Notifikasi

Merencanakan strategi kembali bekerja di kantor? Lihat cara Chrome OS dapat membantu.

Menggunakan ekstensi Pendaftaran Sertifikat untuk ChromeOS

Sebagai administrator, Anda dapat menggunakan Pendaftaran Sertifikat untuk ekstensi ChromeOS agar pengguna dapat memperoleh sertifikat pengguna atau perangkat baik secara manual maupun otomatis. Anda juga dapat menyiapkan perpanjangan otomatis untuk sertifikat lama yang masa berlakunya akan segera berakhir.

Sebelum menggunakan ekstensi, pastikan pengguna memiliki akses, dan ekstensi serta kebijakan terkait yang dikelola sudah dikonfigurasi dengan benar. Untuk mendapatkan bantuan lebih lanjut terkait penyiapan ekstensi, lihat bagian Panduan deployment ekstensi.

Jenis permintaan sertifikat

Ada dua jenis permintaan sertifikat, yaitu permintaan sertifikat pengguna dan permintaan sertifikat perangkat.

  • Permintaan sertifikat pengguna menghasilkan sertifikat yang diterbitkan untuk pengguna tertentu yang mengirimkan permintaan, bukan keseluruhan perangkat. Sertifikat pengguna hanya berlaku untuk pengguna yang login ke perangkat tersebut, bukan pengguna lain yang mungkin juga menggunakan perangkat.
  • Permintaan sertifikat perangkat menghasilkan sertifikat yang diterbitkan untuk keseluruhan perangkat yang mengirimkan permintaan, bukan hanya pengguna yang mengirimkan permintaan. Sertifikat perangkat berlaku untuk semua pengguna yang termasuk dalam organisasi yang sama di perangkat, yang biasanya diperlukan untuk perangkat yang digunakan dalam sesi tamu terkelola atau mode kios.

Penyediaan sertifikat tanpa kredensial yang dimasukkan pengguna

Anda dapat mengonfigurasi ekstensi pendaftaran sertifikat agar otomatis menyediakan atau memperpanjang sertifikat tanpa mengharuskan pengguna memasukkan kredensial secara manual.

Saat Anda mengonfigurasi salah satu opsi penyediaan atau perpanjangan yang baru, ekstensi akan otomatis mendeteksi jika sertifikat belum tersedia di perangkat atau masa berlakunya akan segera habis. Ini akan memicu notifikasi yang meminta pengguna untuk mendapatkan atau memperpanjang sertifikat. Pengguna harus mengklik notifikasi tersebut, dan ekstensi akan memulai proses guna mendapatkan atau memperpanjang sertifikat. Untuk mengetahui detailnya, lihat bagian Panduan deployment ekstensi.

Mendaftarkan sertifikat

Untuk mendaftarkan sertifikat yang telah dikonfigurasi sebelumnya secara otomatis, pengguna harus:

  1. Mengklik notifikasi Pendaftaran Sertifikat.
  2. (Opsional) Memilih kotak Daftarkan Sertifikat di Seluruh Perangkat untuk meminta sertifikat perangkat. Jika kotak tidak dicentang, sertifikat pengguna akan diminta.
  3. Mengklik Daftar.
Memperpanjang sertifikat

Untuk memperpanjang sertifikat, pengguna hanya perlu mengklik notifikasi Pengingat Perpanjangan Sertifikat.

Penyediaan sertifikat dengan kredensial yang dimasukkan pengguna

Anda dapat mengonfigurasi ekstensi pendaftaran sertifikat agar pengguna dapat menyediakan sertifikat secara manual.

Alur penggunaan utama

Alur penggunaan di ekstensi ini dikelompokkan dalam kategori utama dan sekunder. Alur penggunaan utama, yang dijelaskan di bagian ini, adalah jenis yang umumnya akan ditemui pengguna.

Membuat permintaan sertifikat pengguna

Permintaan sertifikat pengguna adalah permintaan yang seharusnya menghasilkan sertifikat yang diterbitkan untuk pengguna tertentu yang mengirimkan permintaan, bukan keseluruhan perangkat. Sertifikat pengguna hanya berlaku untuk pengguna yang login ke perangkat tersebut, bukan pengguna lain yang mungkin juga menggunakan perangkat.

