Créez un fichier contenant les paramètres que vous souhaitez appliquer à l'extension Inscription de certificat pour ChromeOS pour les utilisateurs. Commencez avec ce fichier d'exemple et modifiez les règles en fonction des besoins de votre organisation ou de vos utilisateurs. Ce fichier au format JSON (JavaScript Object Notation) peut être modifié dans un éditeur de texte.
Remarque : Les règles contenant des valeurs par défaut dans les chaînes destinées aux utilisateurs sont traduites, et apparaissent sur les appareils dans la langue locale de l'utilisateur. Vous pouvez modifier les chaînes en fonction des besoins de votre organisation, mais elles ne seront pas traduites.
Vous pouvez définir les règles suivantes :
Nom de la règle |
Fonction |
allow_machine_cert_enrollment
|
Permet aux utilisateurs d'installer un certificat système.
Si la valeur est "true", les utilisateurs peuvent choisir de demander un certificat système ou utilisateur. Si la valeur est "false", ils peuvent uniquement demander un certificat utilisateur.
La valeur par défaut est "false".
|
cep_proxy_url
|
Permet de spécifier le point de terminaison HTTPS pour la CEP.
Pour obtenir le point de terminaison, procédez comme suit :
- Dans le gestionnaire IIS, accédez au site Web de la CEP.
En général, le nom contient "CEP".
- Ouvrez les paramètres de l'application.
Le point de terminaison https de la CEP est répertorié sous URI.
Seules les valeurs commençant par https sont valides. Si vous saisissez une valeur commençant par "https", mais qu'elle ne correspond pas à l'URI dans le gestionnaire IIS, elle sera quand même considérée comme valide et utilisée, mais elle échouera probablement.
Cette règle est obligatoire.
|
company_info
|
Permet de spécifier les informations de branding de votre organisation telles que le nom et le logo.
- Définissez help_url pour diriger les utilisateurs vers une page Web sur laquelle ils peuvent obtenir des informations ou être aidés.
- Si la page Web que vous spécifiez n'est pas accessible pour les utilisateurs sans certificat, comme lors de la première demande, utilisez help_text pour leur fournir un texte utile.
- Si vous définissez help_url et help_text, la page Web que vous avez spécifiée apparaît sous le texte d'aide sur les appareils des utilisateurs.
|
device_cert_request_values
|
Permet de spécifier les valeurs à utiliser dans la demande de signature de certificat (CSR, certificate signing request) d'un appareil.
Au lieu d'utiliser les propriétés du demandeur, vous pouvez définir des valeurs d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil. Pour utiliser une CSR personnalisée, vous devez également configurer le modèle de certificat sur l'autorité de certification afin qu'il exige et génère un certificat avec les valeurs d'objet définies dans la demande elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet.
Vous pouvez utiliser les espaces réservés ci-dessous. Ces valeurs sont toutes facultatives.
Pour les appareils ChromeOS exécutant la version 66 ou une version ultérieure, vous pouvez utiliser les éléments suivants :
${DEVICE_DIRECTORY_ID} : ID de l'annuaire de l'appareil
${USER_EMAIL} : adresse e-mail de l'utilisateur connecté
${USER_DOMAIN} : nom de domaine de l'utilisateur connecté
${DEVICE_SERIAL_NUMBER} : numéro de série de l'appareil
${DEVICE_ASSET_ID} : ID d'élément attribué à l'appareil par l'administrateur
${DEVICE_ANNOTATED_LOCATION} : emplacement attribué à l'appareil par l'administrateur
Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide.
Vous pouvez utiliser plusieurs espaces réservés les uns à la suite des autres. Par exemple, l'expression ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} est remplacée par le numéro de série de l'appareil si l'ID d'élément n'est pas disponible.
|
device_enrollment_templates
|
Liste de noms de modèles de certificat correspondants, classés par ordre de priorité dans les flux d'inscription d'utilisateurs. L'extension parcourt la liste pour trouver un modèle de certificat correspondant. La première occurrence trouvée est utilisée. Si une erreur se produit, l'extension ne réessaie pas avec d'autres modèles de certificat.
Cette règle est obligatoire. La liste doit contenir au moins une valeur.
À partir de la console de gestion Microsoft (MMC, Microsoft Management Console) de l'autorité de certification, utilisez le nom du modèle et non le nom à afficher du modèle.
La valeur par défaut est ChromeOSWirelessUser.
|
enable_auto_enrollment
|
Permet de décider si l'extension lance automatiquement l'inscription. Si la valeur est "false", l'extension attend que l'utilisateur tente de se connecter au réseau EAP-TLS.
La valeur par défaut est "false".
|
log_level |
Permet de spécifier le niveau de détail des journaux de l'extension envoyés à la console JavaScript de Chrome.
