Usar la extensión Registro de certificado para ChromeOS

Como administrador, puedes utilizar la extensión Registro de certificado para Chrome OS para permitir que un usuario obtenga un certificado de usuario o de dispositivo de forma manual o automática. También puedes configurar la renovación automática de los certificados que estén a punto de caducar.

Antes de utilizar la extensión, asegúrate de que los usuarios tienen acceso a ella y de que tanto la extensión como la política gestionada asociada se han configurado correctamente. Para obtener más ayuda sobre cómo configurar la extensión, consulta la sección con la guía de implementación de la extensión.

Tipos de solicitudes de certificado

Hay dos tipos de solicitudes de certificado: de usuario y de dispositivo.

  • Con las solicitudes de certificado de usuario se emite un certificado para el usuario específico que envía la solicitud, no para el dispositivo en general. Los certificados de usuario solo son válidos para la persona que ha iniciado sesión en ese equipo, no para otros usuarios que también lo utilicen.
  • Con las solicitudes de certificado de dispositivo se emite un certificado para el dispositivo desde el que se ha enviado la solicitud, no solo para el usuario que la ha enviado. Los certificados de dispositivo son válidos para todos los miembros de la organización que utilizan ese equipo. Generalmente, suelen ser necesarios cuando los dispositivos se usan en sesiones de invitado gestionadas o en modo kiosco.

Aprovisionamiento de certificados sin credenciales introducidas por los usuarios

Puedes configurar la extensión de registro de certificados de forma que los certificados se aprovisionen o renueven automáticamente sin que los usuarios tengan que introducir manualmente las credenciales.

Cuando configuras una de las nuevas opciones de aprovisionamiento o renovación, la extensión detecta automáticamente si un certificado aún no se ha aprovisionado en un dispositivo o si va a caducar pronto, y envía una notificación al usuario para pedirle que obtenga un certificado o renueve el que va a caducar. Cuando el usuario hace clic en esa notificación, la extensión comienza el proceso para obtener o renovar el certificado. Para obtener más información, consulta la sección con la guía de implementación de la extensión.

Registrar un certificado

Para registrar automáticamente un certificado preconfigurado, debes seguir este procedimiento:

  1. Haz clic en la notificación Enroll Certificate (Registrar certificado).
  2. (Opcional) Selecciona la casilla Enroll Device-Wide Certificate (Registrar certificado del dispositivo) para solicitar un certificado de dispositivo. Si no seleccionas esta casilla, se solicitará un certificado de usuario.
  3. Haz clic en Enroll (Registrar).
Renovar un certificado

Para renovar un certificado, el usuario solo tiene que hacer clic en la notificación Recordatorio de renovación de certificado.

Aprovisionamiento de certificados con credenciales introducidas por los usuarios

Puedes configurar la extensión de registro de certificados de forma que los usuarios aprovisionen manualmente los certificados.

Flujos de usuarios principales

Los flujos de usuarios en la extensión se clasifican en dos categorías: principales y secundarios. El flujo de usuarios principal, tal como se describe en esta sección, es el que más probablemente encontrará un usuario.

Crear una solicitud de certificado de usuario

Con las solicitudes de certificado de usuario se emite un certificado para el usuario específico que envía la solicitud, no para el dispositivo en general. Los certificados de usuario solo son válidos para la persona que ha iniciado sesión en ese equipo, no para otros usuarios que también lo utilicen.

  1. Haz clic en el campo Username (Nombre de usuario) o pulsa el tabulador para desplazarte hasta este campo.
  2. Escribe tu nombre de usuario.
  3. Haz clic en el campo Password (Contraseña) o pulsa el tabulador para desplazarte hasta este campo.
  4. Escribe tu contraseña.
  5. Deja la casilla Device-Wide (A nivel de dispositivo) desmarcada.
Crear una solicitud de certificado de dispositivo

Con las solicitudes de certificado de dispositivo se emite un certificado para el dispositivo desde el que se ha enviado la solicitud, no solo para el usuario que la ha enviado. Los certificados de dispositivo son válidos para todos los miembros de la organización que utilizan ese equipo. Generalmente, suelen ser necesarios cuando los dispositivos se usan en sesiones públicas o en modo kiosco.

