Usa la extensión de inscripción de certificados para Chrome OS

Para inscribir automáticamente un certificado preconfigurado, el usuario debe seguir estos pasos:

1. Haz clic en la notificación Inscribir certificado .
2. (Opcional) Selecciona la casilla Inscribir certificado en todo el dispositivo para solicitar un certificado de dispositivo. Si la casilla no está marcada, se solicitará un certificado de usuario.
3. Haz clic en Inscribirse.

Para renovar un certificado, el usuario solo debe hacer clic en la notificación Recordatorio de renovación del certificado.

Las solicitudes de certificados de usuario son solicitudes que deben dar como resultado la emisión de un certificado para el usuario específico que envía la solicitud, no para el dispositivo en general. Los certificados de usuario solo son válidos para el usuario que accedió a esa máquina, no para otros usuarios que también la puedan usar.

1. Haz clic o navega por las pestañas hasta el campo Nombre de usuario.
2. Ingresa tu nombre de usuario.
3. Haz clic o navega por las pestañas hasta el campo Contraseña.
4. Escribe tu contraseña.
5. Desmarca la casilla “Todo el dispositivo”.

Las solicitudes de certificado de dispositivo son solicitudes que deben dar como resultado la emisión de un certificado para todo el dispositivo que envía la solicitud, no solo para el usuario que la envía. Los certificados de dispositivo son válidos para todos los usuarios que pertenecen a la misma organización en la máquina, lo que generalmente es necesario para los dispositivos que se usan en sesiones públicas o en modo kiosco.

1. Haz clic o navega por las pestañas hasta el campo Nombre de usuario.
2. Ingresa tu nombre de usuario.
3. Haz clic o navega por las pestañas hasta el campo Contraseña.
4. Escribe tu contraseña.
5. Marca la casilla Todo el dispositivo.

Independientemente del tipo de solicitud que se envíe (usuario o dispositivo), el proceso para enviarla es el mismo.

1. Crea una solicitud de certificado de dispositivo o de usuario, como se especifica en los pasos anteriores.
2. Navega hasta el botón para inscribirte.
3. Haz clic en Inscribirse.

Una vez que se envía una solicitud, el resultado ideal es una respuesta exitosa del servidor que incluirá el certificado solicitado.

1. Envía una solicitud de certificado, como se especificó anteriormente.
2. Espera a que se reciba la respuesta.
3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje de éxito que indica que el certificado se recibió y se importó.
4. Selecciona Aceptar en el cuadro de diálogo, presiona la tecla Escape o haz clic fuera del cuadro de diálogo para cerrarlo cuando termines.

Una vez que se envía una solicitud, a veces puede fallar por diversos motivos. Una respuesta de error encapsula estos errores y le informará al usuario cuál es el problema.

1. Envía una solicitud de certificado, como se especificó anteriormente.
2. Espera a que se reciba la respuesta.
3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje que indica que se produjo un error.
4. Selecciona Aceptar en el cuadro de diálogo, presiona la tecla Escape o haz clic fuera del cuadro de diálogo para cerrarlo cuando termines.
5. Si el error se puede corregir (como un nombre de usuario no válido), entonces será suficiente con la corrección y el reenvío de la solicitud. Si no es así (como cuando el servidor rechaza la solicitud), el usuario debe buscar ayuda.

Una vez que se envía una solicitud, a veces el servidor puede establecer esa solicitud como pendiente para que alguien la revise y apruebe o rechace manualmente más tarde. Una respuesta pendiente encapsula este flujo y le informará al usuario sobre la información relevante para verificar el estado de la solicitud más tarde.

1. Envía una solicitud de certificado, como se especificó anteriormente.
2. Espera a que se reciba la respuesta.
3. Cuando se recibe una respuesta, aparece un cuadro de diálogo con un mensaje pendiente que indica que la solicitud se estableció como pendiente. También mostrará el URI de inscripción y el ID de la solicitud, que son necesarios para verificarlos más tarde.
4. Copia el URI de inscripción y el ID de la solicitud en algún lugar para consultarlos más adelante.
5. Selecciona Aceptar en el cuadro de diálogo, presiona la tecla Escape o haz clic fuera del cuadro de diálogo para cerrarlo cuando termines.