  1. Klik atau navigasi tab ke kolom Nama pengguna.
  2. Masukkan nama pengguna Anda.
  3. Klik atau navigasi tab ke kolom Sandi.
  4. Masukkan sandi.
  5. Biarkan kotak Seluruh Perangkat tidak dicentang.
Membuat permintaan sertifikat perangkat

Permintaan sertifikat perangkat adalah permintaan yang seharusnya menghasilkan sertifikat yang diterbitkan untuk seluruh perangkat yang mengirim permintaan, bukan hanya pengguna yang mengirim permintaan. Sertifikat perangkat berlaku untuk semua pengguna yang termasuk dalam organisasi yang sama di perangkat, yang biasanya diperlukan untuk perangkat yang digunakan dalam Sesi Publik atau mode kios.

  1. Klik atau navigasi tab ke kolom Nama pengguna.
  2. Masukkan nama pengguna Anda.
  3. Klik atau navigasi tab ke kolom Sandi.
  4. Masukkan sandi.
  5. Centang kotak Seluruh Perangkat.
Mengirim permintaan sertifikat

Terlepas dari jenis permintaan yang dikirim (pengguna atau perangkat), proses untuk mengirim permintaan tetap sama.

  1. Buat permintaan sertifikat pengguna atau perangkat, seperti yang dijelaskan pada langkah di atas.
  2. Klik tombol Daftar.
  3. Klik Daftar.
Berhasil menerima dan mengimpor sertifikat

Setelah permintaan dikirim, hasil yang ideal adalah respons berhasil dari server yang akan menyertakan sertifikat yang diminta.

  1. Kirim Permintaan Sertifikat, seperti yang dijelaskan di atas.
  2. Tunggu hingga respons diterima.
  3. Saat respons diterima, dialog berisi pesan berhasil akan ditampilkan untuk menunjukkan bahwa sertifikat telah diterima dan diimpor.
  4. Pilih Oke dalam dialog, tekan tombol escape, atau klik di luar dialog untuk menutupnya setelah selesai.
Menerima respons error

Setelah permintaan dikirim, terkadang permintaan dapat gagal karena berbagai alasan. Respons error meringkas kegagalan tersebut dan akan menginformasikan masalah yang terjadi kepada pengguna.

  1. Kirim Permintaan Sertifikat, seperti yang dijelaskan di atas.
  2. Tunggu hingga respons diterima.
  3. Saat respons diterima, dialog berisi pesan error akan ditampilkan untuk menunjukkan bahwa terjadi error.
  4. Pilih Oke dalam dialog, tekan tombol escape, atau klik di luar dialog untuk menutupnya setelah selesai.
  5. Jika error dapat diperbaiki (seperti nama pengguna yang tidak valid), pengguna dapat melakukan perbaikan dan mengirim ulang permintaan agar berhasil. Jika tidak dapat diperbaiki (misalnya saat permintaan ditolak aksesnya oleh server), pengguna harus mencari bantuan.

Alur penggunaan sekunder

Alur penggunaan sekunder, yang dijelaskan di bawah ini, jarang terjadi.

Menerima Respons Sertifikat yang Tertunda

Setelah permintaan dikirim, terkadang server dapat menetapkan status permintaan sebagai tertunda agar seseorang dapat meninjaunya secara manual dan menyetujui/menolak permintaan tersebut di lain waktu. Respons tertunda meringkas alur ini dan akan memberi tahu pengguna informasi yang relevan untuk memeriksa status permintaan nanti.

  1. Kirim Permintaan Sertifikat, seperti yang dijelaskan di atas.
  2. Tunggu hingga respons diterima.
  3. Saat respons diterima, dialog berisi pesan tertunda akan ditampilkan untuk menunjukkan bahwa permintaan telah ditetapkan ke status menunggu persetujuan. Dialog tersebut juga akan menampilkan URI pendaftaran dan ID permintaan, yang nantinya diperlukan untuk pemeriksaan.
  4. Salin URI pendaftaran dan ID permintaan di mana saja untuk dibuka nanti.
  5. Pilih Oke dalam dialog, tekan tombol escape, atau klik di luar dialog untuk menutupnya setelah selesai.
Membuka UI Permintaan yang Tertunda

Jika memiliki sertifikat yang tertunda, pengguna mungkin ingin memeriksa status sertifikat sewaktu-waktu. Untuk membuat dan mengirim permintaan sertifikat yang tertunda, pengguna harus membuka UI permintaan yang tertunda.

  1. Klik atau navigasi tab dan pilih tombol Opsi Lainnya.
  2. Dari daftar opsi yang ditampilkan, klik atau navigasi tab ke opsi 'Tampilkan kolom tambahan untuk memeriksa permintaan yang tertunda?'.
  3. Pilih 'Tampilkan kolom tambahan untuk memeriksa permintaan yang tertunda?' untuk mengaktifkan kolom permintaan tertunda agar ditampilkan.
Membuka kembali UI Permintaan Reguler

Jika sebelumnya membuka UI permintaan yang tertunda, pengguna mungkin ingin kembali ke UI reguler sewaktu-waktu.