  1. Haz clic en el campo Username (Nombre de usuario) o pulsa el tabulador para desplazarte hasta este campo.
  2. Escribe tu nombre de usuario.
  3. Haz clic en el campo Password (Contraseña) o pulsa el tabulador para desplazarte hasta este campo.
  4. Escribe tu contraseña.
  5. Marca la casilla Device-Wide (A nivel de dispositivo).
Enviar una solicitud de certificado

Independientemente del tipo de solicitud que se envíe (de usuario o de dispositivo), el proceso para enviarla es el mismo.

  1. Crea una solicitud de certificado de usuario o de dispositivo siguiendo los pasos indicados más arriba.
  2. Desplázate hasta el botón Enroll (Registrar).
  3. Haz clic en Enroll (Registrar).
Recibir e importar un certificado correctamente

Una vez que se envía una solicitud, debería obtenerse una respuesta del servidor en la que se incluirá el certificado solicitado.

  1. Envía una solicitud de certificado, tal como se ha indicado anteriormente.
  2. Espera a que se reciba la respuesta.
  3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje en el que se indica que el certificado se ha recibido e importado.
  4. Selecciona Okay (Aceptar) en el cuadro de diálogo, pulsa la tecla Esc o haz clic fuera del cuadro de diálogo para cerrarlo una vez que hayas terminado.
Recibir una respuesta de error

Una vez enviada una solicitud, puede que no llegue a aprobarse por diferentes motivos. Una respuesta de error recoge esos fallos e informa al usuario acerca del problema que se ha producido.

  1. Envía una solicitud de certificado, tal como se ha indicado anteriormente.
  2. Espera a que se reciba la respuesta.
  3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje de error en el que se indica que ha habido algún problema.
  4. Selecciona Okay (Aceptar) en el cuadro de diálogo, pulsa la tecla Esc o haz clic fuera del cuadro de diálogo para cerrarlo una vez que hayas terminado.
  5. Si el error se puede corregir (por ejemplo, si se trata de un nombre de usuario no válido), la corrección y el reenvío de la solicitud deberían completarse sin problemas. En caso contrario (por ejemplo, cuando el servidor deniega la solicitud), el usuario deberá pedir ayuda.

Flujos de usuarios secundarios

Los flujos de usuarios secundarios, que se describen a continuación, se producen en muy pocas ocasiones.

Recibir una respuesta de certificado pendiente

En algunas ocasiones, cuando se envía una solicitud, el servidor puede ponerla en estado pendiente hasta que una persona la revise y decida si se aprueba o se rechaza. Una respuesta pendiente encapsula este flujo y ofrece al usuario la información pertinente para comprobar el estado de la solicitud más adelante.

  1. Envía una solicitud de certificado, tal como se ha indicado anteriormente.
  2. Espera a que se reciba la respuesta.
  3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje en el que se indica que la solicitud se ha puesto en estado pendiente. También se muestra el URI de registro y el ID de la solicitud, que son necesarios para comprobar la solicitud más adelante.
  4. Copia el URI de registro y el ID de solicitud para consultarlos más adelante.
  5. Selecciona Okay (Aceptar) en el cuadro de diálogo, pulsa la tecla Esc o haz clic fuera del cuadro de diálogo para cerrarlo una vez que hayas terminado.
Ir a la interfaz de solicitudes pendientes

Si un usuario tiene un certificado pendiente, es posible que quiera comprobar el estado del certificado en algún momento. Para poder crear y enviar solicitudes de certificados pendientes, el usuario debe acceder a la interfaz de solicitudes pendientes.

  1. Haz clic o pulsa el tabulador para desplazarte hasta el botón More Options (Más opciones) y selecciónalo.
  2. En la lista de opciones que aparece, haz clic o pulsa el tabulador para desplazarte hasta la opción "Show extra fields for checking on pending requests?" (¿Mostrar campos adicionales para comprobar las solicitudes pendientes?).
  3. Selecciona la opción "Show extra fields for checking on pending requests?" (¿Mostrar campos adicionales para comprobar las solicitudes pendientes?) para que se muestren los campos de las solicitudes pendientes.
Volver a la interfaz de solicitudes normales

Si un usuario ha accedido anteriormente a la interfaz de solicitudes pendientes, es posible que quiera volver a la interfaz de solicitudes normales en algún momento.