Si un usuario tiene un certificado pendiente, es posible que quiera consultar el estado del certificado en algún momento. Para crear y enviar solicitudes de certificados pendientes, el usuario debe navegar a la IU de solicitudes pendientes.

1. Haz clic o navega por las pestañas y selecciona el botón Más opciones.
2. En la lista de opciones generadas, haz clic o navega a la pestaña “¿Quiere mostrar los campos extras para revisar las solicitudes pendientes?”.
3. Selecciona “¿Quiere mostrar los campos extras para revisar las solicitudes pendientes?” para que se muestren los campos de solicitud pendientes.

Si un usuario ya navegó a la IU de solicitud pendiente, es posible quiera volver a la normalidad en algún momento.

1. Haz clic o navega por las pestañas y selecciona el botón Más opciones.
2. En la lista de opciones generadas, haz clic o vaya a la pestaña “¿Quiere ocultar los campos extras para revisar las solicitudes pendientes?”.
3. Selecciona ¿Quiere ocultar los campos extras para revisar las solicitudes pendientes? para inhabilitar la visualización de los campos de solicitud pendientes.

Si un usuario tiene un certificado pendiente, es posible que quiera consultar el estado del certificado en algún momento. La extensión permite que este flujo sea muy similar a crear una solicitud nueva.

1. Navega a la IU de solicitud pendiente, como se especificó anteriormente.
2. Haz clic o navega por las pestañas hasta el campo Nombre de usuario.
3. Ingresa tu nombre de usuario.
4. Haz clic o navega por las pestañas hasta el campo Contraseña.
5. Escribe tu contraseña.
6. Haz clic o navega por las pestañas hasta el campo URI de inscripción.
7. Ingresa el URI de inscripción que se muestra en una respuesta de certificado pendiente anterior.
8. Haz clic o navega por las pestañas hasta el campo ID de solicitud.
9. Ingresa el ID de solicitud que se muestra en una respuesta de certificado pendiente anterior.
10. Si la solicitud de certificado original era para un certificado en todo el dispositivo, marca la casilla de verificación correspondiente a todo el dispositivo. De lo contrario, deja desmarcada la casilla de verificación Todo el dispositivo.

Una vez que se crea una solicitud de verificación de certificado pendiente, el usuario debe enviar esa solicitud para obtener una respuesta. Una solicitud de verificación de certificado pendiente puede dar como resultado una respuesta correcta, fallida o aún pendiente, que coincide con los flujos ya definidos.

1. Crea una solicitud de verificación de certificado pendiente, como se especificó anteriormente.
2. Navega hasta el botón Verificar estado.
3. Selecciona el botón Verificar estado.

A veces, en caso de errores, puede ser útil que un asistente o un administrador vea los registros completos de lo que sucedió en la extensión. Para que un usuario obtenga estos registros, proporcionamos un método simple que permite copiarlos en el portapapeles del usuario.

1. Haz clic o navega por las pestañas y selecciona el botón Más opciones.
2. En la lista de opciones generadas, haz clic o ve a la pestaña “Copiar registros en el portapapeles”.
3. Selecciona “Copiar registros en el portapapeles” para que se copien los registros en el portapapeles del usuario.
4. Desde aquí, el usuario puede pegar estos registros en el lugar que elija a través del proceso normal para el dispositivo del usuario.

1. Accede a la Consola del administrador de Google.

   Accede con tu cuenta de administrador (no termina en @gmail.com).

