Utiliser l'extension Inscription de certificat pour ChromeOS

Pour inscrire automatiquement un certificat préconfiguré, l'utilisateur doit procéder comme suit :

1. Cliquer sur la notification Inscrire le certificat.
2. (Facultatif) Cocher la case Inscrire un certificat d'appareil pour demander un certificat d'appareil. Si cette case n'est pas cochée, un certificat utilisateur est demandé.
3. Cliquez sur Inscrire.

Pour renouveler un certificat, il suffit à l'utilisateur de cliquer sur la notification Rappel relatif au renouvellement du certificat.

Les demandes de certificat utilisateur sont des demandes permettant d'obtenir un certificat pour l'utilisateur qui envoie la demande, et non pour l'appareil dans son ensemble. Ces certificats ne sont valides que pour l'utilisateur connecté à cet appareil, et non pour les autres utilisateurs pouvant aussi l'utiliser.

1. Cliquez sur le champ "Nom d'utilisateur" ou utilisez la touche de tabulation pour y accéder.
2. Saisissez votre nom d'utilisateur.
3. Cliquez sur le champ "Mot de passe" ou utilisez la touche de tabulation pour y accéder.
4. Saisissez votre mot de passe.
5. Ne cochez pas la case "Appareil".

Les demandes de certificat d'appareil permettent d'obtenir un certificat pour l'appareil envoyant la demande, et pas seulement pour l'utilisateur qui l'envoie. Ces certificats sont valides sur l'appareil, pour tous les utilisateurs appartenant à la même organisation, ce qui est généralement nécessaire pour les appareils utilisés en mode session publique ou Kiosque.

1. Cliquez sur le champ "Nom d'utilisateur" ou utilisez la touche de tabulation pour y accéder.
2. Saisissez votre nom d'utilisateur.
3. Cliquez sur le champ "Mot de passe" ou utilisez la touche de tabulation pour y accéder.
4. Saisissez votre mot de passe.
5. Cochez l'option "Appareil".

Quel que soit le type de demande envoyé (utilisateur ou appareil), la procédure à suivre est identique.

1. Créez une demande de certificat d'utilisateur ou d'appareil, comme indiqué dans les étapes ci-dessus.
2. Accédez au bouton "Inscrire".
3. Cliquez sur Inscrire.

Une fois la demande envoyée, le résultat idéal est une réponse positive du serveur, qui inclut le certificat demandé.

1. Envoyez une demande de certificat, comme indiqué ci-dessus.
2. Attendez la réponse.
3. Lorsque vous recevez la réponse, une boîte de dialogue s'affiche avec un message de confirmation indiquant que le certificat a été reçu et importé.
4. Sélectionnez OK dans la boîte de dialogue, appuyez sur la touche Échap ou cliquez en dehors de la boîte de dialogue pour la fermer.

Il peut arriver que la demande envoyée échoue pour différentes raisons. Une réponse d'erreur résume ces échecs et décrit le problème.

1. Envoyez une demande de certificat, comme indiqué ci-dessus.
2. Attendez la réponse.
3. Lorsque vous recevez la réponse, une boîte de dialogue s'affiche avec un message d'échec indiquant qu'une erreur s'est produite.
4. Sélectionnez OK dans la boîte de dialogue, appuyez sur la touche Échap ou cliquez en dehors de la boîte de dialogue pour la fermer.
5. Si l'erreur peut être corrigée (nom d'utilisateur non valide, par exemple), effectuez la correction et renvoyez la demande, qui devrait aboutir. Dans le cas contraire (par exemple, lorsque la demande d'accès au serveur n'est pas acceptée), l'utilisateur doit demander de l'aide.

Une fois la demande envoyée, le serveur peut parfois la mettre en attente pour qu'une personne puisse l'examiner et donner son approbation/refus ultérieurement. Une réponse de demande en attente inclut ce parcours et donne à l'utilisateur les informations dont il aura besoin pour vérifier l'état de la demande ultérieurement.