  1. Haz clic o pulsa el tabulador para desplazarte hasta el botón More Options (Más opciones) y selecciónalo.
  2. En la lista de opciones que aparece, haz clic o pulsa el tabulador para desplazarte hasta la opción "Hide extra fields for checking on pending requests?" (¿Ocultar campos adicionales para comprobar las solicitudes pendientes?).
  3. Selecciona "Hide extra fields for checking on pending requests?" (¿Ocultar campos adicionales para comprobar las solicitudes pendientes?) para que no se muestren los campos de las solicitudes pendientes.
Crear una solicitud de revisión de certificado pendiente

Si un usuario tiene un certificado pendiente, es posible que quiera comprobar el estado del certificado en algún momento. La forma en que la extensión lleva a cabo este flujo es muy similar al proceso que se sigue para crear una solicitud.

  1. Ve a la interfaz de solicitudes pendientes, tal como indicamos más arriba.
  2. Haz clic en el campo Username (Nombre de usuario) o pulsa el tabulador para desplazarte hasta este campo.
  3. Escribe tu nombre de usuario.
  4. Haz clic en el campo Password (Contraseña) o pulsa el tabulador para desplazarte hasta este campo.
  5. Escribe tu contraseña.
  6. Haz clic en el campo Enrollment URI (URI de registro) o pulsa el tabulador para desplazarte hasta este campo.
  7. Introduce el URI de registro que se muestra en una respuesta anterior de certificado pendiente.
  8. Haz clic en el campo Request ID (ID de solicitud) o pulsa el tabulador para desplazarte hasta este campo.
  9. Introduce el ID de solicitud que se muestra en una respuesta anterior de certificado pendiente.
  10. Si la solicitud de certificado original era de un certificado de dispositivo, marca la casilla Device-Wide (A nivel de dispositivo). De lo contrario, déjala desmarcada.
Enviar una solicitud de revisión de certificado pendiente

Una vez que se ha creado una solicitud de revisión de un certificado pendiente, el usuario debe enviarla para obtener una respuesta. Una solicitud de revisión de un certificado pendiente puede procesarse correctamente, fallar o seguir pendiente de respuesta. Estos flujos son iguales a los que ya hemos descrito más arriba.

  1. Crea una solicitud de revisión de certificado pendiente, tal como se ha indicado anteriormente.
  2. Desplázate hasta el botón Check Status (Comprobar estado).
  3. Selecciona el botón Check Status (Comprobar estado).
Copiar registros en el portapapeles

Algunas veces, cuando se producen errores, puede ser útil que un ayudante o administrador consulte los registros íntegros de lo que ha ocurrido en la extensión. Para que un usuario pueda obtener estos registros, te ofrecemos un sencillo método que le permitirá copiarlos en su portapapeles.

  1. Haz clic o pulsa el tabulador para desplazarte hasta el botón More Options (Más opciones) y selecciónalo.
  2. En la lista de opciones que aparece, haz clic o pulsa el tabulador para desplazarte hasta la opción "Copy Logs to Clipboard" (Copiar registros en el portapapeles).
  3. Selecciona "Copy Logs to Clipboard" (Copiar registros en el portapapeles) para que los registros se copien en el portapapeles del usuario.
  4. Ahora el usuario podrá pegar estos registros donde quiera siguiendo el proceso normal en su dispositivo.

Guía de implementación de la extensión

Esta información se refiere solo a Chromebooks gestionados.

Como administrador, puedes autorizar a los usuarios de Chromebooks a acceder a las redes protegidas de tu organización y a los recursos internos que requieren un certificado para autenticarse. Instala y configura de forma remota la extensión Registro de certificado para Chrome OS, que permite a los usuarios solicitar certificados de usuario o de sistema en Chromebooks.

Como alternativa, puedes configurar el aprovisionamiento automático de certificados mediante la autenticación Kerberos para los certificados de usuario o de dispositivo, o con la autenticación de cuentas de servicio alojadas para los certificados de dispositivo. También puedes configurar la extensión para renovar los certificados con un método basado en claves y sin tener que usar un sistema de autenticación adicional.

Esta extensión también te permite llevar a cabo la implementación en un gran número de dispositivos Chrome OS automatizando el proceso de registro de certificados de Microsoft Active Directory desde la consola de administración de Google.