2. En la Consola del administrador, ve a Menú  DispositivosChromeApps y extensionesUsuarios y navegadores.

   Si te registraste en la Administración en la nube para el navegador Chrome, ve a Menú  Navegador ChromeApps y extensionesUsuarios y navegadores.
3. To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child organizational unit.
4. Selecciona Agregar Agregar desde Chrome Web Store.
5. Busca y selecciona Inscripción del certificado del ChromeOS. El ID de extensión es fhndealchbngfhdoncgcokameljahhog.
6. En la página Usuarios y navegadores , selecciona la extensión Inscripción del certificado del ChromeOS .
7. En el panel de la derecha, en Administración de certificados, activa Permitir acceso a claves.
8. En Política de instalación, elige Instalar de manera automática o Instalar de manera automática y fijar a la barra de tareas de ChromeOS.
9. Haz clic en Guardar.

Crea un archivo que contenga la configuración que deseas aplicar a la extensión Inscripción del certificado del ChromeOS de los usuarios. Comienza con this sample file y cambia las políticas según las necesidades de tu organización o los usuarios. Puedes editar el archivo de notación de objetos JavaScript (JSON) con un editor de texto.

Nota: Las políticas que contienen valores predeterminados en strings orientadas al usuario se traducen y aparecen en los dispositivos de acuerdo con la configuración regional del usuario. Puedes cambiar las strings según las necesidades de tu organización, pero no se traducirán.

Puedes establecer las siguientes políticas:

Nombre de la política	¿Qué hace?
allow_machine_cert_enrollment	Permite que los usuarios instalen un certificado del sistema. Si se establece como verdadera, los usuarios pueden solicitar un certificado de usuario o sistema. De lo contrario, solo pueden solicitar un certificado de usuario. El valor predeterminado es falso.
cep_proxy_url	Especifica el extremo HTTPS de la CEP. Para obtener el extremo, haz lo siguiente: En IIS Manager, ve al sitio web de la CEP. Por lo general, el nombre contiene CEP. Abre la configuración de la aplicación. El extremo HTTPS de la CEP se encuentra allí en URI. Solo son válidos los valores que comienzan con https. Si ingresas un valor que comienza con https, pero que no coincide con el identificador uniforme de recursos (URI) en IIS Manager, se considerará válido y se usará, pero es probable que falle. Esta política es obligatoria.
company_info	Especifica la información de desarrollo de la marca de tu organización, como el nombre y el logotipo. Establece help_url para dirigir a los usuarios a una página web en la que pueden obtener información o asistencia. Si la página web que especificas está bloqueada para usuarios que no tienen un certificado, por ejemplo, en la primera solicitud, usa help_text para brindarles algo de texto útil. Si estableces help_url y help_text, la página web que especificaste aparecerá debajo del texto de ayuda en los dispositivos de los usuarios.
device_cert_request_values	Especifica los valores que se usarán en la solicitud de firma de certificado (CSR) de un certificado de dispositivo. En lugar de usar las propiedades del solicitante, puedes definir los valores de asunto según los atributos del usuario y del dispositivo. Para usar una CSR personalizada, también debes configurar la plantilla de certificado en la autoridad certificadora (CA) para esperar y generar un certificado con los valores de asunto definidos en la solicitud. Como mínimo, debe proporcionar un valor de CommonName para el asunto. Puede usar los siguientes marcadores de posición. Todos los valores son opcionales. Para los dispositivos con Chrome OS que ejecutan la versión 66 y posteriores, puedes usar lo siguiente: ${DEVICE_DIRECTORY_ID}: el ID del directorio del dispositivo ${USER_EMAIL}: la dirección de correo electrónico del usuario que accedió ${USER_DOMAIN}: el nombre de dominio del usuario que accedió ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo ${DEVICE_ASSET_ID}: el ID del activo que el administrador asignó al dispositivo ${DEVICE_ANNOTATED_LOCATION}: la ubicación que el administrador asignó al dispositivo Si no hay disponible un valor de marcador de posición, se reemplaza por una string vacía. Puedes encadenar marcadores de posición. Por ejemplo, si el ID del recurso no está disponible, se reemplazará ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} por el número de serie del dispositivo.
device_enrollment_templates	Lista de nombres de plantillas de certificado coincidentes en orden de prioridad para los flujos de inscripción de usuarios. La extensión busca en la lista una plantilla de certificado que coincida. Se usa la primera plantilla de certificado coincidente. Si hay un error, la extensión no vuelve a intentarlo con otras plantillas de certificado. Esta política es obligatoria. Debe tener al menos un valor en la lista. Desde la Consola de administración de Microsoft (MMC) de la CA, utiliza Template name (Nombre de plantilla) y no Template display name (Nombre visible de plantilla). El valor predeterminado es ChromeOSWirelessUser.
enable_auto_enrollment	Controla si la extensión inicia automáticamente la inscripción. Si se establece como falsa, la extensión espera a que el usuario intente conectarse a la red EAP-TLS. El valor predeterminado es falso.
log_level	Especifica el nivel de detalle en los registros de la extensión que se envían a la Consola de JavaScript en Chrome. NONE (predeterminado): no se registra nada en la consola. ERROR: solo se registran errores evidentes en la consola. WARNING: Se registran errores y advertencias evidentes en la consola. INFO: Se registran errores y advertencias evidentes junto con la información de acción relevante en la consola. DEBUG: Todo se registra en la consola. Para la versión inicial, se recomienda este parámetro de configuración a fin de solucionar posibles problemas. En Más opciones, puedes copiar automáticamente todos los registros al portapapeles. Hay 2 maneras en las que los usuarios pueden abrir la consola para desarrolladores web en Chrome a fin de acceder a los registros de Chrome en sus dispositivos: Presiona Ctrl + Mayúsculas + i. Haz clic en Más herramientas Herramientas para desarrolladores. Esta política es obligatoria.
placeholder_values	Especifica el nombre de usuario, la contraseña, el URI, el ID de solicitud y los marcadores de posición del encabezado. Esta información ayuda a guiar a los usuarios cuando acceden a su cuenta. Los campos de nombre de usuario, contraseña, URI e ID de solicitud aparecen sobre los campos de entrada para mostrar lo que hace cada campo de entrada. El campo de encabezado se utiliza para el título de la página. Hay valores especiales para los campos de nombre de usuario, contraseña y encabezado que permiten a los clientes utilizar nombres predeterminados internacionales. managed_username_placeholder: nombre de usuario managed_password_placeholder: contraseña managed_login_header: inscripción de certificado Si tu organización utiliza otra terminología, como frase de contraseña en lugar de contraseña, puedes cambiar los valores. Sin embargo, el valor nuevo no se traduce.
renew_hours_before_expiry	Especifica la cantidad de tiempo, en horas, que falta para el vencimiento del certificado, a fin de notificar a los usuarios sobre un vencimiento.   El valor predeterminado es 120.
renew_reminder_interval	Controla la frecuencia (en horas) con que se notifica a los usuarios sobre la fecha de vencimiento del certificado. Después de la notificación inicial, si el usuario no renueva el certificado y no ignora los recordatorios, verá más notificaciones después de la cantidad de horas establecida. Por ejemplo, si estableces la opción renew_hours_before_expiry en 120 y renew_reminder_interval en 24, y un usuario siempre elige recibir más recordatorios, recibirá 5 notificaciones de renovación, una cada día hasta que el certificado venza. El valor predeterminado es 24.
request_timeout_seconds	Es la cantidad de tiempo, en segundos, antes de que se agote el tiempo de espera de una llamada a la CEP o el CES. El valor predeterminado es 20.
signature_algo	Controla el algoritmo de firma que usa la extensión para firmar solicitudes de certificados. Las opciones son las siguientes: SHA1 (no recomendado): Algoritmo débil que puede comprometer la seguridad de los usuarios SHA256 SHA512 (predeterminado)
user_cert_request_values	Especifica los valores utilizados en la solicitud de firma de certificado (CSR) de un certificado de usuario. En lugar de usar las propiedades del solicitante, puedes definir los valores de asunto según los atributos del usuario y del dispositivo. Para usar una CSR personalizada, también debes configurar la plantilla de certificado en la CA para esperar y generar un certificado con los valores de asunto definidos en la solicitud. Como mínimo, debe proporcionar un valor de CommonName para el asunto. Puede usar los siguientes marcadores de posición. Todos los valores son opcionales. ${DEVICE_DIRECTORY_ID}: el ID del directorio del dispositivo ${USER_EMAIL}: la dirección de correo electrónico del usuario que accedió ${USER_DOMAIN}: el nombre de dominio del usuario que accedió ${DEVICE_SERIAL_NUMBER}: el número de serie del dispositivo ${DEVICE_ASSET_ID}: el ID del activo que el administrador asignó al dispositivo ${DEVICE_ANNOTATED_LOCATION}: la ubicación que el administrador asignó al dispositivo ${USER_ID}: la primera parte (antes del símbolo @) de la dirección de correo electrónico del usuario que accedió Si no hay disponible un valor de marcador de posición, se reemplaza por una string vacía. Puedes encadenar marcadores de posición. Por ejemplo, si el ID del recurso no está disponible, se reemplazará ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} por el número de serie del dispositivo.
user_enrollment_templates	Lista de nombres de plantillas de certificado coincidentes en orden de prioridad para los flujos de inscripción de usuarios. La extensión busca en la lista una plantilla de certificado que coincida. Se usa la primera plantilla de certificado coincidente. Si hay un error, la extensión no vuelve a intentarlo con otras plantillas de certificado. Esta política es obligatoria. Debe tener al menos un valor en la lista. Desde la MMC de la CA, utiliza Template name (Nombre de plantilla) y no Template display name (Nombre visible de plantilla). El valor predeterminado es ChromeOSWirelessUser.