1. Envoyez une demande de certificat, comme indiqué plus haut.
2. Attendez la réponse.
3. Lorsque vous recevez la réponse, une boîte de dialogue s'affiche avec un message indiquant que la demande a été placée en attente. L'URI d'inscription et l'ID de la demande y sont également fournis. Ceux-ci seront nécessaires pour vérifier l'état de la demande ultérieurement.
4. Copiez l'URI d'inscription et l'ID de la demande quelque part pour les utiliser ultérieurement.
5. Sélectionnez OK dans la boîte de dialogue, appuyez sur la touche Échap ou cliquez en dehors de la boîte de dialogue pour la fermer.

Un utilisateur dont le certificat est en attente souhaitera peut-être vérifier l'état de sa demande à un moment donné. Pour créer et envoyer des demandes de certificat en attente, l'utilisateur doit accéder à l'interface utilisateur des demandes en attente.

1. Cliquez sur le bouton "Autres options" ou utilisez la touche de tabulation pour y accéder et le sélectionner.
2. Dans la liste des options générées, cliquez sur l'option "Afficher les autres champs pour vérifier les demandes en attente ?" ou utilisez la touche de tabulation pour y accéder.
3. Sélectionnez "Afficher les autres champs pour vérifier les demandes en attente ?" pour activer l'affichage des champs de demande en attente.

Si un utilisateur a accédé à l'interface utilisateur des demandes en attente, il souhaitera peut-être revenir à l'interface standard à un moment donné.

1. Cliquez sur le bouton "Autres options" ou utilisez la touche de tabulation pour y accéder et le sélectionner.
2. Dans la liste des options générées, cliquez sur l'option "Masquer les autres champs pour vérifier les demandes en attente ?" ou utilisez la touche de tabulation pour y accéder.
3. Sélectionnez "Masquer les autres champs pour vérifier les demandes en attente ?" pour désactiver l'affichage des champs de demande en attente.

Un utilisateur dont le certificat est en attente souhaitera peut-être vérifier l'état de sa demande à un moment donné. L'extension permet de suivre ce parcours, très semblable à la création de demande.

1. Accédez à l'interface utilisateur des demandes en attente, comme indiqué ci-dessus.
2. Cliquez sur le champ "Nom d'utilisateur" ou utilisez la touche de tabulation pour y accéder.
3. Saisissez votre nom d'utilisateur.
4. Cliquez sur le champ "Mot de passe" ou utilisez la touche de tabulation pour y accéder.
5. Saisissez votre mot de passe.
6. Cliquez sur le champ "URI d'inscription" ou utilisez la touche de tabulation pour y accéder.
7. Saisissez l'URI d'inscription figurant dans une précédente réponse de certificat en attente.
8. Cliquez sur le champ "ID de la demande" ou utilisez la touche de tabulation pour y accéder.
9. Saisissez l'ID de demande figurant dans une précédente réponse de certificat en attente.
10. Si la demande de certificat d'origine était pour un certificat applicable à l'appareil, cochez la case "Appareil". Sinon, assurez-vous qu'elle n'est pas cochée.

Une fois qu'une demande de vérification de certificat en attente a été créée, l'utilisateur doit l'envoyer afin d'obtenir une réponse. Cette demande peut entraîner une réponse indiquant une réussite, un échec ou une mise en attente, ce qui correspond aux parcours déjà définis ci-dessus.

1. Créez une demande de vérification de certificat en attente, comme indiqué ci-dessus.
2. Accédez au bouton "Vérifier l'état".
3. Sélectionnez le bouton "Vérifier l'état".

En cas d'erreur, il peut être utile à un assistant ou à un administrateur de consulter tous les journaux de l'extension. Pour permettre à un utilisateur d'obtenir ces journaux, nous proposons une méthode simple, qui consiste à les copier dans le presse-papiers de l'utilisateur.

1. Cliquez sur le bouton "Autres options" ou utilisez la touche de tabulation pour y accéder et le sélectionner.
2. Dans la liste des options générées, cliquez sur l'option "Copier journaux dans le presse-papiers" ou utilisez la touche de tabulation pour y accéder.
3. Sélectionnez "Copier journaux dans le presse-papiers" pour copier les journaux dans le presse-papiers de l'utilisateur.
4. L'utilisateur peut alors coller ces journaux à l'emplacement de son choix, selon le processus normal de l'appareil.

1. Connectez-vous à la Console d'administration Google avec un compte administrateur.

   Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.