Antes de empezar

Para permitir que los usuarios soliciten certificados digitales, necesitas:

  • Microsoft Windows Server 2008 R2 o una versión posterior
  • Microsoft Internet Information Services (IIS) 7.0 o una versión posterior
  • Servicios de certificados de Active Directory (Active Directory Certificate Services, ADCS), incluidos los siguientes:
    • Servicio de inscripción de certificados (Certificate Enrollment Service, CES)
    • Directiva de inscripción de certificados (Certificate Enrollment Policy, CEP)
    • Un certificado válido asociado al sitio web de ADCS en IIS
    • Un punto de acceso visible para CEP y CES

Renuncia de responsabilidad

En esta guía se describe el funcionamiento de productos de Google con productos de terceros y se indican los ajustes recomendados por Google. Google no ofrece asistencia técnica para configurar productos de terceros Google no asume responsabilidad alguna en lo que respecta a productos de terceros. Consulta el sitio web del producto en cuestión para comprobar la configuración y la información de asistencia más recientes.

Implementar la extensión

Mostrar todo   |   Ocultar todo

Paso 1: Forzar la instalación de la extensión en las cuentas de los usuarios
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luego Chromey luego Aplicaciones y extensionesy luegoUsuarios y navegadores.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoAplicaciones y extensionesy luegoUsuarios y navegadores.

  3. (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
  4. Selecciona Añadir Añade una pregunta y luego Añadir desde Chrome Web Store.
  5. Busca y selecciona Registro de certificado para Chrome OS. El ID de la extensión es fhndealchbngfhdoncgcokameljahhog.
  6. En la página Usuarios y navegadores, selecciona la extensión Registro de certificado para Chrome OS.
  7. En el panel de la derecha, en Gestión de certificados, activa Permitir el acceso a las claves.
  8. En Política de instalación, elige Forzar la instalación o Forzar la instalación y fijar a la barra de tareas de ChromeOS.
  9. Haz clic en Guardar.
Paso 2: Configurar la extensión

Crea un archivo que contenga los ajustes que quieres aplicar a la extensión Registro de certificado para Chrome OS de los usuarios. Empieza con este archivo de muestra y cambia las políticas para ajustarlas a las necesidades de tu organización o de tus usuarios. Puedes editar el archivo JavaScript Object Notation (JSON) con un editor de texto.

Nota: Las políticas que contienen valores predeterminados en cadenas que los usuarios pueden ver, se traducen y aparecen en los dispositivos en función de la configuración regional del usuario. Puedes cambiar estas cadenas para adaptarlas a las necesidades de tu organización, pero no se traducirán.

Puedes definir las siguientes políticas:

Nombre de la política Función

allow_machine_cert_enrollment

Permite a los usuarios instalar un certificado de sistema.

Si el valor asignado es "true", los usuarios podrán solicitar un certificado de sistema o de usuario. De lo contrario, solo podrán solicitar un certificado de usuario.

El valor predeterminado es "false".

cep_proxy_url

Especifica el punto final HTTPS de la CEP.

Para obtener el punto final, haz lo siguiente:

  1. En Administrador de IIS, ve al sitio web de la CEP.
    El nombre normalmente incluye la palabra "CEP".
  2. Abre Configuración de la aplicación.
    El punto final HTTPS de la CEP se indica debajo de URI.

Solo son válidos los valores que empiezan por https. Si introduces un valor que empieza por https pero no coincide con el Identificador de recursos uniforme (URI) en Administrador de IIS, se considerará válido igualmente y se utilizará, aunque es muy probable que no se pueda procesar.

Esta política es obligatoria.

company_info

Especifica la información de marca de tu organización, como el nombre y el logotipo.

  • Configura help_url de forma que dirija a los usuarios a una página web donde podrán obtener información o asistencia.
  • Si la página web que especificas no permite el acceso a los usuarios que no tengan un certificado (por ejemplo, cuando se trata de la primera solicitud), utiliza help_text para ofrecerles un texto de ayuda.
  • Si configuras help_url y help_text, la página web que hayas especificado aparecerá debajo del texto de ayuda en los dispositivos de los usuarios.

device_cert_request_values

Especifica los valores que se utilizarán en la solicitud de firma de certificado (CSR) de un dispositivo.

En vez de usar las propiedades del solicitante, puedes definir valores de sujeto a partir de los atributos del usuario y del dispositivo. Para utilizar la CSR personalizada, también deberías configurar la plantilla de certificado en la autoridad de certificación (CA) para que se espere y se genere un certificado con los valores de sujeto definidos en la propia solicitud. Como mínimo, tienes que proporcionar un valor CommonName del sujeto.