NONE (paramètre par défaut) : aucune information n'est consignée dans la console.
ERROR : seules les erreurs distinctes sont consignées dans la console.
WARNING : les erreurs et les avertissements distincts sont consignés dans la console.
INFO : les erreurs et les avertissements distincts sont consignés dans la console avec des informations pertinentes sur les actions.
DEBUG : toutes les informations sont consignées dans la console. Ce paramètre est recommandé pour la première version afin de faciliter la résolution des erreurs éventuelles. Dans Plus d'options, vous pouvez copier automatiquement tous les journaux dans le presse-papiers.
Pour accéder aux journaux de Chrome sur leur appareil, les utilisateurs peuvent ouvrir la console Web pour les développeurs dans Chrome de deux façons :
- En appuyant sur Ctrl+Maj+i
- En cliquant sur Plus d'outils
Outils de développement
Cette règle est obligatoire.
|
placeholder_values |
Permet de spécifier le nom d'utilisateur, le mot de passe, l'URI, l'ID de la demande et les espaces réservés aux en-têtes. Ces informations guident les utilisateurs lorsqu'ils se connectent.
- Les libellés "Username" (Nom d'utilisateur), "Password" (Mot de passe), "URI" et "RequestID" (ID de la demande) s'affichent au-dessus de chaque champ de saisie à titre d'information.
- Le champ "Header" (En-tête) correspond au titre de la page.
- Il existe des valeurs spéciales pour les champs "Username" (Nom d'utilisateur), "Password" (Mot de passe) et "Header" (En-tête) qui permettent aux clients d'utiliser des noms par défaut internationalisés.
- managed_username_placeholder : nom d'utilisateur
- managed_password_placeholder : mot de passe
- managed_login_header : inscription de certificat
- Si votre organisation utilise une autre terminologie, par exemple une phrase secrète au lieu d'un mot de passe, vous pouvez modifier ces valeurs. La nouvelle valeur n'est toutefois pas traduite.
|
renew_hours_before_expiry |
Indique la durée, en heures, avant l'expiration du certificat, afin d'en informer les utilisateurs.
La valeur par défaut est 120.
|
renew_reminder_interval |
Permet de déterminer la fréquence, en heures, à laquelle les utilisateurs sont avertis de l'expiration du certificat.
Après la première notification, si l'utilisateur ne renouvelle pas le certificat et ne choisit pas d'ignorer les rappels, il recevra d'autres notifications après le nombre d'heures définies.
Par exemple, si vous définissez renew_hours_before_expiry sur 120 et renew_reminder_interval sur 24, et que l'utilisateur choisit de recevoir des rappels supplémentaires à chaque fois, il reçoit cinq notifications de renouvellement (une par jour) jusqu'à l'expiration du certificat.
La valeur par défaut est 24.
|
request_timeout_seconds
|
Spécifie le délai, en secondes, avant l'expiration d'un appel à la CEP ou au CES.
La valeur par défaut est 20.
|
signature_algo
|
Permet de déterminer l'algorithme que doit utiliser l'extension pour la signature des demandes de certificat. Les options sont les suivantes :
- SHA1 (non recommandé) : algorithme faible pouvant compromettre la sécurité de vos utilisateurs
- SHA256
- SHA512 (par défaut)
|
user_cert_request_values
|
Permet de spécifier les valeurs utilisées dans la demande de signature de certificat d'un utilisateur.
Au lieu d'utiliser les propriétés du demandeur, vous pouvez définir des valeurs d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil. Pour utiliser la fonctionnalité CSR personnalisée, vous devez également configurer le modèle de certificat sur l'autorité de certification de façon qu'elle attende et génère un certificat avec les valeurs d'objet définies dans la demande elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet.
Vous pouvez utiliser les espaces réservés ci-dessous. Ces valeurs sont toutes facultatives.
-
${DEVICE_DIRECTORY_ID} : ID de l'annuaire de l'appareil
-
${USER_EMAIL} : adresse e-mail de l'utilisateur connecté
-
${USER_DOMAIN} : nom de domaine de l'utilisateur connecté
-
${DEVICE_SERIAL_NUMBER} : numéro de série de l'appareil
-
${DEVICE_ASSET_ID} : ID d'élément attribué à l'appareil par l'administrateur
-
${DEVICE_ANNOTATED_LOCATION} : emplacement attribué à l'appareil par l'administrateur
-
${USER_ID} : première partie de l'adresse e-mail de l'utilisateur connecté (avant le signe "@")
Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide.