Configura el aprovisionamiento de certificados con o sin credenciales ingresadas por el usuario

De forma predeterminada, la extensión de inscripción de certificados está configurada para permitir que los usuarios aprovisionen un certificado manualmente proporcionando sus credenciales cuando intentan obtener un certificado.

Puedes asegurarte de que los usuarios puedan aprovisionar o renovar automáticamente un certificado sin tener que ingresar sus credenciales manualmente con la extensión de ChromeOS. La extensión puede solicitar certificados de usuario y de dispositivo mediante la autenticación de Kerberos si se dispone de un ticket de Kerberos del usuario en el dispositivo. También puede solicitar certificados de dispositivos solo mediante una cuenta de servicio.

Autenticación de Kerberos

Antes de comenzar

• El usuario de ChromeOS debe tener un ticket de Kerberos en el dispositivo.
  • El administrador de credenciales de Kerberos se debe configurarse según la política para poder recuperar un ticket de Kerberos para el usuario que accedió a su cuenta. Preferentemente, esto se configura para que ocurra automáticamente al acceder. Consulta Cómo configurar el inicio de sesión único de Kerberos para los dispositivos con ChromeOS.
• La cuenta de usuario de Active Directory asociada con el ticket de Kerberos debe tener permiso para solicitar certificados mediante la plantilla de certificado configurada.
• El extremo de inscripción debe aparecer en la política de ChromeOS Servidores de autenticación integrados . Para averiguar detalles, consulta la política en la lista de políticas de Chrome.
  • Establece la configuración de Servidores de autenticación integrados correctamente en la Consola del administrador. Para obtener más detalles, consulta Servidores de autenticación integrados.

Configura la extensión

Configura el valor de política de extensión “client_authentication” como “kerberos”.

Autenticación de la cuenta de servicio alojada

Puedes configurar la extensión para solicitar un certificado de dispositivo mediante una cuenta de servicio. Las credenciales de la cuenta de servicio están alojadas en un servidor web en tu red local.