Puedes utilizar los siguientes marcadores de posición. Todos los valores son opcionales.

En los dispositivos ChromeOS 66 y versiones posteriores, puedes utilizar estos elementos:

  • ${DEVICE_DIRECTORY_ID}: el ID de directorio del dispositivo
  • ${USER_EMAIL}: la dirección de correo electrónico del usuario que ha iniciado sesión
  • ${USER_DOMAIN}: el nombre del dominio del usuario que ha iniciado sesión
  • ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo
  • ${DEVICE_ASSET_ID}: el ID de recurso asignado al dispositivo por el administrador
  • ${DEVICE_ANNOTATED_LOCATION}: la ubicación asignada al dispositivo por el administrador

Si un valor de marcador de posición no está disponible, se sustituirá por una cadena vacía.

Puedes encadenar los marcadores de posición. Por ejemplo, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} se sustituye por el número de serie del dispositivo si el ID de recurso no está disponible.

device_enrollment_templates

Lista con los nombres de plantillas de certificados coincidentes, organizados por orden de prioridad en los flujos de registro de los usuarios. La extensión busca en la lista una plantilla de certificado que coincida y utiliza la primera plantilla que encuentra. Si hay un error, la extensión no intentará usar otras plantillas de certificado.

Esta política es obligatoria. Debe tener al menos un valor de la lista.

En Microsoft Management Console (MMC) de la autoridad de certificación (CA), utiliza Nombre de la plantilla y no Nombre visible de plantilla.

El valor predeterminado es ChromeOSWirelessUser.

enable_auto_enrollment

Permite decidir si la extensión inicia automáticamente el registro. Si el valor asignado es "false", la extensión esperará a que el usuario intente conectarse a la red EAP-TLS.

El valor predeterminado es "false".

log_level

Especifica el nivel de detalle de los registros de la extensión que se envían a la consola de JavaScript de Chrome.

NONE (predeterminado): no se registra nada en la consola.

ERROR: solo se registran los errores distintos en la consola.

WARNING: se registran los errores distintos y las advertencias en la consola.

INFO: se registran los errores distintos y las advertencias en la consola, junto con la información pertinente sobre las acciones.

DEBUG: se registra todo en la consola. En la versión inicial se recomienda usar este ajuste para solucionar problemas potenciales. En Más opciones, puedes copiar automáticamente todos los registros en el portapapeles.

Los usuarios tienen dos formas de abrir la consola de desarrollo web en Chrome para acceder a los registros de Chrome en su dispositivo:

  • Pulsar Ctrl + Mayús + i.
  • Hacer clic en Más herramientas y luego Herramientas de desarrollo.

Esta política es obligatoria.

placeholder_values

Especifica el nombre de usuario, la contraseña, el URI, el ID de la solicitud y los marcadores de posición de las cabeceras. Esta información ayuda a guiar a los usuarios cuando inician sesión.

  • Los campos Username (Nombre de usuario), Password (Contraseña), URI y RequestID (ID de la solicitud), que se muestran sobre los campos de entrada, indican para qué sirve cada uno.
  • El campo Header (Cabecera) corresponde al título de la página.
  • Hay valores especiales para los campos Username (Nombre de usuario), Password (Contraseña) y Header (Cabecera), que permiten a los clientes usar nombres predeterminados internacionales.
    • managed_username_placeholder: nombre de usuario
    • managed_password_placeholder: contraseña
    • managed_login_header: registro de certificados
  • Si tu organización utiliza otra terminología, como "frase de contraseña" en lugar de "contraseña", puedes cambiar los valores. Sin embargo, el nuevo valor no se traducirá.
renew_hours_before_expiry

Especifica con qué antelación (en horas) se avisará a los usuarios de la próxima caducidad del certificado.

 

El valor predeterminado es 120.

renew_reminder_interval

Determina cada cuantas horas se avisará a los usuarios de la próxima caducidad del certificado.

Tras la primera notificación, si el usuario no renueva el certificado y no elige la opción de ignorar los recordatorios, recibirá más notificaciones cuando hayan transcurrido las horas indicadas.

Por ejemplo, si el valor de renew_hours_before_expiry es 120 y el de renew_reminder_interval es 24, y un usuario elige siempre recibir más recordatorios, recibirá 5 notificaciones de renovación: una cada día hasta que el certificado caduque.

