran sobre los campos de entrada, indican para qué sirve cada uno. El campo Header (Cabecera) corresponde al título de la página. Hay valores especiales para los campos Username (Nombre de usuario), Password (Contraseña) y Header (Cabecera), que permiten a los clientes usar nombres predeterminados internacionales. managed_username_placeholder: nombre de usuario managed_password_placeholder: contraseña managed_login_header: registro de certificados Si tu organización utiliza otra terminología, como "frase de contraseña" en lugar de "contraseña", puedes cambiar los valores. Sin embargo, el nuevo valor no se traducirá.
renew_hours_before_expiry	Especifica con qué antelación (en horas) se avisará a los usuarios de la próxima caducidad del certificado.   El valor predeterminado es 120.
renew_reminder_interval	Determina cada cuantas horas se avisará a los usuarios de la próxima caducidad del certificado. Tras la primera notificación, si el usuario no renueva el certificado y no elige la opción de ignorar los recordatorios, recibirá más notificaciones cuando hayan transcurrido las horas indicadas. Por ejemplo, si el valor de renew_hours_before_expiry es 120 y el de renew_reminder_interval es 24, y un usuario elige siempre recibir más recordatorios, recibirá 5 notificaciones de renovación: una cada día hasta que el certificado caduque. El valor predeterminado es 24.
request_timeout_seconds	Especifica cuántos segundos transcurrirán hasta que se agote el tiempo de espera de una llamada a CEP o a CES. El valor predeterminado es 20.
signature_algo	Controla qué algoritmo de firmas usa la extensión para firmar las solicitudes de certificado. Las opciones son las siguientes: SHA1 (no recomendado): el algoritmo SHA1 es débil y puede poner en peligro la seguridad de los usuarios. SHA256 SHA512 (predeterminado)
user_cert_request_values	Especifica los valores utilizados en la solicitud de firma de certificado (CSR) de un certificado de usuario. En vez de usar las propiedades del solicitante, puedes definir valores de sujeto a partir de los atributos del usuario y del dispositivo. Para utilizar la CSR personalizada, también deberías configurar la plantilla de certificado en la autoridad de certificación (CA) para que se espere y se genere un certificado con los valores de sujeto definidos en la propia solicitud. Como mínimo, tienes que proporcionar un valor CommonName del sujeto. Puedes utilizar los siguientes marcadores de posición. Todos los valores son opcionales. ${DEVICE_DIRECTORY_ID}: el ID de directorio del dispositivo ${USER_EMAIL}: la dirección de correo electrónico del usuario que ha iniciado sesión ${USER_DOMAIN}: el nombre del dominio del usuario que ha iniciado sesión ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo ${DEVICE_ASSET_ID}: el ID de recurso asignado al dispositivo por el administrador ${DEVICE_ANNOTATED_LOCATION}: la ubicación asignada al dispositivo por el administrador ${USER_ID} : la primera parte de la dirección de correo electrónico del usuario que ha iniciado sesión (delante del signo @) Si un valor de marcador de posición no está disponible, se sustituirá por una cadena vacía. Puedes encadenar los marcadores de posición. Por ejemplo, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} se sustituye por el número de serie del dispositivo si el ID de recurso no está disponible.
user_enrollment_templates	Lista con los nombres de plantillas de certificados coincidentes, organizados por orden de prioridad en los flujos de registro de los usuarios. La extensión busca en la lista una plantilla de certificado que coincida y utiliza la primera plantilla que encuentra. Si hay un error, la extensión no intentará usar otras plantillas de certificado. Esta política es obligatoria. La lista debe contener al menos un valor. En Microsoft Management Console (MMC) de la autoridad de certificación (CA), usa Nombre de la plantilla y no Nombre visible de plantilla. El valor predeterminado es ChromeOSWirelessUser.

Configurar el aprovisionamiento de certificados con o sin credenciales introducidas por los usuarios

De forma predeterminada, la extensión de registro de certificados se configura de modo que los usuarios pueden aprovisionar un certificado manualmente introduciendo sus credenciales cuando intentan obtener un certificado.

Puedes utilizar la extensión de ChromeOS para asegurarte de que los usuarios aprovisionen o renueven certificados sin tener que introducir manualmente sus credenciales. Si un dispositivo contiene un ticket de Kerberos, la extensión podrá solicitar certificados de usuario y de dispositivo mediante la autenticación Kerberos. También podrá solicitar certificados de dispositivo utilizando únicamente una cuenta de servicio.