Advertencia: Si un atacante obtiene acceso al servidor web que aloja las credenciales y a la política de extensión del dispositivo, existe la posibilidad de que pueda extraer las credenciales de la cuenta de servicio.

Recomendamos restringir el acceso al servidor web que aloja las credenciales de la cuenta de servicio a una red de aprovisionamiento que solo se usa para el aprovisionamiento inicial de dispositivos con ChromeOS.

Antes de comenzar

• Debes tener un servidor web en la red local que pueda manejar las solicitudes HTTPS.
• ChromeOS debe confiar en el certificado de ese servidor web. Si el servidor web utiliza un certificado emitido por una CA autofirmada, puedes configurar el certificado de la CA para que sea de confianza en la Consola del administrador.

Paso 1: Genera la contraseña enmascarada

1. Abre la extensión.
2. Selecciona Más Herramienta de enmascaramiento de contraseña.
3. Ingresa la contraseña de la cuenta de servicio.
4. Selecciona Enmascarar.
5. Copie la máscara y la contraseña enmascarada en un archivo de texto.

Paso 2: Almacena las credenciales en el servidor web interno

1. Configura el servidor web para que entregue un archivo JSON que contenga lo siguiente:

{

  ‘username’: ‘<nombre de usuario de la cuenta de servicio>’,

  ‘maskedPassword’: ‘<copiar y pegar la contraseña enmascarada>’

}

2. Copia la URL que el servidor web usa para alojar las credenciales en un archivo de texto.

Paso 3: Configura la política de extensión

1. Establece la variable de política de extensión “service_account_host” en la URL que copiaste anteriormente.
2. Establece la variable de política de extensión “service_account_host_password_mask” en la máscara que copiaste anteriormente.

Renovación automática de certificados

Puedes configurar la extensión a fin renovar certificados existentes sin autenticación adicional mediante la renovación basada en claves.

Antes de comenzar

Debe estar disponible un extremo del Servicio de inscripción de certificados (CES) de ADCS que admita la renovación basada en claves para la plantilla de certificado configurada. Si deseas obtener más detalles, consulta Configura el servicio web de inscripción de certificados para la renovación basada en claves de certificados en un puerto personalizado.

Configura la extensión

• Establece el valor de política de extensión “use_key_based_renewal” en true.
• Establece el valor de política de extensión “ces_renewal_url” como la URL del extremo del Servicio de inscripción de certificados (CES) que admite la renovación basada en claves.

Para realizar la configuración de un grupo específico de usuarios o de navegadores Chrome inscritos, incluye las cuentas de usuario o los navegadores en un grupo o una unidad organizativa. Solo se pueden agregar cuentas de usuario a los grupos. Para obtener más información, consulta Grupos y Cómo agregar una unidad organizativa.

1. Accede a la Consola del administrador de Google.

   Accede con tu cuenta de administrador (no termina en @gmail.com).

2. En la consola del administrador, ve a Menú  DispositivosRedes.

   Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

3. Haz clic en Wi-Fi.
4. Agrega una nueva red EAP-TLS.
   Para obtener detalles sobre cómo agregar una configuración de red Wi-Fi, consulta Cómo administrar redes.
5. Apunta la red a la extensión de inscripción. En el campo URL de registro de clientes, ingresa chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Nota: Se puede acceder a la URL de la extensión de inscripción en el navegador Chrome incluso si en ella no hay redes configuradas para inscribirse. Esta configuración te permite probar la URL de forma manual antes de configurar redes o inscribir certificados para usos distintos de las redes EAP-TLS, como la VPN basada en certificados. Indica a los usuarios que visiten la URL en su navegador y omitan el paso de configuración de red.

1. En un dispositivo con ChromeOS administrado, ve a chrome://policy.
2. Haga clic en Recargar políticas.
3. Desplázate hasta Inscripción del certificado del ChromeOS.
4. En cada política, asegúrate de que los campos de valor sean los mismos que estableciste en el archivo JSON.