El valor predeterminado es 24.

request_timeout_seconds

Especifica cuántos segundos transcurrirán hasta que se agote el tiempo de espera de una llamada a CEP o a CES.

El valor predeterminado es 20.

signature_algo

Controla qué algoritmo de firmas usa la extensión para firmar las solicitudes de certificado. Las opciones son las siguientes:

  • SHA1 (no recomendado): el algoritmo SHA1 es débil y puede poner en peligro la seguridad de los usuarios.
  • SHA256
  • SHA512 (predeterminado)

user_cert_request_values

Especifica los valores utilizados en la solicitud de firma de certificado (CSR) de un certificado de usuario.

En vez de usar las propiedades del solicitante, puedes definir valores de sujeto a partir de los atributos del usuario y del dispositivo. Para utilizar la CSR personalizada, también deberías configurar la plantilla de certificado en la autoridad de certificación (CA) para que se espere y se genere un certificado con los valores de sujeto definidos en la propia solicitud. Como mínimo, tienes que proporcionar un valor CommonName del sujeto.

Puedes utilizar los siguientes marcadores de posición. Todos los valores son opcionales.

  • ${DEVICE_DIRECTORY_ID}: el ID de directorio del dispositivo

  • ${USER_EMAIL}: la dirección de correo electrónico del usuario que ha iniciado sesión

  • ${USER_DOMAIN}: el nombre del dominio del usuario que ha iniciado sesión

  • ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo

  • ${DEVICE_ASSET_ID}: el ID de recurso asignado al dispositivo por el administrador

  • ${DEVICE_ANNOTATED_LOCATION}: la ubicación asignada al dispositivo por el administrador

  • ${USER_ID} : la primera parte de la dirección de correo electrónico del usuario que ha iniciado sesión (delante del signo @)

Si un valor de marcador de posición no está disponible, se sustituirá por una cadena vacía.

Puedes encadenar los marcadores de posición. Por ejemplo, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} se sustituye por el número de serie del dispositivo si el ID de recurso no está disponible.

user_enrollment_templates

Lista con los nombres de plantillas de certificados coincidentes, organizados por orden de prioridad en los flujos de registro de los usuarios. La extensión busca en la lista una plantilla de certificado que coincida y utiliza la primera plantilla que encuentra. Si hay un error, la extensión no intentará usar otras plantillas de certificado.

Esta política es obligatoria. La lista debe contener al menos un valor.

En Microsoft Management Console (MMC) de la autoridad de certificación (CA), usa Nombre de la plantilla y no Nombre visible de plantilla.

El valor predeterminado es ChromeOSWirelessUser.

Configurar el aprovisionamiento de certificados con o sin credenciales introducidas por los usuarios

De forma predeterminada, la extensión de registro de certificados se configura de modo que los usuarios pueden aprovisionar un certificado manualmente introduciendo sus credenciales cuando intentan obtener un certificado.

Puedes utilizar la extensión de ChromeOS para asegurarte de que los usuarios aprovisionen o renueven certificados sin tener que introducir manualmente sus credenciales. Si un dispositivo contiene un ticket de Kerberos, la extensión podrá solicitar certificados de usuario y de dispositivo mediante la autenticación Kerberos. También podrá solicitar certificados de dispositivo utilizando únicamente una cuenta de servicio.

Autenticación Kerberos

Antes de empezar

  • Los usuarios de ChromeOS deben tener un ticket de Kerberos en el dispositivo.
  • La cuenta de usuario de Active Directory asociada al ticket de Kerberos debe tener permiso para solicitar certificados mediante la plantilla de certificado configurada.
  • El punto final de registro debe estar incluido en la política de Chrome OS Servidores de autenticación integrados. Para ver más información, consulta la política en la lista de políticas de Chrome.

Configurar la extensión

Asigna el valor kerberos al ajuste client_authentication de la política de la extensión.

Autenticación mediante una cuenta de servicio alojada

Puedes configurar la extensión de forma que solicite un certificado de dispositivo mediante una cuenta de servicio. Las credenciales de la cuenta de servicio se alojan en un servidor web de tu red local.

Advertencia: Si un atacante consigue acceder al servidor web en el que se alojan las credenciales y la política de la extensión del dispositivo, existe la posibilidad de que logre hacerse con las credenciales de la cuenta de servicio.

Recomendamos restringir el acceso al servidor web donde se alojan las credenciales de la cuenta de servicio a una red de aprovisionamiento que se utilice exclusivamente para el aprovisionamiento inicial de los dispositivos Chrome OS.