2. Accédez à Menu  Appareils > Chrome > Applications et extensions > Utilisateurs et navigateurs.

   Si vous vous êtes inscrit à la gestion cloud du navigateur Chrome, accédez à Menu  Navigateur Chrome > Applications et extensions > Utilisateurs et navigateurs.

3. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté. Voir la marche à suivre
4. Pointez sur Ajouter Ajouter à partir du Chrome Web Store.
5. Recherchez l'option Inscription de certificat pour ChromeOS et sélectionnez-la. L'ID de l'extension est fhndealchbngfhdoncgcokameljahhog.
6. Sur la page Utilisateurs et navigateurs, sélectionnez l'extension Inscription de certificat pour ChromeOS.
7. Dans le panneau de droite, sous Gestion des certificats, activez Autoriser l'accès aux clés.
8. Sous Règles d'installation, sélectionnez Installer d'office ou Installer d'office et épingler à la barre des tâches ChromeOS.
9. Cliquez sur Enregistrer.

Créez un fichier contenant les paramètres que vous souhaitez appliquer à l'extension Inscription de certificat pour ChromeOS pour les utilisateurs. Commencez avec ce fichier d'exemple et modifiez les règles en fonction des besoins de votre organisation ou de vos utilisateurs. Ce fichier au format JSON (JavaScript Object Notation) peut être modifié dans un éditeur de texte.

Remarque : Les règles contenant des valeurs par défaut dans les chaînes destinées aux utilisateurs sont traduites, et apparaissent sur les appareils dans la langue locale de l'utilisateur. Vous pouvez modifier les chaînes en fonction des besoins de votre organisation, mais elles ne seront pas traduites.

Vous pouvez définir les règles suivantes :