  1. Klik atau navigasi tab dan pilih tombol Opsi Lainnya.
  2. Dari daftar opsi yang ditampilkan, klik atau navigasi tab ke opsi 'Sembunyikan kolom tambahan untuk memeriksa permintaan yang tertunda?'.
  3. Pilih 'Sembunyikan kolom tambahan untuk memeriksa permintaan yang tertunda?' untuk menonaktifkan kolom permintaan yang tertunda agar tidak ditampilkan.
Membuat Permintaan Pemeriksaan Sertifikat yang Tertunda

Jika memiliki sertifikat yang tertunda, pengguna mungkin ingin memeriksa status sertifikat sewaktu-waktu. Ekstensi memungkinkan proses alur ini serupa dengan proses pembuatan permintaan baru.

  1. Buka UI Permintaan Tertunda, seperti yang dijelaskan di atas.
  2. Klik atau navigasi tab ke kolom Nama pengguna.
  3. Masukkan nama pengguna Anda.
  4. Klik atau navigasi tab ke kolom Sandi.
  5. Masukkan sandi.
  6. Klik atau navigasi tab ke kolom URI Pendaftaran.
  7. Masukkan URI pendaftaran yang ditampilkan dalam respons sertifikat tertunda sebelumnya.
  8. Klik atau navigasi tab ke kolom ID Permintaan.
  9. Masukkan ID permintaan yang ditampilkan dalam respons sertifikat tertunda sebelumnya.
  10. Jika permintaan sertifikat asli ditujukan untuk sertifikat seluruh perangkat, centang kotak Seluruh Perangkat. Jika tidak, biarkan kotak Seluruh Perangkat tidak dicentang.
Mengirim Permintaan Pemeriksaan Sertifikat yang Tertunda

Setelah permintaan pemeriksaan sertifikat yang tertunda dibuat, pengguna harus mengirim permintaan tersebut agar mendapatkan respons. Permintaan pemeriksaan sertifikat yang tertunda dapat menghasilkan respons berhasil, gagal, atau tetap tertunda, yang sesuai dengan alur yang telah dijelaskan di atas.

  1. Buat Permintaan Pemeriksaan Sertifikat yang Tertunda, seperti yang dijelaskan di atas.
  2. Navigasi ke tombol Periksa Status.
  3. Pilih tombol Periksa Status.
Menyalin Log ke Papan Klip

Terkadang jika terjadi error, melihat log lengkap mengenai apa yang terjadi pada ekstensi mungkin dapat membantu asisten atau administrator. Agar pengguna dapat memperoleh log ini, kami memberikan cara yang mudah untuk menyalinnya ke papan klip pengguna.

  1. Klik atau navigasi tab dan pilih tombol Opsi Lainnya.
  2. Dari daftar opsi yang ditampilkan, klik atau navigasi tab ke opsi 'Salin Log ke Papan Klip'.
  3. Pilih 'Salin Log ke Papan Klip' agar log disalin ke papan klip pengguna.
  4. Dari sini, pengguna dapat menempelkan log ini di tempat yang dipilihnya melalui proses normal untuk perangkat pengguna.

Panduan deployment ekstensi

Hanya berlaku untuk Chromebook yang dikelola.

Sebagai administrator, Anda dapat mengizinkan pengguna Chromebook mengakses jaringan yang dilindungi dan resource internal organisasi Anda yang memerlukan sertifikat untuk autentikasi. Instal dan konfigurasikan ekstensi Pendaftaran Sertifikat untuk ChromeOS dari jarak jauh agar pengguna Anda dapat meminta sertifikat pengguna atau sistem di Chromebook.

Atau, Anda dapat menyiapkan penyediaan sertifikat otomatis menggunakan autentikasi Kerberos untuk sertifikat pengguna atau perangkat atau autentikasi akun layanan yang dihosting untuk sertifikat perangkat. Anda juga dapat menetapkan ekstensi untuk memperpanjang sertifikat yang ada tanpa autentikasi tambahan menggunakan perpanjangan berbasis kunci.

Ekstensi ini juga memungkinkan Anda menskalakan peluncuran perangkat ChromeOS dengan mengotomatiskan proses pendaftaran sertifikat Microsoft Active Directory melalui konsol Google Admin.