Antes de empezar

  • Debes tener un servidor web en la red local que pueda gestionar solicitudes HTTPS.
  • ChromeOS debe confiar en el certificado de este servidor web. Si el servidor web utiliza un certificado emitido por una autoridad de certificación con firma automática, puedes configurarlo de forma que se considere de confianza en la consola de administración.

Paso 1: Generar la contraseña enmascarada

  1. Abre la extensión.
  2. Selecciona More (Más) y luegoPassword Mask Tool (Herramienta de máscara de contraseñas).
  3. Introduce la contraseña de la cuenta de servicio.
  4. Selecciona Mask (Enmascarar).
  5. Copia la máscara y la contraseña enmascarada en un archivo de texto.

Paso 2: Almacenar las credenciales en el servidor web interno

  1. Configura el servidor web de forma que sirva un archivo JSON que contenga estos elementos:

{

 username: <nombre de usuario de la cuenta de servicio>

 maskedPassword: <contraseña enmascarada que se ha copiado y pegado>

}

  1. Copia en un archivo de texto la URL que el servidor web utiliza para alojar las credenciales.

Paso 3: Configurar la política de la extensión

  1. Asigna la URL que copiaste anteriormente a la variable service_account_host de la política de la extensión.
  2. Asigna la máscara que copiaste anteriormente a la variable service_account_host_password_mask de la política de la extensión.

Renovación automática de certificados

Puedes configurar la extensión para renovar los certificados con un método basado en claves y sin tener que usar un sistema de autenticación adicional.

Antes de empezar

Debes disponer de un punto final del servicio CES de ADCS que admita la renovación basada en claves de la plantilla de certificado configurada. Para obtener más información, consulta el artículo Configuración del Servicio web de inscripción de certificados para la renovación basada en claves de certificados en un puerto personalizado.

Configurar la extensión

  • Asigna el valor true al ajuste use_key_based_renewal de la política de la extensión.
  • Asigna la URL del punto final de CES que admite la renovación basada en claves al ajuste ces_renewal_url de la política de la extensión.
Paso 3: Validar el archivo JSON
Con la herramienta que prefieras, valida el archivo de configuración para asegurarte de que no hay ningún error en el código JSON. Si se detecta algún error, comprueba la sintaxis y la estructura del archivo de configuración, corrige los errores y vuelve a validarlo.
Paso 4: Aplicar la política de la extensión
Si quieres definir ajustes para aplicarlos a un grupo concreto de usuarios o navegadores Chrome registrados, coloca las cuentas de usuario o los navegadores en un mismo grupo o en la misma unidad organizativa. Solo se pueden añadir cuentas de usuario a los grupos. Para obtener más información, consulta Grupos y Añadir una unidad organizativa.
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luego Chromey luego Aplicaciones y extensionesy luegoUsuarios y navegadores.

    Si te has registrado en Gestión en la nube del navegador Chrome, ve a Menú y luego Navegador Chromey luegoAplicaciones y extensionesy luegoUsuarios y navegadores.

  3. (Solo para usuarios) Para aplicar el ajuste a un grupo, sigue estos pasos:
    1. Selecciona Grupos.
    2. Selecciona el grupo al que quieres aplicar la configuración.
  4. (Opcional) Para aplicar el ajuste a un departamento o un equipo, selecciona en el lateral una unidad organizativa. Ver cómo
  5. Localiza y selecciona la extensión Registro de certificado para ChromeOS.
  6. En el panel de la derecha, en Política de extensiones, introduce en el campo de texto los datos en formato JSON que creaste en el paso 2.
  7. En Política de instalación, elige Forzar la instalación o Forzar la instalación y fijar a la barra de tareas de ChromeOS.
  8. Haz clic en Guardar.
Paso 5: (Opcional) Configurar la red Wi‑Fi para registrarla con la extensión
  1. Inicia sesión en la consola de administración de Google.

    Utiliza tu cuenta de administrador (no termina en @gmail.com).