Nom de la règle	Fonction
allow_machine_cert_enrollment	Permet aux utilisateurs d'installer un certificat système. Si la valeur est "true", les utilisateurs peuvent choisir de demander un certificat système ou utilisateur. Si la valeur est "false", ils peuvent uniquement demander un certificat utilisateur. La valeur par défaut est "false".
cep_proxy_url	Permet de spécifier le point de terminaison HTTPS pour la CEP. Pour obtenir le point de terminaison, procédez comme suit : Dans le gestionnaire IIS, accédez au site Web de la CEP. En général, le nom contient "CEP". Ouvrez les paramètres de l'application. Le point de terminaison https de la CEP est répertorié sous URI. Seules les valeurs commençant par https sont valides. Si vous saisissez une valeur commençant par "https", mais qu'elle ne correspond pas à l'URI dans le gestionnaire IIS, elle sera quand même considérée comme valide et utilisée, mais elle échouera probablement. Cette règle est obligatoire.
company_info	Permet de spécifier les informations de branding de votre organisation telles que le nom et le logo. Définissez help_url pour diriger les utilisateurs vers une page Web sur laquelle ils peuvent obtenir des informations ou être aidés. Si la page Web que vous spécifiez n'est pas accessible pour les utilisateurs sans certificat, comme lors de la première demande, utilisez help_text pour leur fournir un texte utile. Si vous définissez help_url et help_text, la page Web que vous avez spécifiée apparaît sous le texte d'aide sur les appareils des utilisateurs.
device_cert_request_values	Permet de spécifier les valeurs à utiliser dans la demande de signature de certificat (CSR, certificate signing request) d'un appareil. Au lieu d'utiliser les propriétés du demandeur, vous pouvez définir des valeurs d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil. Pour utiliser une CSR personnalisée, vous devez également configurer le modèle de certificat sur l'autorité de certification afin qu'il exige et génère un certificat avec les valeurs d'objet définies dans la demande elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet. Vous pouvez utiliser les espaces réservés ci-dessous. Ces valeurs sont toutes facultatives. Pour les appareils ChromeOS exécutant la version 66 ou une version ultérieure, vous pouvez utiliser les éléments suivants : ${DEVICE_DIRECTORY_ID} : ID de l'annuaire de l'appareil ${USER_EMAIL} : adresse e-mail de l'utilisateur connecté ${USER_DOMAIN} : nom de domaine de l'utilisateur connecté ${DEVICE_SERIAL_NUMBER} : numéro de série de l'appareil ${DEVICE_ASSET_ID} : ID d'élément attribué à l'appareil par l'administrateur ${DEVICE_ANNOTATED_LOCATION} : emplacement attribué à l'appareil par l'administrateur Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide. Vous pouvez utiliser plusieurs espaces réservés les uns à la suite des autres. Par exemple, l'expression ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} est remplacée par le numéro de série de l'appareil si l'ID d'élément n'est pas disponible.
device_enrollment_templates	Liste de noms de modèles de certificat correspondants, classés par ordre de priorité dans les flux d'inscription d'utilisateurs. L'extension parcourt la liste pour trouver un modèle de certificat correspondant. La première occurrence trouvée est utilisée. Si une erreur se produit, l'extension ne réessaie pas avec d'autres modèles de certificat. Cette règle est obligatoire. La liste doit contenir au moins une valeur. À partir de la console de gestion Microsoft (MMC, Microsoft Management Console) de l'autorité de certification, utilisez le nom du modèle et non le nom à afficher du modèle. La valeur par défaut est ChromeOSWirelessUser.
enable_auto_enrollment	Permet de décider si l'extension lance automatiquement l'inscription. Si la valeur est "false", l'extension attend que l'utilisateur tente de se connecter au réseau EAP-TLS. La valeur par défaut est "false".
log_level	Permet de spécifier le niveau de détail des journaux de l'extension envoyés à la console JavaScript de Chrome. NONE (paramètre par défaut) : aucune information n'est consignée dans la console. ERROR : seules les erreurs distinctes sont consignées dans la console. WARNING : les erreurs et les avertissements distincts sont consignés dans la console. INFO : les erreurs et les avertissements distincts sont consignés dans la console avec des informations pertinentes sur les actions. DEBUG : toutes les informations sont consignées dans la console. Ce paramètre est recommandé pour la première version afin de faciliter la résolution des erreurs éventuelles. Dans Plus d'options, vous pouvez copier automatiquement tous les journaux dans le presse-papiers. Pour accéder aux journaux de Chrome sur leur appareil, les utilisateurs peuvent ouvrir la console Web pour les développeurs dans Chrome de deux façons : En appuyant sur Ctrl+Maj+i En cliquant sur Plus d'outils Outils de développement Cette règle est obligatoire.
placeholder_values	Permet de spécifier le nom d'utilisateur, le mot de passe, l'URI, l'ID de la demande et les espaces réservés aux en-têtes. Ces informations guident les utilisateurs lorsqu'ils se connectent. Les libellés "Username" (Nom d'utilisateur), "Password" (Mot de passe), "URI" et "RequestID" (ID de la demande) s'affichent au-dessus de chaque champ de saisie à titre d'information. Le champ "Header" (En-tête) correspond au titre de la page. Il existe des valeurs spéciales pour les champs "Username" (Nom d'utilisateur), "Password" (Mot de passe) et "Header" (En-tête) qui permettent aux clients d'utiliser des noms par défaut internationalisés. managed_username_placeholder : nom d'utilisateur managed_password_placeholder : mot de passe managed_login_header : inscription de certificat Si votre organisation utilise une autre terminologie, par exemple une phrase secrète au lieu d'un mot de passe, vous pouvez modifier ces valeurs. La nouvelle valeur n'est toutefois pas traduite.
renew_hours_before_expiry	Indique la durée, en heures, avant l'expiration du certificat, afin d'en informer les utilisateurs.   La valeur par défaut est 120.
renew_reminder_interval	Permet de déterminer la fréquence, en heures, à laquelle les utilisateurs sont avertis de l'expiration du certificat. Après la première notification, si l'utilisateur ne renouvelle pas le certificat et ne choisit pas d'ignorer les rappels, il recevra d'autres notifications après le nombre d'heures définies. Par exemple, si vous définissez renew_hours_before_expiry sur 120 et renew_reminder_interval sur 24, et que l'utilisateur choisit de recevoir des rappels supplémentaires à chaque fois, il reçoit cinq notifications de renouvellement (une par jour) jusqu'à l'expiration du certificat. La valeur par défaut est 24.
request_timeout_seconds	Spécifie le délai, en secondes, avant l'expiration d'un appel à la CEP ou au CES. La valeur par défaut est 20.
signature_algo	Permet de déterminer l'algorithme que doit utiliser l'extension pour la signature des demandes de certificat. Les options sont les suivantes : SHA1 (non recommandé) : algorithme faible pouvant compromettre la sécurité de vos utilisateurs SHA256 SHA512 (par défaut)
user_cert_request_values	Permet de spécifier les valeurs utilisées dans la demande de signature de certificat d'un utilisateur. Au lieu d'utiliser les propriétés du demandeur, vous pouvez définir des valeurs d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil. Pour utiliser la fonctionnalité CSR personnalisée, vous devez également configurer le modèle de certificat sur l'autorité de certification de façon qu'elle attende et génère un certificat avec les valeurs d'objet définies dans la demande elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet. Vous pouvez utiliser les espaces réservés ci-dessous. Ces valeurs sont toutes facultatives. ${DEVICE_DIRECTORY_ID} : ID de l'annuaire de l'appareil ${USER_EMAIL} : adresse e-mail de l'utilisateur connecté ${USER_DOMAIN} : nom de domaine de l'utilisateur connecté ${DEVICE_SERIAL_NUMBER} : numéro de série de l'appareil ${DEVICE_ASSET_ID} : ID d'élément attribué à l'appareil par l'administrateur ${DEVICE_ANNOTATED_LOCATION} : emplacement attribué à l'appareil par l'administrateur ${USER_ID} : première partie de l'adresse e-mail de l'utilisateur connecté (avant le signe "@") Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide. Vous pouvez utiliser plusieurs espaces réservés les uns à la suite des autres. Par exemple, l'expression ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} est remplacée par le numéro de série de l'appareil si l'ID d'élément n'est pas disponible.
user_enrollment_templates	Liste de noms de modèles de certificat correspondants, classés par ordre de priorité dans les flux d'inscription d'utilisateurs. L'extension parcourt la liste pour trouver un modèle de certificat correspondant. La première occurrence trouvée est utilisée. Si une erreur se produit, l'extension ne réessaie pas avec d'autres modèles de certificat. Cette règle est obligatoire. La liste doit contenir au moins une valeur. Dans la console MMC de l'autorité de certification, utilisez le nom du modèle et non le nom à afficher du modèle. Le paramètre par défaut est ChromeOSWirelessUser.