Sebelum memulai

Untuk mengizinkan pengguna meminta sertifikat digital, Anda memerlukan:

  • Microsoft Windows Server 2008 R2 atau yang lebih baru
  • Microsoft Internet Information Services (IIS) 7.0 atau yang lebih baru
  • Layanan Sertifikat Active Directory (ADCS), yang meliputi:
    • Layanan pendaftaran sertifikat (CES)
    • Kebijakan pendaftaran sertifikat (CEP)
    • Sertifikat yang valid terkait situs ADCS di IIS
    • Endpoint yang terlihat untuk CEP dan CES

Pernyataan penyangkalan

Panduan ini menjelaskan cara kerja produk Google dengan produk pihak ketiga dan konfigurasi yang direkomendasikan Google. Google tidak menyediakan dukungan teknis untuk mengonfigurasi produk pihak ketiga. Google tidak bertanggung jawab atas produk pihak ketiga. Buka situs produk untuk mendapatkan informasi terbaru tentang konfigurasi dan dukungan.

Men-deploy ekstensi

Buka semua   |   Tutup semua

Langkah 1: Instal otomatis ekstensi untuk pengguna Anda
  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluAplikasi & ekstensilaluPengguna & browser.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluAplikasi & ekstensilaluPengguna & browser.

  3. Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  4. Arahkan kursor ke Tambahkan Tambahkan pertanyaan lalu Tambahkan dari Chrome Web Store.
  5. Telusuri dan pilih Pendaftaran Sertifikat untuk ChromeOS. ID ekstensi adalah fhndealchbngfhdoncgcokameljahhog.
  6. Di halaman Pengguna & Browser, pilih ekstensi Pendaftaran Sertifikat untuk ChromeOS.
  7. Di panel sebelah kanan, pada Pengelolaan sertifikat, aktifkan Izinkan akses ke kunci.
  8. Di bagian Kebijakan penginstalan, pilih Instal otomatis atau Instal otomatis + sematkan ke taskbar ChromeOS.
  9. Klik Simpan.
Langkah 2: Setel konfigurasi ekstensi

Buat file yang berisi setelan yang ingin diterapkan pada ekstensi Pendaftaran Sertifikat untuk ChromeOS bagi pengguna. Mulai dengan contoh file ini, lalu ubah kebijakan agar sesuai dengan kebutuhan organisasi atau pengguna Anda. Anda dapat mengedit file JavaScript Object Notation (JSON) menggunakan editor teks.

Catatan: Kebijakan yang berisi nilai default dalam string yang dapat dilihat oleh pengguna akan diterjemahkan dan ditampilkan di perangkat sesuai dengan bahasa lokal pengguna. Anda dapat mengubah string agar sesuai dengan kebutuhan organisasi Anda, tetapi string tidak akan diterjemahkan.

Anda dapat menetapkan kebijakan berikut:

Nama kebijakan Fungsinya

allow_machine_cert_enrollment

Memungkinkan pengguna menginstal sertifikat sistem.

Jika disetel ke "benar", pengguna dapat memilih untuk meminta sertifikat sistem atau pengguna. Jika tidak, mereka hanya dapat meminta sertifikat pengguna.

Defaultnya adalah "salah".

cep_proxy_url

Menentukan endpoint https untuk CEP.

Untuk mendapatkan endpoint:

  1. Di IIS Manager, buka situs CEP.
    Biasanya ada CEP di nama situsnya.
  2. Buka Application Settings.
    Endpoint https untuk CEP tercantum di bagian URI.

Hanya nilai yang dimulai dengan https yang valid. Jika Anda memasukkan nilai yang dimulai dengan https, tetapi tidak cocok dengan Uniform Resource Identifier (URI) di IIS Manager, nilai tersebut akan tetap dianggap valid dan akan digunakan, tetapi kemungkinan besar akan gagal.

Kebijakan ini bersifat wajib.

company_info

Menentukan informasi branding organisasi Anda, seperti nama dan logo.

  • Setel help_url untuk mengarahkan pengguna ke halaman tempat mereka bisa mendapatkan informasi atau dukungan.
  • Jika halaman yang Anda tentukan diblokir untuk pengguna yang tidak memiliki sertifikat, seperti pada permintaan pertama, gunakan help_text untuk menyediakan teks yang berguna bagi mereka.
  • Jika Anda menyetel help_url dan help_text, halaman yang Anda tentukan akan ditampilkan di bawah teks bantuan di perangkat pengguna.

device_cert_request_values

Menentukan nilai yang akan digunakan dalam permintaan penandatanganan sertifikat (CSR) untuk sertifikat perangkat.

Anda dapat menentukan nilai subjek berdasarkan atribut pengguna dan perangkat, bukan menggunakan properti pemohon. Untuk menggunakan CSR kustom, Anda juga harus mengonfigurasi template sertifikat pada certificate authority (CA) untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk CommonName subjek.

Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional.

Untuk perangkat yang menjalankan ChromeOS versi 66 dan yang lebih baru, Anda dapat menggunakan:

  • ${DEVICE_DIRECTORY_ID}—ID direktori perangkat
  • ${USER_EMAIL}—Alamat email pengguna yang login
  • ${USER_DOMAIN}—Nama domain pengguna yang login
  • ${DEVICE_SERIAL_NUMBER}—Nomor seri perangkat
  • ${DEVICE_ASSET_ID}—ID aset yang ditetapkan ke perangkat oleh administrator
  • ${DEVICE_ANNOTATED_LOCATION}—Lokasi yang ditetapkan ke perangkat oleh administrator

Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong.

Anda dapat membuat placeholder bersusun. Misalnya, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} diganti dengan nomor seri perangkat jika ID aset tidak tersedia.

device_enrollment_templates

Daftar nama template sertifikat yang cocok sesuai dengan urutan prioritas untuk alur pendaftaran pengguna. Ekstensi akan menelusuri daftar ini untuk menemukan template sertifikat yang cocok. Template sertifikat pertama yang cocok akan digunakan. Jika terjadi error, ekstensi tidak akan mencoba lagi dengan template sertifikat lainnya.

Kebijakan ini bersifat wajib. Daftar ini harus memiliki setidaknya satu nilai dalam daftar.

Dari Microsoft Management Console (MMC) CA, gunakan Nama template, bukan Nama tampilan template.

Defaultnya adalah ChromeOSWirelessUser.

enable_auto_enrollment

Mengontrol apakah ekstensi secara otomatis memulai pendaftaran. Jika disetel ke "salah", ekstensi akan menunggu hingga pengguna mencoba menghubungkan ke jaringan EAP-TLS.

Defaultnya adalah "salah".
log_level

Menentukan tingkat detail di log ekstensi yang dikirim ke konsol JavaScript di Chrome.

NONE (default)—Tidak ada yang dicatat ke konsol.

ERROR—Hanya masing-masing error yang dicatat ke konsol.

WARNING—Masing-masing peringatan dan error dicatat ke konsol.

INFO—Masing-masing peringatan dan error beserta informasi tindakan yang relevan dicatat ke konsol.

DEBUG—Semuanya dicatat ke konsol. Untuk versi awal, setelan ini disarankan untuk memecahkan masalah yang mungkin terjadi. Di menu Opsi Lainnya, Anda dapat menyalin semua log ke papan klip secara otomatis.

Ada 2 cara yang dapat digunakan pengguna untuk membuka konsol developer web di Chrome agar dapat mengakses log Chrome di perangkat mereka:

  • Tekan Ctrl+Shift+i.
  • Klik Fitur lainnyalaluDeveloper tools.

Kebijakan ini bersifat wajib.
placeholder_values

Menentukan nama pengguna, sandi, URI, ID permintaan, dan placeholder header. Informasi ini akan membantu memandu pengguna saat login.

  • Kolom Username, Password, URI, dan RequestID ditampilkan pada kolom masukan untuk menampilkan fungsi masing-masing kolom masukan.
  • Kolom Header digunakan untuk judul halaman.
  • Ada nilai khusus untuk kolom Username, Password, dan Header yang memungkinkan pelanggan menggunakan nama default yang diinternasionalkan.
    • managed_username_placeholder—Nama pengguna
    • managed_password_placeholder—Sandi
    • managed_login_header—Pendaftaran sertifikat
  • Jika organisasi Anda menggunakan istilah lain, seperti frasa sandi sebagai ganti sandi, Anda dapat mengubah nilainya. Namun, nilai baru tidak akan diterjemahkan.
renew_hours_before_expiry

Menentukan durasi, dalam jam, sebelum habisnya masa berlaku sertifikat untuk memberi tahu pengguna tentang habisnya masa berlaku.

 

Defaultnya adalah 120.
renew_reminder_interval

Mengontrol seberapa sering, dalam jam, pengguna akan diberi notifikasi sebelum masa berlaku sertifikat habis.

Setelah mendapatkan notifikasi awal, jika pengguna tidak memperpanjang sertifikat dan tidak memilih untuk mengabaikan pengingat, dia akan menerima notifikasi lagi setelah jumlah jam yang ditetapkan.

Misalnya, jika Anda menetapkan renew_hours_before_expiry ke 120 serta renew_reminder_interval ke 24, dan pengguna selalu memilih untuk menerima pengingat setelahnya, pengguna akan menerima 5 notifikasi perpanjangan, satu notifikasi per hari, hingga masa berlaku sertifikat berakhir.

Defaultnya adalah 24.

request_timeout_seconds

Durasi waktu, dalam detik, sebelum panggilan ke CEP atau CES berakhir.

Defaultnya adalah 20.

signature_algo

Mengontrol algoritme tanda tangan yang digunakan ekstensi untuk menandatangani permintaan sertifikat. Opsinya adalah:

  • SHA1 (tidak direkomendasikan)—Algoritme lemah yang dapat membahayakan keamanan pengguna Anda
  • SHA256
  • SHA512 (default)

user_cert_request_values

Menentukan nilai yang digunakan dalam permintaan penandatanganan sertifikat (CSR) untuk sertifikat pengguna.

Anda dapat menentukan nilai subjek berdasarkan atribut pengguna dan perangkat, bukan menggunakan properti pemohon. Untuk menggunakan CSR kustom, Anda juga harus mengonfigurasi template sertifikat pada CA untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk CommonName subjek.

Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional.

  • ${DEVICE_DIRECTORY_ID}—ID direktori perangkat

  • ${USER_EMAIL}—Alamat email pengguna yang login

  • ${USER_DOMAIN}—Nama domain pengguna yang login

  • ${DEVICE_SERIAL_NUMBER}—Nomor seri perangkat

  • ${DEVICE_ASSET_ID}—ID aset yang ditetapkan ke perangkat oleh administrator

  • ${DEVICE_ANNOTATED_LOCATION}—Lokasi yang ditetapkan ke perangkat oleh administrator

  • ${USER_ID}—Bagian awal alamat email pengguna yang login (sebelum tanda ‘@’)

Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong.

Anda dapat membuat placeholder bersusun. Misalnya, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} diganti dengan nomor seri perangkat jika ID aset tidak tersedia.

user_enrollment_templates

Daftar nama template sertifikat yang cocok sesuai dengan urutan prioritas untuk alur pendaftaran pengguna. Ekstensi akan menelusuri daftar ini untuk menemukan template sertifikat yang cocok. Template sertifikat pertama yang cocok akan digunakan. Jika terjadi error, ekstensi tidak akan mencoba lagi dengan template sertifikat lainnya.

Kebijakan ini bersifat wajib. Daftar ini harus memiliki setidaknya satu nilai dalam daftar.

Dari MMC untuk CA, gunakan Template name, bukan Template display name.

Defaultnya adalah ChromeOSWirelessUser.

Mengonfigurasi penyediaan sertifikat dengan atau tanpa kredensial yang dimasukkan pengguna

Secara default, ekstensi pendaftaran sertifikat disiapkan untuk memungkinkan pengguna menyediakan sertifikat secara manual dengan memberikan kredensial mereka saat mencoba mendapatkan sertifikat.

Anda bisa memastikan pengguna dapat menyediakan atau memperpanjang sertifikat secara otomatis tanpa harus memasukkan kredensial secara manual menggunakan ekstensi ChromeOS. Ekstensi tersebut dapat meminta sertifikat pengguna dan perangkat menggunakan autentikasi Kerberos jika tiket Kerberos pengguna tersedia di perangkat. Ekstensi juga dapat meminta sertifikat perangkat hanya menggunakan akun layanan.

Autentikasi Kerberos

Sebelum memulai

  • Pengguna ChromeOS harus memiliki tiket Kerberos di perangkat.
  • Akun pengguna Active Directory yang terkait dengan tiket Kerberos harus memiliki izin untuk meminta sertifikat menggunakan Template Sertifikat yang dikonfigurasi.
  • Endpoint pendaftaran harus tercantum dalam kebijakan Chrom OS Server autentikasi terintegrasi. Untuk mengetahui detailnya, lihat kebijakan di Daftar Kebijakan Chrome.

Mengonfigurasi ekstensi

Tetapkan nilai kebijakan ekstensi `client_authentication` ke `kerberos`.

Autentikasi akun layanan yang dihosting

Anda dapat menetapkan ekstensi untuk meminta sertifikat perangkat menggunakan akun layanan. Kredensial akun layanan dihosting di server web di jaringan lokal Anda.

Peringatan: Jika penyerang mendapatkan akses ke server web yang menghosting kredensial dan kebijakan ekstensi di perangkat, ada kemungkinan dia dapat mengekstrak kredensial akun layanan.

Sebaiknya batasi akses ke server web yang menghosting kredensial akun layanan ke jaringan penyediaan yang hanya digunakan untuk penyediaan perangkat ChromeOS awal.