  2. En la consola de administración, ve a Menú y luego Dispositivosy luegoRedes.
  3. Haz clic en Wi-Fi.
  4. Añade una nueva red EAP-TLS.
    Para ver más información sobre cómo añadir ajustes relacionados con las redes Wi-Fi, consulta el artículo Gestionar redes.
  5. Configura la red de forma que dirija a la extensión de registro. En el campo URL de inscripción de clientes, introduce chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Nota: Se puede acceder a la URL de la extensión de registro desde el navegador Chrome aunque no se haya configurado ninguna red para registrarse en dicha URL. De este modo, se puede probar la URL manualmente antes de configurar las redes o de registrar los certificados para usarlos en redes distintas a EAP-TLS (por ejemplo, en una VPN basada en certificados). Invita a los usuarios a que accedan a la URL indicada anteriormente desde su navegador y se salten el paso sobre cómo configurar la red.

Paso 6: Verificar que las políticas se hayan aplicado
Una vez que hayas implementado la extensión Registro de certificado para Chrome OS, los usuarios deberán reiniciar sus dispositivos para que los cambios surtan efecto. Puedes revisar los dispositivos de los usuarios para asegurarte de que la política se ha aplicado correctamente.
  1. En un dispositivo Chrome OS gestionado, ve a chrome://policy.
  2. Haz clic en Volver a cargar políticas.
  3. Desplázate hasta Registro de certificado para Chrome OS.
  4. En cada política, asegúrate de que los campos de valores sean los mismos que has definido en el archivo JSON.

Solucionar problemas de solicitudes de certificados digitales

Esta información se refiere solo a Chromebooks gestionados.

En este artículo te explicamos cómo solucionar los problemas que puedan surgir cuando los usuarios soliciten certificados digitales.

Mensajes de error en la interfaz de usuario de la extensión

No se ha podido encontrar un token de sistema válido. Es posible que el dispositivo no esté registrado en el dominio o que no tengas derechos para solicitar un certificado de sistema.

Asegúrate de que la extensión Registro de certificado para ChromeOS se haya instalado forzosamente en las cuentas de tus usuarios.

Mensajes de error en los registros de la consola de Chrome

No se ha podido registrar la extensión en el URI especificado.

Comprueba los permisos para usuarios autenticados definidos en la plantilla de la CA. A continuación, asegúrate de que los usuarios correspondientes tengan los privilegios adecuados.

La extensión solicita puntos de acceso de registro incorrectos.

Comprueba los registros de la consola de la extensión Registro de certificado para ChromeOS para asegurarte de que la solicitud de URL sea correcta.
  • Solicitud de URL correcta: https://NombreUsuario:Contraseña@URIdetuServicioCEP
  • Solicitud de URL incorrecta: extensión-chrome://NombreUsuario:Contraseña@fhndealchbngfhdoncgcokameljahhog/html/solicitud_certificado.html

Los usuarios pueden tener problemas con la solicitud de URL cuando la extensión Registro de certificado para ChromeOS se instala por primera vez y no contiene información de estado. También pueden surgir problemas cuando la extensión se actualiza y pierde su información de estado anterior.

Cuando quieras implementar una política nueva o actualizada en la extensión, implementa primero una política vacía para que todos los valores de la política actual se borren y se cambien. A continuación, implementa la política que quieras.

  1. Implementa una política vacía.
  2. Verifica que las políticas se aplican en los dispositivos de los usuarios.
  3. Implementa la política que quieras.
  4. Verifica que las políticas se aplican en los dispositivos de los usuarios.
  5. Actualiza la extensión Registro de certificado para ChromeOS.

No hay ningún URI de registro para registrar la extensión.

En la mayoría de los casos, la Directiva de inscripción de certificados (CEP) no puede encontrar la plantilla que has configurado. Comprueba la CA para identificar algunas de las causas más comunes de este error:
  • Comprueba que has configurado los servicios de funciones de forma que el registro de certificados pueda aceptar la autenticación del nombre de usuario y la contraseña (en lugar de hacerlo a través de Kerberos, por ejemplo).
  • Comprueba que la configuración de la extensión esté definida de forma que use la plantilla de la CA correcta.
  • Asegúrate de que el valor introducido en la política user_enrollment_templates del archivo JSON sea la misma que se ha especificado en Nombre de la plantilla, no en Nombre visible de plantilla en la CA.
  • Comprueba los permisos para usuarios autenticados definidos en la plantilla de la CA. A continuación, asegúrate de que los usuarios correspondientes tengan los privilegios adecuados.

Google y las marcas y los logotipos relacionados son marcas de Google LLC. Los demás nombres de empresas y de productos son marcas de las empresas a las que están asociados.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal