Sebagai administrator, Anda dapat menggunakan Pendaftaran Sertifikat untuk ekstensi ChromeOS agar pengguna dapat memperoleh sertifikat pengguna atau perangkat baik secara manual maupun otomatis. Anda juga dapat menyiapkan perpanjangan otomatis untuk sertifikat lama yang masa berlakunya akan segera berakhir.
Sebelum menggunakan ekstensi, pastikan pengguna memiliki akses, dan ekstensi serta kebijakan terkait yang dikelola sudah dikonfigurasi dengan benar. Untuk mendapatkan bantuan lebih lanjut terkait penyiapan ekstensi, lihat bagian Panduan deployment ekstensi.
Jenis permintaan sertifikat
Ada dua jenis permintaan sertifikat, yaitu permintaan sertifikat pengguna dan permintaan sertifikat perangkat.
- Permintaan sertifikat pengguna menghasilkan sertifikat yang diterbitkan untuk pengguna tertentu yang mengirimkan permintaan, bukan keseluruhan perangkat. Sertifikat pengguna hanya berlaku untuk pengguna yang login ke perangkat tersebut, bukan pengguna lain yang mungkin juga menggunakan perangkat.
- Permintaan sertifikat perangkat menghasilkan sertifikat yang diterbitkan untuk keseluruhan perangkat yang mengirimkan permintaan, bukan hanya pengguna yang mengirimkan permintaan. Sertifikat perangkat berlaku untuk semua pengguna yang termasuk dalam organisasi yang sama di perangkat, yang biasanya diperlukan untuk perangkat yang digunakan dalam sesi tamu terkelola atau mode kios.
Penyediaan sertifikat tanpa kredensial yang dimasukkan pengguna
Anda dapat mengonfigurasi ekstensi pendaftaran sertifikat agar otomatis menyediakan atau memperpanjang sertifikat tanpa mengharuskan pengguna memasukkan kredensial secara manual.
Saat Anda mengonfigurasi salah satu opsi penyediaan atau perpanjangan yang baru, ekstensi akan otomatis mendeteksi jika sertifikat belum tersedia di perangkat atau masa berlakunya akan segera habis. Ini akan memicu notifikasi yang meminta pengguna untuk mendapatkan atau memperpanjang sertifikat. Pengguna harus mengklik notifikasi tersebut, dan ekstensi akan memulai proses guna mendapatkan atau memperpanjang sertifikat. Untuk mengetahui detailnya, lihat bagian Panduan deployment ekstensi.
Mendaftarkan sertifikatUntuk mendaftarkan sertifikat yang telah dikonfigurasi sebelumnya secara otomatis, pengguna harus:
- Mengklik notifikasi Pendaftaran Sertifikat.
- (Opsional) Memilih kotak Daftarkan Sertifikat di Seluruh Perangkat untuk meminta sertifikat perangkat. Jika kotak tidak dicentang, sertifikat pengguna akan diminta.
- Mengklik Daftar.
Untuk memperpanjang sertifikat, pengguna hanya perlu mengklik notifikasi Pengingat Perpanjangan Sertifikat.
Penyediaan sertifikat dengan kredensial yang dimasukkan pengguna
Anda dapat mengonfigurasi ekstensi pendaftaran sertifikat agar pengguna dapat menyediakan sertifikat secara manual.
Alur penggunaan utama
Alur penggunaan di ekstensi ini dikelompokkan dalam kategori utama dan sekunder. Alur penggunaan utama, yang dijelaskan di bagian ini, adalah jenis yang umumnya akan ditemui pengguna.
Membuat permintaan sertifikat penggunaPermintaan sertifikat pengguna adalah permintaan yang seharusnya menghasilkan sertifikat yang diterbitkan untuk pengguna tertentu yang mengirimkan permintaan, bukan keseluruhan perangkat. Sertifikat pengguna hanya berlaku untuk pengguna yang login ke perangkat tersebut, bukan pengguna lain yang mungkin juga menggunakan perangkat.
- Klik atau navigasi tab ke kolom Nama pengguna.
- Masukkan nama pengguna Anda.
- Klik atau navigasi tab ke kolom Sandi.
- Masukkan sandi.
- Biarkan kotak Seluruh Perangkat tidak dicentang.
Permintaan sertifikat perangkat adalah permintaan yang seharusnya menghasilkan sertifikat yang diterbitkan untuk seluruh perangkat yang mengirim permintaan, bukan hanya pengguna yang mengirim permintaan. Sertifikat perangkat berlaku untuk semua pengguna yang termasuk dalam organisasi yang sama di perangkat, yang biasanya diperlukan untuk perangkat yang digunakan dalam Sesi Publik atau mode kios.
- Klik atau navigasi tab ke kolom Nama pengguna.
- Masukkan nama pengguna Anda.
- Klik atau navigasi tab ke kolom Sandi.
- Masukkan sandi.
- Centang kotak Seluruh Perangkat.
Terlepas dari jenis permintaan yang dikirim (pengguna atau perangkat), proses untuk mengirim permintaan tetap sama.
- Buat permintaan sertifikat pengguna atau perangkat, seperti yang dijelaskan pada langkah di atas.
- Klik tombol Daftar.
- Klik Daftar.
Setelah permintaan dikirim, hasil yang ideal adalah respons berhasil dari server yang akan menyertakan sertifikat yang diminta.
- Kirim Permintaan Sertifikat, seperti yang dijelaskan di atas.
- Tunggu hingga respons diterima.
- Saat respons diterima, dialog berisi pesan berhasil akan ditampilkan untuk menunjukkan bahwa sertifikat telah diterima dan diimpor.
- Pilih Oke dalam dialog, tekan tombol escape, atau klik di luar dialog untuk menutupnya setelah selesai.
Setelah permintaan dikirim, terkadang permintaan dapat gagal karena berbagai alasan. Respons error meringkas kegagalan tersebut dan akan menginformasikan masalah yang terjadi kepada pengguna.
- Kirim Permintaan Sertifikat, seperti yang dijelaskan di atas.
- Tunggu hingga respons diterima.
- Saat respons diterima, dialog berisi pesan error akan ditampilkan untuk menunjukkan bahwa terjadi error.
- Pilih Oke dalam dialog, tekan tombol escape, atau klik di luar dialog untuk menutupnya setelah selesai.
- Jika error dapat diperbaiki (seperti nama pengguna yang tidak valid), pengguna dapat melakukan perbaikan dan mengirim ulang permintaan agar berhasil. Jika tidak dapat diperbaiki (misalnya saat permintaan ditolak aksesnya oleh server), pengguna harus mencari bantuan.
Alur penggunaan sekunder
Alur penggunaan sekunder, yang dijelaskan di bawah ini, jarang terjadi.
Menerima Respons Sertifikat yang TertundaSetelah permintaan dikirim, terkadang server dapat menetapkan status permintaan sebagai tertunda agar seseorang dapat meninjaunya secara manual dan menyetujui/menolak permintaan tersebut di lain waktu. Respons tertunda meringkas alur ini dan akan memberi tahu pengguna informasi yang relevan untuk memeriksa status permintaan nanti.
- Kirim Permintaan Sertifikat, seperti yang dijelaskan di atas.
- Tunggu hingga respons diterima.
- Saat respons diterima, dialog berisi pesan tertunda akan ditampilkan untuk menunjukkan bahwa permintaan telah ditetapkan ke status menunggu persetujuan. Dialog tersebut juga akan menampilkan URI pendaftaran dan ID permintaan, yang nantinya diperlukan untuk pemeriksaan.
- Salin URI pendaftaran dan ID permintaan di mana saja untuk dibuka nanti.
- Pilih Oke dalam dialog, tekan tombol escape, atau klik di luar dialog untuk menutupnya setelah selesai.
Jika memiliki sertifikat yang tertunda, pengguna mungkin ingin memeriksa status sertifikat sewaktu-waktu. Untuk membuat dan mengirim permintaan sertifikat yang tertunda, pengguna harus membuka UI permintaan yang tertunda.
- Klik atau navigasi tab dan pilih tombol Opsi Lainnya.
- Dari daftar opsi yang ditampilkan, klik atau navigasi tab ke opsi 'Tampilkan kolom tambahan untuk memeriksa permintaan yang tertunda?'.
- Pilih 'Tampilkan kolom tambahan untuk memeriksa permintaan yang tertunda?' untuk mengaktifkan kolom permintaan tertunda agar ditampilkan.
Jika sebelumnya membuka UI permintaan yang tertunda, pengguna mungkin ingin kembali ke UI reguler sewaktu-waktu.
- Klik atau navigasi tab dan pilih tombol Opsi Lainnya.
- Dari daftar opsi yang ditampilkan, klik atau navigasi tab ke opsi 'Sembunyikan kolom tambahan untuk memeriksa permintaan yang tertunda?'.
- Pilih 'Sembunyikan kolom tambahan untuk memeriksa permintaan yang tertunda?' untuk menonaktifkan kolom permintaan yang tertunda agar tidak ditampilkan.
Jika memiliki sertifikat yang tertunda, pengguna mungkin ingin memeriksa status sertifikat sewaktu-waktu. Ekstensi memungkinkan proses alur ini serupa dengan proses pembuatan permintaan baru.
- Buka UI Permintaan Tertunda, seperti yang dijelaskan di atas.
- Klik atau navigasi tab ke kolom Nama pengguna.
- Masukkan nama pengguna Anda.
- Klik atau navigasi tab ke kolom Sandi.
- Masukkan sandi.
- Klik atau navigasi tab ke kolom URI Pendaftaran.
- Masukkan URI pendaftaran yang ditampilkan dalam respons sertifikat tertunda sebelumnya.
- Klik atau navigasi tab ke kolom ID Permintaan.
- Masukkan ID permintaan yang ditampilkan dalam respons sertifikat tertunda sebelumnya.
- Jika permintaan sertifikat asli ditujukan untuk sertifikat seluruh perangkat, centang kotak Seluruh Perangkat. Jika tidak, biarkan kotak Seluruh Perangkat tidak dicentang.
Setelah permintaan pemeriksaan sertifikat yang tertunda dibuat, pengguna harus mengirim permintaan tersebut agar mendapatkan respons. Permintaan pemeriksaan sertifikat yang tertunda dapat menghasilkan respons berhasil, gagal, atau tetap tertunda, yang sesuai dengan alur yang telah dijelaskan di atas.
- Buat Permintaan Pemeriksaan Sertifikat yang Tertunda, seperti yang dijelaskan di atas.
- Navigasi ke tombol Periksa Status.
- Pilih tombol Periksa Status.
Terkadang jika terjadi error, melihat log lengkap mengenai apa yang terjadi pada ekstensi mungkin dapat membantu asisten atau administrator. Agar pengguna dapat memperoleh log ini, kami memberikan cara yang mudah untuk menyalinnya ke papan klip pengguna.
- Klik atau navigasi tab dan pilih tombol Opsi Lainnya.
- Dari daftar opsi yang ditampilkan, klik atau navigasi tab ke opsi 'Salin Log ke Papan Klip'.
- Pilih 'Salin Log ke Papan Klip' agar log disalin ke papan klip pengguna.
- Dari sini, pengguna dapat menempelkan log ini di tempat yang dipilihnya melalui proses normal untuk perangkat pengguna.
Panduan deployment ekstensi
Hanya berlaku untuk Chromebook yang dikelola.
Sebagai administrator, Anda dapat mengizinkan pengguna Chromebook mengakses jaringan yang dilindungi dan resource internal organisasi Anda yang memerlukan sertifikat untuk autentikasi. Instal dan konfigurasikan ekstensi Pendaftaran Sertifikat untuk ChromeOS dari jarak jauh agar pengguna Anda dapat meminta sertifikat pengguna atau sistem di Chromebook.
Atau, Anda dapat menyiapkan penyediaan sertifikat otomatis menggunakan autentikasi Kerberos untuk sertifikat pengguna atau perangkat atau autentikasi akun layanan yang dihosting untuk sertifikat perangkat. Anda juga dapat menetapkan ekstensi untuk memperpanjang sertifikat yang ada tanpa autentikasi tambahan menggunakan perpanjangan berbasis kunci.
Ekstensi ini juga memungkinkan Anda menskalakan peluncuran perangkat ChromeOS dengan mengotomatiskan proses pendaftaran sertifikat Microsoft Active Directory melalui konsol Google Admin.
Sebelum memulai
Untuk mengizinkan pengguna meminta sertifikat digital, Anda memerlukan:
- Microsoft Windows Server 2008 R2 atau yang lebih baru
- Microsoft Internet Information Services (IIS) 7.0 atau yang lebih baru
- Layanan Sertifikat Active Directory (ADCS), yang meliputi:
- Layanan pendaftaran sertifikat (CES)
- Kebijakan pendaftaran sertifikat (CEP)
- Sertifikat yang valid terkait situs ADCS di IIS
- Endpoint yang terlihat untuk CEP dan CES
Pernyataan penyangkalan
Panduan ini menjelaskan cara kerja produk Google dengan produk pihak ketiga dan konfigurasi yang direkomendasikan Google. Google tidak menyediakan dukungan teknis untuk mengonfigurasi produk pihak ketiga. Google tidak bertanggung jawab atas produk pihak ketiga. Buka situs produk untuk mendapatkan informasi terbaru tentang konfigurasi dan dukungan.
Men-deploy ekstensi
Langkah 1: Instal otomatis ekstensi untuk pengguna Anda-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu PerangkatChromeAplikasi & ekstensiPengguna & browser.
Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu Browser ChromeAplikasi & ekstensiPengguna & browser.
- Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
- Arahkan kursor ke Tambahkan Tambahkan dari Chrome Web Store.
- Telusuri dan pilih Pendaftaran Sertifikat untuk ChromeOS. ID ekstensi adalah fhndealchbngfhdoncgcokameljahhog.
- Di halaman Pengguna & Browser, pilih ekstensi Pendaftaran Sertifikat untuk ChromeOS.
- Di panel sebelah kanan, pada Pengelolaan sertifikat, aktifkan Izinkan akses ke kunci.
- Di bagian Kebijakan penginstalan, pilih Instal otomatis atau Instal otomatis + sematkan ke taskbar ChromeOS.
- Klik Simpan.
Buat file yang berisi setelan yang ingin diterapkan pada ekstensi Pendaftaran Sertifikat untuk ChromeOS bagi pengguna. Mulai dengan contoh file ini, lalu ubah kebijakan agar sesuai dengan kebutuhan organisasi atau pengguna Anda. Anda dapat mengedit file JavaScript Object Notation (JSON) menggunakan editor teks.
Catatan: Kebijakan yang berisi nilai default dalam string yang dapat dilihat oleh pengguna akan diterjemahkan dan ditampilkan di perangkat sesuai dengan bahasa lokal pengguna. Anda dapat mengubah string agar sesuai dengan kebutuhan organisasi Anda, tetapi string tidak akan diterjemahkan.
Anda dapat menetapkan kebijakan berikut:
Nama kebijakan | Fungsinya |
---|---|
allow_machine_cert_enrollment |
Memungkinkan pengguna menginstal sertifikat sistem. Jika disetel ke "benar", pengguna dapat memilih untuk meminta sertifikat sistem atau pengguna. Jika tidak, mereka hanya dapat meminta sertifikat pengguna. Defaultnya adalah "salah". |
cep_proxy_url |
Menentukan endpoint https untuk CEP. Untuk mendapatkan endpoint:
Hanya nilai yang dimulai dengan https yang valid. Jika Anda memasukkan nilai yang dimulai dengan https, tetapi tidak cocok dengan Uniform Resource Identifier (URI) di IIS Manager, nilai tersebut akan tetap dianggap valid dan akan digunakan, tetapi kemungkinan besar akan gagal. Kebijakan ini bersifat wajib. |
company_info |
Menentukan informasi branding organisasi Anda, seperti nama dan logo.
|
device_cert_request_values |
Menentukan nilai yang akan digunakan dalam permintaan penandatanganan sertifikat (CSR) untuk sertifikat perangkat. Anda dapat menentukan nilai subjek berdasarkan atribut pengguna dan perangkat, bukan menggunakan properti pemohon. Untuk menggunakan CSR kustom, Anda juga harus mengonfigurasi template sertifikat pada certificate authority (CA) untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional. Untuk perangkat yang menjalankan ChromeOS versi 66 dan yang lebih baru, Anda dapat menggunakan:
Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong. Anda dapat membuat placeholder bersusun. Misalnya, |
device_enrollment_templates |
Daftar nama template sertifikat yang cocok sesuai dengan urutan prioritas untuk alur pendaftaran pengguna. Ekstensi akan menelusuri daftar ini untuk menemukan template sertifikat yang cocok. Template sertifikat pertama yang cocok akan digunakan. Jika terjadi error, ekstensi tidak akan mencoba lagi dengan template sertifikat lainnya. Kebijakan ini bersifat wajib. Daftar ini harus memiliki setidaknya satu nilai dalam daftar. Dari Microsoft Management Console (MMC) CA, gunakan Nama template, bukan Nama tampilan template. Defaultnya adalah ChromeOSWirelessUser. |
enable_auto_enrollment |
Mengontrol apakah ekstensi secara otomatis memulai pendaftaran. Jika disetel ke "salah", ekstensi akan menunggu hingga pengguna mencoba menghubungkan ke jaringan EAP-TLS. Defaultnya adalah "salah". |
log_level |
Menentukan tingkat detail di log ekstensi yang dikirim ke konsol JavaScript di Chrome. NONE (default)—Tidak ada yang dicatat ke konsol. ERROR—Hanya masing-masing error yang dicatat ke konsol. WARNING—Masing-masing peringatan dan error dicatat ke konsol. INFO—Masing-masing peringatan dan error beserta informasi tindakan yang relevan dicatat ke konsol. DEBUG—Semuanya dicatat ke konsol. Untuk versi awal, setelan ini disarankan untuk memecahkan masalah yang mungkin terjadi. Di menu Opsi Lainnya, Anda dapat menyalin semua log ke papan klip secara otomatis. Ada 2 cara yang dapat digunakan pengguna untuk membuka konsol developer web di Chrome agar dapat mengakses log Chrome di perangkat mereka:
Kebijakan ini bersifat wajib. |
placeholder_values |
Menentukan nama pengguna, sandi, URI, ID permintaan, dan placeholder header. Informasi ini akan membantu memandu pengguna saat login.
|
renew_hours_before_expiry |
Menentukan durasi, dalam jam, sebelum habisnya masa berlaku sertifikat untuk memberi tahu pengguna tentang habisnya masa berlaku.
Defaultnya adalah 120. |
renew_reminder_interval |
Mengontrol seberapa sering, dalam jam, pengguna akan diberi notifikasi sebelum masa berlaku sertifikat habis. Setelah mendapatkan notifikasi awal, jika pengguna tidak memperpanjang sertifikat dan tidak memilih untuk mengabaikan pengingat, dia akan menerima notifikasi lagi setelah jumlah jam yang ditetapkan. Misalnya, jika Anda menetapkan renew_hours_before_expiry ke 120 serta renew_reminder_interval ke 24, dan pengguna selalu memilih untuk menerima pengingat setelahnya, pengguna akan menerima 5 notifikasi perpanjangan, satu notifikasi per hari, hingga masa berlaku sertifikat berakhir. Defaultnya adalah 24. |
request_timeout_seconds |
Durasi waktu, dalam detik, sebelum panggilan ke CEP atau CES berakhir. Defaultnya adalah 20. |
signature_algo |
Mengontrol algoritme tanda tangan yang digunakan ekstensi untuk menandatangani permintaan sertifikat. Opsinya adalah:
|
user_cert_request_values |
Menentukan nilai yang digunakan dalam permintaan penandatanganan sertifikat (CSR) untuk sertifikat pengguna. Anda dapat menentukan nilai subjek berdasarkan atribut pengguna dan perangkat, bukan menggunakan properti pemohon. Untuk menggunakan CSR kustom, Anda juga harus mengonfigurasi template sertifikat pada CA untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional.
Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong. Anda dapat membuat placeholder bersusun. Misalnya, |
user_enrollment_templates |
Daftar nama template sertifikat yang cocok sesuai dengan urutan prioritas untuk alur pendaftaran pengguna. Ekstensi akan menelusuri daftar ini untuk menemukan template sertifikat yang cocok. Template sertifikat pertama yang cocok akan digunakan. Jika terjadi error, ekstensi tidak akan mencoba lagi dengan template sertifikat lainnya. Kebijakan ini bersifat wajib. Daftar ini harus memiliki setidaknya satu nilai dalam daftar. Dari MMC untuk CA, gunakan Template name, bukan Template display name. Defaultnya adalah ChromeOSWirelessUser. |
Mengonfigurasi penyediaan sertifikat dengan atau tanpa kredensial yang dimasukkan pengguna
Secara default, ekstensi pendaftaran sertifikat disiapkan untuk memungkinkan pengguna menyediakan sertifikat secara manual dengan memberikan kredensial mereka saat mencoba mendapatkan sertifikat.
Anda bisa memastikan pengguna dapat menyediakan atau memperpanjang sertifikat secara otomatis tanpa harus memasukkan kredensial secara manual menggunakan ekstensi ChromeOS. Ekstensi tersebut dapat meminta sertifikat pengguna dan perangkat menggunakan autentikasi Kerberos jika tiket Kerberos pengguna tersedia di perangkat. Ekstensi juga dapat meminta sertifikat perangkat hanya menggunakan akun layanan.
Autentikasi Kerberos
Sebelum memulai
- Pengguna ChromeOS harus memiliki tiket Kerberos di perangkat.
- Pengelola kredensial Kerberos harus dikonfigurasi oleh kebijakan agar tiket Kerberos dapat diambil untuk pengguna yang login. Sebaiknya, konfigurasi kredensial Kerberos agar otomatis tersedia saat login. Lihat Mengonfigurasi single sign-on Kerberos untuk perangkat ChromeOS.
- Akun pengguna Active Directory yang terkait dengan tiket Kerberos harus memiliki izin untuk meminta sertifikat menggunakan Template Sertifikat yang dikonfigurasi.
- Endpoint pendaftaran harus tercantum dalam kebijakan Chrom OS Server autentikasi terintegrasi. Untuk mengetahui detailnya, lihat kebijakan di Daftar Kebijakan Chrome.
- Tetapkan setelan Server autentikasi terintegrasi dengan benar di konsol Admin. Untuk mengetahui detailnya, lihat Server autentikasi terintegrasi.
Mengonfigurasi ekstensi
Tetapkan nilai kebijakan ekstensi `client_authentication`
ke `kerberos`
.
Autentikasi akun layanan yang dihosting
Anda dapat menetapkan ekstensi untuk meminta sertifikat perangkat menggunakan akun layanan. Kredensial akun layanan dihosting di server web di jaringan lokal Anda.
Peringatan: Jika penyerang mendapatkan akses ke server web yang menghosting kredensial dan kebijakan ekstensi di perangkat, ada kemungkinan dia dapat mengekstrak kredensial akun layanan.
Sebaiknya batasi akses ke server web yang menghosting kredensial akun layanan ke jaringan penyediaan yang hanya digunakan untuk penyediaan perangkat ChromeOS awal.
Sebelum memulai
- Anda harus memiliki server web di jaringan lokal yang dapat menangani permintaan HTTPS.
- ChromeOS harus memercayai sertifikat server web tersebut. Jika server web menggunakan sertifikat yang dikeluarkan oleh CA yang ditandatangani sendiri, Anda dapat mengonfigurasi sertifikat CA agar dipercaya di konsol Admin.
Langkah 1: Buat sandi yang disamarkan
- Buka ekstensi.
- Pilih LainnyaAlat Penyamaran Sandi.
- Masukkan sandi akun layanan.
- Pilih Samarkan.
- Salin penyamaran dan sandi yang disamarkan ke file teks.
Langkah 2: Simpan kredensial di server web internal
- Konfigurasikan server web untuk memproses file JSON yang berisi hal berikut:
{
‘username’: ‘<nama pengguna akun layanan>’,
‘maskedPassword’: ‘<salin dan tempel sandi yang disamarkan>’
}
- Salin URL yang digunakan web server untuk menghosting kredensial ke file teks.
Langkah 3: Konfigurasikan kebijakan ekstensi
- Tetapkan variabel kebijakan ekstensi
'service_account_host'
ke URL yang Anda salin di atas. - Tetapkan variabel kebijakan ekstensi
'service_account_host_password_mask'
ke penyamaran yang Anda salin di atas.
Perpanjangan sertifikat otomatis
Anda dapat menetapkan ekstensi untuk memperpanjang sertifikat yang ada tanpa autentikasi tambahan menggunakan perpanjangan berbasis kunci.
Sebelum memulai
Endpoint Layanan Pendaftaran Sertifikat (CES) ADCS yang mendukung perpanjangan berbasis kunci untuk Template Sertifikat yang dikonfigurasi harus tersedia. Untuk mengetahui detailnya, lihat Mengonfigurasi Layanan Web Pendaftaran Sertifikat untuk perpanjangan sertifikat berbasis kunci pada port kustom.
Mengonfigurasi ekstensi
- Tetapkan nilai kebijakan ekstensi
`use_key_based_renewal`
ke benar. - Tetapkan nilai kebijakan ekstensi
'ces_renewal_url'
ke URL endpoint Layanan Pendaftaran Sertifikat (CES) yang mendukung perpanjangan berbasis kunci.
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu PerangkatChromeAplikasi & ekstensiPengguna & browser.
Jika Anda mendaftar ke Pengelolaan Cloud Browser Chrome, buka Menu Browser ChromeAplikasi & ekstensiPengguna & browser.
- (Khusus pengguna) Untuk menerapkan setelan ke grup, lakukan tindakan berikut:
- Pilih Grup.
- Pilih grup tempat Anda ingin menerapkan setelan.
- Untuk menerapkan setelan ke semua orang, biarkan unit organisasi teratas dipilih. Jika tidak, pilih unit organisasi turunan.
- Temukan dan pilih ekstensi Pendaftaran Sertifikat untuk ChromeOS.
- Di panel sebelah kanan, pada Kebijakan untuk ekstensi, masukkan data JSON yang Anda buat pada Langkah 2 dalam kolom teks.
- Di bagian Kebijakan penginstalan, pilih Instal otomatis atau Instal otomatis + sematkan ke taskbar ChromeOS.
- Klik Simpan.
-
Login ke Konsol Google Admin.
Login menggunakan akun administrator (bukan yang diakhiri dengan @gmail.com).
-
Di konsol Admin, buka Menu PerangkatJaringan.
- Klik Wi-Fi.
- Tambahkan jaringan EAP-TLS baru.
Untuk mengetahui detail cara menambahkan konfigurasi jaringan Wi-Fi, lihat Mengelola jaringan. - Arahkan jaringan ke ekstensi pendaftaran. Di kolom URL pendaftaran klien, masukkan chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.
Catatan: URL ekstensi pendaftaran dapat diakses di browser Chrome meskipun jika tidak ada jaringan yang dikonfigurasi untuk mendaftar di URL ini. Penyiapan ini memungkinkan Anda menguji URL secara manual sebelum mengonfigurasi jaringan apa pun atau mendaftarkan sertifikat untuk penggunaan selain pada jaringan EAP-TLS, seperti VPN berbasis sertifikat. Beri tahu pengguna untuk membuka URL di browser dan melewati langkah konfigurasi jaringan.
- Pada perangkat ChromeOS yang dikelola, buka chrome://policy.
- Klik Muat ulang kebijakan.
- Scroll ke Pendaftaran Sertifikat untuk ChromeOS.
- Untuk setiap kebijakan, pastikan kolom nilai sama dengan yang Anda setel dalam file JSON.
Memecahkan masalah permintaan sertifikat digital
Hanya berlaku untuk Chromebook yang dikelola.
Berikut cara menyelesaikan masalah yang mungkin Anda alami saat pengguna meminta sertifikat digital.
Pesan error di UI ekstensi
Tidak dapat menemukan token sistem yang valid. Perangkat Anda mungkin tidak terdaftar di domain, atau Anda mungkin tidak memiliki hak untuk meminta sertifikat sistem.
Pesan error di log konsol Chrome
Tidak dapat mendaftar ke URI yang ditentukan.
Ekstensi meminta endpoint pendaftaran yang salah.
- Permintaan URL yang benar—https://userNameGoesHere:passWordGoesHere@yourCEPServiceUriGoesHere
- Permintaan URL yang salah—chrome-extension://userNameGoesHere:passWordGoesHere@fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html
Pengguna mungkin mengalami masalah permintaan URL saat pertama kali menginstal ekstensi Pendaftaran Sertifikat untuk ChromeOS, dan mereka tidak memiliki informasi status sebelumnya. Atau, masalah dapat terjadi saat ekstensi diperbarui dan kehilangan informasi status sebelumnya.
Jika Anda ingin memasukkan kebijakan baru atau yang diperbarui ke ekstensi, masukkan kebijakan kosong terlebih dahulu agar semua nilai kebijakan saat ini dibersihkan dan disetel ulang. Kemudian, masukkan kebijakan yang diinginkan.
- Masukkan kebijakan kosong.
- Pastikan kebijakan diterapkan di perangkat pengguna.
- Masukkan kebijakan yang diinginkan.
- Pastikan kebijakan diterapkan di perangkat pengguna.
- Muat ulang ekstensi Pendaftaran Sertifikat untuk ChromeOS.
Tidak tersedia URI pendaftaran untuk mendaftar.
- Pastikan Anda mengonfigurasi layanan peran untuk Pendaftaran Sertifikat agar menerima autentikasi nama pengguna dan sandi (bukan Kerberos, misalnya).
- Pastikan konfigurasi ekstensi Anda ditetapkan untuk menggunakan template CA yang benar.
- Pastikan nilai yang dimasukkan ke kebijakan user_enrollment_templates dalam file JSON sama dengan Nama template CA, bukan Nama tampilan template.
- Periksa izin untuk pengguna yang diautentikasi yang ditetapkan dalam template CA. Kemudian, pastikan pengguna yang relevan memiliki hak istimewa yang sesuai.
Google serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang masing-masing perusahaan terkait.