Configurer le provisionnement des certificats avec ou sans saisie d'identifiants

Par défaut, l'extension Inscription de certificat est configurée pour permettre aux utilisateurs de provisionner un certificat manuellement, en fournissant leurs identifiants lorsqu'ils tentent d'obtenir un certificat.

Grâce à l'extension ChromeOS, vous pouvez permettre aux utilisateurs de provisionner ou renouveler automatiquement un certificat sans avoir à saisir manuellement leurs identifiants. Cette extension peut demander des certificats utilisateur et des certificats d'appareil à l'aide de l'authentification Kerberos si un ticket Kerberos utilisateur est disponible sur l'appareil. Elle peut également demander des certificats d'appareil en utilisant un compte de service.

Authentification Kerberos

Avant de commencer

• L'utilisateur ChromeOS doit disposer d'un ticket Kerberos sur l'appareil.
  • Le gestionnaire d'identifiants Kerberos doit être configuré par le biais d'une règle pour permettre à l'utilisateur connecté de récupérer un ticket Kerberos. Il est recommandé que cette récupération s'effectue de manière automatique lors de la connexion. Consultez Configurer l'authentification unique Kerberos pour les appareils ChromeOS.
• Le compte utilisateur Active Directory associé au ticket Kerberos doit être autorisé à demander des certificats à l'aide du modèle de certificat configuré.
• Le point de terminaison de l'inscription doit être répertorié dans la règle Serveurs pour l'authentification intégrée de ChromeOS. Pour plus d'informations sur cette règle, consultez la liste des règles Chrome.
  • Configurez correctement le paramètre Serveurs pour l'authentification intégrée dans la console d'administration. Pour en savoir plus, consultez Serveurs pour l'authentification intégrée.

Configurer l'extension

Définissez la valeur de la règle d'extension `client_authentication` sur `kerberos`.

Authentification à l'aide d'un compte de service hébergé

Vous pouvez configurer l'extension pour qu'elle demande un certificat d'appareil à l'aide d'un compte de service. Les identifiants du compte de service sont hébergés sur un serveur Web de votre réseau local.

Avertissement : Si un pirate informatique parvient à accéder au serveur Web hébergeant les identifiants et les règles de l'extension sur l'appareil, il est possible qu'il récupère les identifiants du compte de service.

Nous vous recommandons de restreindre l'accès au serveur Web qui héberge les identifiants du compte de service à un réseau de provisionnement qui n'est utilisé que pour la configuration initiale des appareils ChromeOS.

Avant de commencer

• Vous devez disposer, sur le réseau local, d'un serveur Web capable de traiter les requêtes HTTPS.
• ChromeOS doit approuver le certificat de ce serveur Web. Si le serveur Web utilise un certificat émis par une autorité de certification autosignée, vous pouvez configurer ce certificat pour qu'il soit approuvé dans la console d'administration.

Étape 1 : Générez le mot de passe masqué

1. Ouvrez l'extension.
2. Sélectionnez MorePassword Mask Tool (Plus > Outil de masquage de mot de passe).
3. Saisissez le mot de passe du compte de service.
4. Sélectionnez Mask (Masque).
5. Copiez le masque et le mot de passe masqué dans un fichier texte.

Étape 2 : Stockez les identifiants sur le serveur Web interne

1. Configurez le serveur Web pour qu'il stocke un fichier JSON contenant les éléments suivants :

{

  'username': '<nom du compte de service>',

  'maskedPassword': '<mot de passe masqué copié et collé>'

}

2. Copiez l'URL que le serveur Web utilise pour héberger les identifiants dans un fichier texte.

Étape 3 : Configurez les règles relatives à l'extension

1. Définissez la variable de la règle d'extension 'service_account_host' sur l'URL que vous avez copiée ci-dessus.
2. Définissez la variable de la règle d'extension 'service_account_host_password_mask' sur le masque que vous avez copié ci-dessus.

Renouvellement automatique des certificats

Vous pouvez configurer l'extension de façon à renouveler les certificats existants sans authentification supplémentaire à l'aide du renouvellement par clé.

Avant de commencer

Vous devez disposer d'un point de terminaison de service d'inscription de certificats (CES) ADCS qui accepte le renouvellement par clé pour le modèle de certificat configuré. Pour plus d'informations, consultez Configuration d’un service Web d’inscription de certificats pour le renouvellement basé sur les clés de certificat sur un port personnalisé.

Configurer l'extension

• Définissez la valeur de la règle d'extension `use_key_based_renewal` sur true.
• Définissez la valeur de la règle d'extension ‘ces_renewal_url’ sur l'URL du point de terminaison du service d'inscription de certificats (CES) qui accepte le renouvellement par clé.

Pour définir les paramètres d'un groupe spécifique d'utilisateurs ou de navigateurs Chrome enregistrés, placez les comptes utilisateur ou navigateurs dans un groupe ou une unité organisationnelle. Seuls des comptes utilisateur peuvent être ajoutés aux groupes. Pour en savoir plus, consultez Groupes et Ajouter une unité organisationnelle.

1. Connectez-vous à la Console d'administration Google avec un compte administrateur.

   Si vous n'utilisez pas de compte administrateur, vous ne pouvez pas accéder à la console d'administration.

2. Accédez à Appareils > Réseaux.

   Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

3. Cliquez sur Wi-Fi.
4. Ajoutez un réseau EAP-TLS.
   Pour savoir comment ajouter une configuration de réseau Wi-Fi, consultez l'article Gérer les réseaux.
5. Faites pointer le réseau vers l'extension d'inscription. Dans le champ URL d'inscription du client, saisissez chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Remarque : Même si aucun réseau n'est configuré pour s'inscrire à l'URL de l'extension d'inscription, cette URL est accessible dans le navigateur Chrome. Vous pouvez ainsi tester l'URL manuellement avant de configurer des réseaux ou d'inscrire des certificats pour des utilisations autres que sur les réseaux EAP-TLS, par exemple pour les VPN basés sur des certificats. Invitez les utilisateurs à accéder à l'URL dans leur navigateur et à ignorer l'étape de configuration du réseau.

1. Sur un appareil ChromeOS géré, accédez à la page chrome://policy.
2. Cliquez sur Actualiser les règles.
3. Faites défiler jusqu'à Inscription de certificat pour ChromeOS.
4. Pour chaque règle, assurez-vous que les champs de valeur sont les mêmes que ceux définis dans le fichier JSON.