Autenticación Kerberos

Antes de empezar

• Los usuarios de ChromeOS deben tener un ticket de Kerberos en el dispositivo.
  • El administrador de credenciales de Kerberos debe configurarse mediante una política para permitir que se obtenga un ticket de Kerberos para el usuario que ha iniciado sesión. Preferiblemente, se debe configurar de forma que este proceso se realice automáticamente durante el inicio de sesión. Consulta cómo configurar el inicio de sesión único basado en Kerberos en dispositivos Chrome OS.
• La cuenta de usuario de Active Directory asociada al ticket de Kerberos debe tener permiso para solicitar certificados mediante la plantilla de certificado configurada.
• El punto final de registro debe estar incluido en la política de Chrome OS Servidores de autenticación integrados. Para ver más información, consulta la política en la lista de políticas de Chrome.
  • Define el ajuste Servidores de autenticación integrados correctamente en la consola de administración. Consulta información sobre el ajuste Servidores de autenticación integrados.

Configurar la extensión

Asigna el valor kerberos al ajuste client_authentication de la política de la extensión.

Autenticación mediante una cuenta de servicio alojada

Puedes configurar la extensión de forma que solicite un certificado de dispositivo mediante una cuenta de servicio. Las credenciales de la cuenta de servicio se alojan en un servidor web de tu red local.

Advertencia: Si un atacante consigue acceder al servidor web en el que se alojan las credenciales y la política de la extensión del dispositivo, existe la posibilidad de que logre hacerse con las credenciales de la cuenta de servicio.

Recomendamos restringir el acceso al servidor web donde se alojan las credenciales de la cuenta de servicio a una red de aprovisionamiento que se utilice exclusivamente para el aprovisionamiento inicial de los dispositivos Chrome OS.

Antes de empezar

• Debes tener un servidor web en la red local que pueda gestionar solicitudes HTTPS.
• ChromeOS debe confiar en el certificado de este servidor web. Si el servidor web utiliza un certificado emitido por una autoridad de certificación con firma automática, puedes configurarlo de forma que se considere de confianza en la consola de administración.

Paso 1: Generar la contraseña enmascarada

1. Abre la extensión.
2. Selecciona More (Más) Password Mask Tool (Herramienta de máscara de contraseñas).
3. Introduce la contraseña de la cuenta de servicio.
4. Selecciona Mask (Enmascarar).
5. Copia la máscara y la contraseña enmascarada en un archivo de texto.

Paso 2: Almacenar las credenciales en el servidor web interno

1. Configura el servidor web de forma que sirva un archivo JSON que contenga estos elementos:

{

 username: <nombre de usuario de la cuenta de servicio>

 maskedPassword: <contraseña enmascarada que se ha copiado y pegado>

}

2. Copia en un archivo de texto la URL que el servidor web utiliza para alojar las credenciales.

Paso 3: Configurar la política de la extensión

1. Asigna la URL que copiaste anteriormente a la variable service_account_host de la política de la extensión.
2. Asigna la máscara que copiaste anteriormente a la variable service_account_host_password_mask de la política de la extensión.

Renovación automática de certificados

Puedes configurar la extensión para renovar los certificados con un método basado en claves y sin tener que usar un sistema de autenticación adicional.

Antes de empezar

Debes disponer de un punto final del servicio CES de ADCS que admita la renovación basada en claves de la plantilla de certificado configurada. Para obtener más información, consulta el artículo Configuración del Servicio web de inscripción de certificados para la renovación basada en claves de certificados en un puerto personalizado.

Configurar la extensión

• Asigna el valor true al ajuste use_key_based_renewal de la política de la extensión.
• Asigna la URL del punto final de CES que admite la renovación basada en claves al ajuste ces_renewal_url de la política de la extensión.

Si quieres definir ajustes para aplicarlos a un grupo concreto de usuarios o navegadores Chrome registrados, coloca las cuentas de usuario o los navegadores en un mismo grupo o en la misma unidad organizativa. Solo se pueden añadir cuentas de usuario a los grupos. Para obtener más información, consulta Grupos y Añadir una unidad organizativa.

1. Inicia sesión en la consola de administración de Google.

   Utiliza tu cuenta de administrador (no termina en @gmail.com).

2. En la consola de administración, ve a Menú DispositivosRedes.
3. Haz clic en Wi-Fi.
4. Añade una nueva red EAP-TLS.
   Para ver más información sobre cómo añadir ajustes relacionados con las redes Wi-Fi, consulta el artículo Gestionar redes.
5. Configura la red de forma que dirija a la extensión de registro. En el campo URL de inscripción de clientes, introduce chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Nota: Se puede acceder a la URL de la extensión de registro desde el navegador Chrome aunque no se haya configurado ninguna red para registrarse en dicha URL. De este modo, se puede probar la URL manualmente antes de configurar las redes o de registrar los certificados para usarlos en redes distintas a EAP-TLS (por ejemplo, en una VPN basada en certificados). Invita a los usuarios a que accedan a la URL indicada anteriormente desde su navegador y se salten el paso sobre cómo configurar la red.

1. En un dispositivo Chrome OS gestionado, ve a chrome://policy.
2. Haz clic en Volver a cargar políticas.
3. Desplázate hasta Registro de certificado para Chrome OS.
4. En cada política, asegúrate de que los campos de valores sean los mismos que has definido en el archivo JSON.