Sebelum memulai

  • Anda harus memiliki server web di jaringan lokal yang dapat menangani permintaan HTTPS.
  • ChromeOS harus memercayai sertifikat server web tersebut. Jika server web menggunakan sertifikat yang dikeluarkan oleh CA yang ditandatangani sendiri, Anda dapat mengonfigurasi sertifikat CA agar dipercaya di konsol Admin.

Langkah 1: Buat sandi yang disamarkan

  1. Buka ekstensi.
  2. Pilih LainnyalaluAlat Penyamaran Sandi.
  3. Masukkan sandi akun layanan.
  4. Pilih Samarkan.
  5. Salin penyamaran dan sandi yang disamarkan ke file teks.

Langkah 2: Simpan kredensial di server web internal

  1. Konfigurasikan server web untuk memproses file JSON yang berisi hal berikut:

{

  ‘username’: ‘<nama pengguna akun layanan>’,

  ‘maskedPassword’: ‘<salin dan tempel sandi yang disamarkan>’

}

  1. Salin URL yang digunakan web server untuk menghosting kredensial ke file teks.

Langkah 3: Konfigurasikan kebijakan ekstensi

  1. Tetapkan variabel kebijakan ekstensi 'service_account_host' ke URL yang Anda salin di atas.
  2. Tetapkan variabel kebijakan ekstensi 'service_account_host_password_mask' ke penyamaran yang Anda salin di atas.

Perpanjangan sertifikat otomatis

Anda dapat menetapkan ekstensi untuk memperpanjang sertifikat yang ada tanpa autentikasi tambahan menggunakan perpanjangan berbasis kunci.

Sebelum memulai

Endpoint Layanan Pendaftaran Sertifikat (CES) ADCS yang mendukung perpanjangan berbasis kunci untuk Template Sertifikat yang dikonfigurasi harus tersedia. Untuk mengetahui detailnya, lihat Mengonfigurasi Layanan Web Pendaftaran Sertifikat untuk perpanjangan sertifikat berbasis kunci pada port kustom.

Mengonfigurasi ekstensi

  • Tetapkan nilai kebijakan ekstensi `use_key_based_renewal` ke benar.
  • Tetapkan nilai kebijakan ekstensi 'ces_renewal_url' ke URL endpoint Layanan Pendaftaran Sertifikat (CES) yang mendukung perpanjangan berbasis kunci.
Langkah 3: Validasi file JSON
Gunakan fitur pilihan Anda untuk memvalidasi file konfigurasi guna memastikan tidak ada error dalam kode JSON. Jika Anda menemukan error, periksa sintaks dan struktur file konfigurasi, perbaiki, lalu validasi lagi.
Langkah 4: Terapkan kebijakan ekstensi
Untuk menetapkan setelan bagi grup pengguna tertentu atau browser Chrome yang terdaftar, masukkan akun pengguna atau browser di grup atau unit organisasi. Hanya akun pengguna yang dapat ditambahkan ke grup. Untuk mengetahui detailnya, lihat Grup dan Tambahkan unit organisasi.
  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluChromelaluAplikasi & ekstensilaluPengguna & browser.

    Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu lalu Browser ChromelaluAplikasi & ekstensilaluPengguna & browser.

  3. (Khusus pengguna) Untuk menerapkan setelan ke grup, lakukan tindakan berikut:
    1. Pilih Grup.
    2. Pilih grup tempat Anda ingin menerapkan setelan.
  4. Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
  5. Temukan dan pilih ekstensi Pendaftaran Sertifikat untuk ChromeOS.
  6. Di panel sebelah kanan, pada Kebijakan untuk ekstensi, masukkan data JSON yang Anda buat pada Langkah 2 dalam kolom teks.
  7. Di bagian Kebijakan penginstalan, pilih Instal otomatis atau Instal otomatis + sematkan ke taskbar ChromeOS.
  8. Klik Simpan.
Langkah 5: (Opsional) Konfigurasikan jaringan Wi-Fi untuk mendaftar dengan ekstensi
  1. Login ke Konsol Google Admin.

    Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).

  2. Di konsol Admin, buka Menu lalu PerangkatlaluJaringan.
  3. Klik Wi-Fi.
  4. Tambahkan jaringan EAP-TLS baru.
    Untuk mengetahui detail cara menambahkan konfigurasi jaringan Wi-Fi, lihat Mengelola jaringan.
  5. Arahkan jaringan ke ekstensi pendaftaran. Di kolom URL pendaftaran klien, masukkan chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Catatan: URL ekstensi pendaftaran dapat diakses di browser Chrome meskipun jika tidak ada jaringan yang dikonfigurasi untuk mendaftar di URL ini. Penyiapan ini memungkinkan Anda menguji URL secara manual sebelum mengonfigurasi jaringan apa pun atau mendaftarkan sertifikat untuk penggunaan selain pada jaringan EAP-TLS, seperti VPN berbasis sertifikat. Beri tahu pengguna untuk membuka URL di browser dan melewati langkah konfigurasi jaringan.

Langkah 6: Pastikan kebijakan telah diterapkan
Setelah Anda menerapkan ekstensi Pendaftaran Sertifikat untuk ChromeOS, pengguna harus memulai ulang perangkat mereka agar setelan diterapkan. Anda dapat memeriksa perangkat pengguna untuk memastikan bahwa kebijakan tersebut sudah diterapkan dengan benar.
  1. Pada perangkat ChromeOS yang dikelola, buka chrome://policy.
  2. Klik Muat ulang kebijakan.
  3. Scroll ke Pendaftaran Sertifikat untuk ChromeOS.
  4. Untuk setiap kebijakan, pastikan kolom nilai sama dengan yang Anda setel dalam file JSON.

Memecahkan masalah permintaan sertifikat digital

Hanya berlaku untuk Chromebook yang dikelola.

Berikut cara menyelesaikan masalah yang mungkin Anda alami saat pengguna meminta sertifikat digital.

Pesan error di UI ekstensi

Tidak dapat menemukan token sistem yang valid. Perangkat Anda mungkin tidak terdaftar di domain, atau Anda mungkin tidak memiliki hak untuk meminta sertifikat sistem.

Pastikan ekstensi Pendaftaran Sertifikat untuk ChromeOS diinstal otomatis bagi pengguna Anda.

Pesan error di log konsol Chrome

Tidak dapat mendaftar ke URI yang ditentukan.

Periksa izin untuk pengguna yang diautentikasi yang ditetapkan dalam template CA. Kemudian, pastikan pengguna yang relevan memiliki hak istimewa yang sesuai.

Ekstensi meminta endpoint pendaftaran yang salah.

Periksa log konsol ekstensi Pendaftaran Sertifikat untuk ChromeOS guna memastikan permintaan URL sudah benar.
  • Permintaan URL yang benar—https://userNameGoesHere:passWordGoesHere@yourCEPServiceUriGoesHere
  • Permintaan URL yang salah—chrome-extension://userNameGoesHere:passWordGoesHere@fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html

Pengguna mungkin mengalami masalah permintaan URL saat pertama kali menginstal ekstensi Pendaftaran Sertifikat untuk ChromeOS, dan mereka tidak memiliki informasi status sebelumnya. Atau, masalah dapat terjadi saat ekstensi diperbarui dan kehilangan informasi status sebelumnya.

Jika Anda ingin memasukkan kebijakan baru atau yang diperbarui ke ekstensi, masukkan kebijakan kosong terlebih dahulu agar semua nilai kebijakan saat ini dibersihkan dan disetel ulang. Kemudian, masukkan kebijakan yang diinginkan.

  1. Masukkan kebijakan kosong.
  2. Pastikan kebijakan diterapkan di perangkat pengguna.
  3. Masukkan kebijakan yang diinginkan.
  4. Pastikan kebijakan diterapkan di perangkat pengguna.
  5. Muat ulang ekstensi Pendaftaran Sertifikat untuk ChromeOS.

Tidak tersedia URI pendaftaran untuk mendaftar.

Dalam sebagian besar kasus, Kebijakan Pendaftaran Sertifikat (CEP) tidak dapat menemukan template yang dikonfigurasi. Periksa CA untuk mengetahui penyebab yang lebih umum:
  • Pastikan Anda mengonfigurasi layanan peran untuk Pendaftaran Sertifikat agar menerima autentikasi nama pengguna dan sandi (bukan Kerberos, misalnya).
  • Pastikan konfigurasi ekstensi Anda ditetapkan untuk menggunakan template CA yang benar.
  • Pastikan nilai yang dimasukkan ke kebijakan user_enrollment_templates dalam file JSON sama dengan Nama template CA, bukan Nama tampilan template.
  • Periksa izin untuk pengguna yang diautentikasi yang ditetapkan dalam template CA. Kemudian, pastikan pengguna yang relevan memiliki hak istimewa yang sesuai.

Google serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan terkait.

Apakah ini membantu?

Bagaimana cara meningkatkannya?
true
Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
16589056192216767464
true
Pusat Bantuan Penelusuran
true
true
true
true
true
410864
false
false