Vous pouvez utiliser plusieurs espaces réservés les uns à la suite des autres. Par exemple, l'expression ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} est remplacée par le numéro de série de l'appareil si l'ID d'élément n'est pas disponible.
|
user_enrollment_templates
|
Liste de noms de modèles de certificat correspondants, classés par ordre de priorité dans les flux d'inscription d'utilisateurs. L'extension parcourt la liste pour trouver un modèle de certificat correspondant. La première occurrence trouvée est utilisée. Si une erreur se produit, l'extension ne réessaie pas avec d'autres modèles de certificat.
Cette règle est obligatoire. La liste doit contenir au moins une valeur.
Dans la console MMC de l'autorité de certification, utilisez le nom du modèle et non le nom à afficher du modèle.
Le paramètre par défaut est ChromeOSWirelessUser.
|
Configurer le provisionnement des certificats avec ou sans saisie d'identifiants
Par défaut, l'extension Inscription de certificat est configurée pour permettre aux utilisateurs de provisionner un certificat manuellement, en fournissant leurs identifiants lorsqu'ils tentent d'obtenir un certificat.
Grâce à l'extension ChromeOS, vous pouvez permettre aux utilisateurs de provisionner ou renouveler automatiquement un certificat sans avoir à saisir manuellement leurs identifiants. Cette extension peut demander des certificats utilisateur et des certificats d'appareil à l'aide de l'authentification Kerberos si un ticket Kerberos utilisateur est disponible sur l'appareil. Elle peut également demander des certificats d'appareil en utilisant un compte de service.
Authentification Kerberos
Avant de commencer
- L'utilisateur ChromeOS doit disposer d'un ticket Kerberos sur l'appareil.
- Le compte utilisateur Active Directory associé au ticket Kerberos doit être autorisé à demander des certificats à l'aide du modèle de certificat configuré.
- Le point de terminaison de l'inscription doit être répertorié dans la règle Serveurs pour l'authentification intégrée de ChromeOS. Pour plus d'informations sur cette règle, consultez la liste des règles Chrome.
Configurer l'extension
Définissez la valeur de la règle d'extension `client_authentication`
sur `kerberos`
.
Authentification à l'aide d'un compte de service hébergé
Vous pouvez configurer l'extension pour qu'elle demande un certificat d'appareil à l'aide d'un compte de service. Les identifiants du compte de service sont hébergés sur un serveur Web de votre réseau local.
Avertissement : Si un pirate informatique parvient à accéder au serveur Web hébergeant les identifiants et les règles de l'extension sur l'appareil, il est possible qu'il récupère les identifiants du compte de service.
Nous vous recommandons de restreindre l'accès au serveur Web qui héberge les identifiants du compte de service à un réseau de provisionnement qui n'est utilisé que pour la configuration initiale des appareils ChromeOS.
Avant de commencer
- Vous devez disposer, sur le réseau local, d'un serveur Web capable de traiter les requêtes HTTPS.
- ChromeOS doit approuver le certificat de ce serveur Web. Si le serveur Web utilise un certificat émis par une autorité de certification autosignée, vous pouvez configurer ce certificat pour qu'il soit approuvé dans la console d'administration.
Étape 1 : Générez le mot de passe masqué
- Ouvrez l'extension.
- Sélectionnez More
Password Mask Tool (Plus > Outil de masquage de mot de passe).
- Saisissez le mot de passe du compte de service.
- Sélectionnez Mask (Masque).
- Copiez le masque et le mot de passe masqué dans un fichier texte.
Étape 2 : Stockez les identifiants sur le serveur Web interne
- Configurez le serveur Web pour qu'il stocke un fichier JSON contenant les éléments suivants :
{
'username': '<nom du compte de service>',
'maskedPassword': '<mot de passe masqué copié et collé>'
}
- Copiez l'URL que le serveur Web utilise pour héberger les identifiants dans un fichier texte.
Étape 3 : Configurez les règles relatives à l'extension
- Définissez la variable de la règle d'extension
'service_account_host'
sur l'URL que vous avez copiée ci-dessus.
- Définissez la variable de la règle d'extension
'service_account_host_password_mask'
sur le masque que vous avez copié ci-dessus.
Renouvellement automatique des certificats
Vous pouvez configurer l'extension de façon à renouveler les certificats existants sans authentification supplémentaire à l'aide du renouvellement par clé.
Avant de commencer
Vous devez disposer d'un point de terminaison de service d'inscription de certificats (CES) ADCS qui accepte le renouvellement par clé pour le modèle de certificat configuré. Pour plus d'informations, consultez Configuration d’un service Web d’inscription de certificats pour le renouvellement basé sur les clés de certificat sur un port personnalisé.
Configurer l'extension
- Définissez la valeur de la règle d'extension
`use_key_based_renewal`
sur true.
- Définissez la valeur de la règle d'extension
‘ces_renewal_url’
sur l'URL du point de terminaison du service d'inscription de certificats (CES) qui accepte le renouvellement par clé.