Utilizzare l'estensione Registrazione di certificati per Chrome OS

In qualità di amministratore, puoi utilizzare l'estensione Registrazione di certificati per ChromeOS per consentire a un utente di ottenere un certificato utente o dispositivo, manualmente o automaticamente. Puoi anche configurare il rinnovo automatico dei certificati esistenti in scadenza.

Prima di utilizzare l'estensione, assicurati che gli utenti dispongano dell'accesso e che l'estensione e il criterio gestito associato siano configurati correttamente. Per saperne di più sulla configurazione dell'estensione, consulta la sezione Guida all'implementazione delle estensioni.

Tipi di richieste di certificati

Esistono due tipi di richieste di certificati: richieste di certificati dell'utente e richieste di certificati del dispositivo.

Con le richieste di certificati dell'utente, viene emesso un certificato per l'utente specifico che invia la richiesta, non per il dispositivo in generale. I certificati dell'utente sono validi esclusivamente per l'utente che ha effettuato l'accesso al computer, non per gli altri utenti che potrebbero utilizzarlo.
Con le richieste di certificati del dispositivo, viene emesso un certificato per il dispositivo che invia la richiesta, non solo per l'utente che lo fa. I certificati del dispositivo sono validi per tutti gli utenti che utilizzano il computer e appartengono alla stessa organizzazione. Generalmente questo è necessario per i dispositivi utilizzati in una sessione Ospite gestita o in modalità kiosk.

Provisioning dei certificati senza credenziali inserite dall'utente.

Puoi configurare l'estensione di registrazione dei certificati in modo che il provisioning o il rinnovo automatico di un certificato venga eseguito automaticamente, senza che l'utente debba inserire manualmente le credenziali

Quando configuri una delle nuove opzioni di provisioning o rinnovo, l'estensione rileva automaticamente se il provisioning del certificato non è ancora stato eseguito su un dispositivo oppure se il certificato scadrà a breve, attivando una notifica che chiede all'utente se desidera ricevere o rinnovare un certificato. L'utente deve fare clic sulla notifica e l'estensione avvia il processo di recupero o rinnovo del certificato. Per maggiori dettagli, consulta la sezione Guida all'implementazione delle estensioni.

Registrare un certificato

Per registrare automaticamente un certificato preconfigurato, l'utente deve:

Fai clic sulla notifica Registrazione del certificato.
(Facoltativo) Selezionare la casella Registra il certificato per il dispositivo per richiedere un certificato del dispositivo. Se la casella viene lasciata deselezionata, è richiesto un certificato dell'utente.
Fare clic su Registrati.

Rinnovare un certificato

Per rinnovare un certificato, l'utente deve solo fare clic sulla notifica Promemoria di rinnovo certificato.

Provisioning dei certificati con credenziali inserite dall'utente.

Puoi configurare l'estensione di registrazione dei certificati per consentire agli utenti di eseguire manualmente il provisioning di un certificato

Procedure principali

Le procedure nell'estensione sono suddivise in categorie principali e secondarie. Una procedura principale, descritta in questa sezione, è qualcosa che generalmente l'utente prevede di riscontrare.

Creare una richiesta di certificato dell'utente

Con le richieste di certificati dell'utente, dovrebbe essere emesso un certificato per l'utente specifico che invia la richiesta, non per il dispositivo in generale. I certificati dell'utente sono validi esclusivamente per l'utente che ha effettuato l'accesso al computer, non per gli altri utenti che potrebbero utilizzarlo.

Fai clic o premi il tasto Tab per passare al campo Nome utente.
Inserisci il nome utente.
Fai clic o premi il tasto Tab per passare al campo Password.
Inserisci la password.
Lascia deselezionata la casella A livello di dispositivo.

Creare una richiesta di certificato del dispositivo

Con le richieste di certificati del dispositivo, dovrebbe essere emesso un certificato per il dispositivo che invia la richiesta, non solo l'utente che lo fa. I certificati del dispositivo sono validi per tutti gli utenti della stessa organizzazione che utilizzano quel computer, e generalmente occorrono per i dispositivi utilizzati in una sessione pubblica o in modalità kiosk.

Fai clic o premi il tasto Tab per passare al campo Nome utente.
Inserisci il nome utente.
Fai clic o premi il tasto Tab per passare al campo Password.
Inserisci la password.
Seleziona la casella A livello di dispositivo.

Inviare una richiesta di certificato

La procedura di invio è la stessa indipendentemente dal tipo di richiesta (utente o dispositivo).

Crea una richiesta di certificato dell'utente o del dispositivo, come descritto nei passaggi precedenti.
Vai al pulsante Registrati.
Fai clic su Registrati.

Ricevere e importare correttamente un certificato

Una volta inviata una richiesta, il server dovrebbe inviare una risposta che includerà il certificato richiesto.

Invia una richiesta di certificato, come specificato sopra.
Attendi la ricezione della risposta.
Quando viene ricevuta una risposta, viene visualizzata una finestra di dialogo con un messaggio di conferma della ricezione e dell'importazione del certificato.
Al termine, seleziona OK nella finestra di dialogo, premi il tasto Esc o fai clic all'esterno della finestra per chiuderla.

Ricevere una risposta di errore

Dopo l'invio, talvolta la richiesta può non riuscire per diversi motivi. Una risposta di errore include questi errori e informerà l'utente del problema riscontrato.

Invia una richiesta di certificato, come specificato sopra.
Attendi la ricezione della risposta.
Alla ricezione di una risposta, viene visualizzata una finestra di dialogo con un messaggio di errore che indica che si è verificato un problema.
Al termine, seleziona OK nella finestra di dialogo, premi il tasto Esc o fai clic all'esterno della finestra per chiuderla.
Se l'errore può essere corretto (ad esempio, in caso di nome utente non valido), la correzione e il reinvio della richiesta dovrebbero avere esito positivo. In caso contrario (ad esempio quando il server nega l'accesso alla richiesta), l'utente deve chiedere assistenza.

Procedure secondarie

Le procedure secondarie, descritte di seguito, dovrebbero avvenire solo raramente.

Ricevere una risposta di certificato in attesa

Dopo l'invio, talvolta il server può impostare la richiesta su In attesa, in modo che qualcuno possa esaminarla e approvarla/rifiutarla manualmente in un secondo momento. Una risposta in attesa include questa procedura e comunicherà all'utente le informazioni pertinenti per verificare lo stato della richiesta in un secondo momento.

Invia una richiesta di certificato, come specificato sopra.
Attendi la ricezione della risposta.
Quando si riceve una risposta, viene visualizzata una finestra di dialogo con un messaggio In attesa per indicare che la richiesta è stata impostata su In attesa. Verranno inoltre visualizzati l'ID richiesta e l'URI di registrazione della richiesta, che serviranno per verificare in un secondo momento.
Copia da qualche parte l'URI di registrazione e l'ID richiesta per farvi riferimento in un secondo momento.
Al termine, seleziona OK nella finestra di dialogo, premi il tasto Esc o fai clic all'esterno della finestra per chiuderla.

Andare all'interfaccia utente della richiesta in attesa

Se un utente ha un certificato in attesa, è possibile che a un certo punto voglia verificarne lo stato. Per creare e inviare richieste di certificato in attesa, l'utente deve accedere all'interfaccia utente della richiesta in attesa.

Fai clic o premi il tasto Tab per selezionare il pulsante Altre opzioni.
Nell'elenco di opzioni generate, fai clic o premi il tasto Tab per selezionare l'opzione "Mostrare i campi aggiuntivi per verificare le richieste in sospeso?".
Seleziona "Mostrare i campi aggiuntivi per verificare le richieste in sospeso?" per attivare la visualizzazione dei campi della richiesta in attesa.

Tornare all'interfaccia utente della richiesta normale

Se in precedenza un utente ha visitato l'interfaccia utente della richiesta in attesa, è possibile che a un certo punto voglia tornare alla richiesta normale.

Fai clic o premi il tasto Tab per selezionare il pulsante Altre opzioni.
Nell'elenco di opzioni generate, fai clic o premi il tasto Tab per selezionare l'opzione "Nascondere i campi aggiuntivi per verificare le richieste in sospeso?".
Seleziona "Nascondere i campi aggiuntivi per verificare le richieste in sospeso?" per disattivare la visualizzazione dei campi della richiesta in attesa.

Creare una richiesta di controllo dei certificati in attesa

Se un utente ha un certificato in attesa, è possibile che a un certo punto voglia verificarne lo stato. Grazie all'estensione, questa procedura è molto simile alla creazione di una nuova richiesta.

Vai all'interfaccia utente della richiesta in attesa, come specificato sopra.
Fai clic o premi il tasto Tab per passare al campo Nome utente.
Inserisci il nome utente.
Fai clic o premi il tasto Tab per passare al campo Password.
Inserisci la password.
Fai clic o premi il tasto Tab per passare al campo URI di registrazione.
Inserisci l'URI di registrazione visualizzato in una precedente risposta del certificato in attesa.
Fai clic o premi il tasto Tab per passare al campo ID richiesta.
Inserisci l'ID richiesta visualizzato in una precedente risposta del certificato in attesa.
Se la richiesta di certificato originale era relativa a un certificato a livello di dispositivo, seleziona la casella di controllo A livello di dispositivo. Altrimenti, lascia deselezionata la casella di controllo A livello di dispositivo.

Inviare una richiesta di controllo del certificato in attesa

Dopo la creazione, l'utente deve inviare la richiesta di controllo del certificato in attesa per ricevere una risposta. Una richiesta di controllo del certificato in attesa può avere esito positivo o negativo oppure restare in attesa di risposta, come illustrato nelle procedure descritte in precedenza.

Crea una richiesta di controllo del certificato in attesa, come specificato sopra.
Vai al pulsante Verifica lo stato.
Seleziona il pulsante Verifica lo stato.

Copiare i log negli appunti

A volte, in caso di errori, per un assistente o un amministratore può essere utile visualizzare i log completi relativi a quanto è successo nell'estensione. Per consentire a un utente di ottenere questi log, forniamo un metodo semplice che consiste nel copiarlo negli appunti dell'utente.

Fai clic o premi il tasto Tab per selezionare il pulsante Altre opzioni.
Dall'elenco di opzioni generate, fai clic o premi il tasto Tab per passare all'opzione "Copia i log negli appunti".
Seleziona "Copia i log negli appunti" per copiare i log negli appunti dell'utente.
Da qui, l'utente può incollare i log ovunque decida di eseguire la normale procedura per il dispositivo.

Guida all'implementazione delle estensioni

Applicabile solo a Chromebook gestiti.

Come amministratore, puoi consentire agli utenti di Chromebook di accedere alle reti protette dell'organizzazione e alle risorse interne che richiedono un certificato per l'autenticazione. Installa e configura in remoto l'estensione Registrazione di certificati per ChromeOS in modo che gli utenti possano richiedere certificati utente o di sistema sui Chromebook.

In alternativa, puoi configurare il provisioning automatico dei certificati utilizzando l'autenticazione Kerberos per i certificati utente o dispositivo oppure per l'autenticazione dell'account di servizio ospitato per i certificati dispositivo. Puoi anche impostare l'estensione in modo da rinnovare i certificati esistenti senza autenticazione aggiuntiva utilizzando il rinnovo basato su chiave.

L'estensione consente inoltre di ridimensionare l'implementazione dei dispositivi ChromeOS automatizzando il processo di registrazione dei certificati di Microsoft Active Directory tramite la Console di amministrazione Google.

Prima di iniziare

Per consentire agli utenti di richiedere certificati digitali, ti servirà:

Microsoft Windows Server 2008 R2 o versioni successive
Microsoft Internet Information Services (IIS) 7.0 o versioni successive
Servizi certificati Active Directory (ADCS), tra cui:
- Servizio di registrazione certificati (CES)
- Criteri di registrazione dei certificati (CEP)
- Un certificato valido associato al sito web ADCS in IIS
- Un endpoint visibile per CEP e CES

Disclaimer

Questo articolo descrive l'interazione tra i prodotti Google e quelli di terze parti, nonché le configurazioni consigliate da Google. Google non fornisce assistenza tecnica per la configurazione dei prodotti di terze parti. Google non accetta alcuna responsabilità per i prodotti di terze parti. Visita il sito web del prodotto per le informazioni aggiornate sulla configurazione e sull'assistenza.

Implementare l'estensione

Apri tutto | Chiudi tutto

Passaggio 1: forza l'installazione dell'estensione per i tuoi utenti

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeApp ed estensioniUtenti e browser.
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu Browser ChromeApp ed estensioniUtenti e browser.
Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
Posiziona il cursore del mouse su Aggiungi Aggiungi da Chrome Web Store.
Cerca e seleziona Registrazione di certificati per ChromeOS. L'ID estensione è fhndealchbngfhdoncgcokameljahhog.
Nella pagina Utenti e browser, seleziona l'estensione Registrazione di certificati per Chrome OS.
Nel riquadro a destra, in Gestione dei certificati, attiva Consenti l'accesso alle chiavi.
In Criterio di installazione, scegli Forza installazione o Forza l'installazione + blocca sulla barra delle applicazioni di ChromeOS.
Fai clic su Salva.

Passaggio 2: imposta la configurazione dell'estensione

Crea un file che contenga le impostazioni che vuoi applicare all'estensione Registrazione di certificati per ChromeOS per gli utenti. Inizia con questo file di esempio e modifica i criteri in base alle esigenze della tua organizzazione o degli utenti. Puoi modificare il file JSON (JavaScript Object Notation) utilizzando un editor di testo.

Nota: i criteri che contengono valori predefiniti nelle stringhe rivolte all'utente vengono tradotti e visualizzati sui dispositivi in base alle impostazioni locali dell'utente. Puoi modificare le stringhe in base alle esigenze della tua organizzazione, ma queste non verranno tradotte.

Puoi impostare i seguenti criteri:

Nome del criterio	Funzione
allow_machine_cert_enrollment	Consente agli utenti di installare un certificato di sistema. Se impostato su true, gli utenti possono scegliere di richiedere un certificato di sistema o utente. Altrimenti, possono solo richiedere un certificato utente. Il valore predefinito è false.
cep_proxy_url	Specifica l'endpoint https per CEP. Per ottenere l'endpoint: In Gestione IIS, visita il sito web CEP. In genere, il nome contiene CEP. Apri Impostazioni applicazione. L'endpoint https per CEP è elencato sotto URI. Sono validi solo i valori che iniziano con https. Se inserisci un valore che inizia con https ma non corrisponde all'URI (Uniform Resource Identifier) in Gestione IIS, verrà comunque considerato valido e verrà utilizzato, ma molto probabilmente non funzionerà. Questo criterio è obbligatorio.
company_info	Specifica le informazioni di branding della tua organizzazione, come nome e logo. Imposta help_url per indirizzare gli utenti a una pagina web in cui possono ottenere informazioni o supporto. Se la pagina web specificata è bloccata per gli utenti senza certificato, come ad esempio alla prima richiesta, utilizza help_text per fornire loro testo utile. Se imposti help_url e help_text, la pagina web specificata viene visualizzata sotto il testo della guida sui dispositivi degli utenti.
device_cert_request_values	Specifica i valori da utilizzare nella richiesta di firma del certificato (CSR) per un certificato dispositivo. Invece di utilizzare le proprietà del richiedente, è possibile definire i valori dei soggetti in base agli attributi utente e dispositivo. Per utilizzare la funzione CSR personalizzata, devi anche configurare il modello di certificato nell'autorità di certificazione per richiedere e generare un certificato con i valori del soggetto definiti nella richiesta stessa. Come requisito minimo sarà necessario fornire un valore per il `CommonName` del soggetto. Puoi utilizzare i seguenti segnaposto. Tutti i valori sono facoltativi. Per i dispositivi ChromeOS con versione 66 e successive, puoi utilizzare: `${DEVICE_DIRECTORY_ID}`: l'ID di directory del dispositivo. `${USER_EMAIL}`: l'indirizzo email dell'utente che ha effettuato l'accesso. `${USER_DOMAIN}`: il nome di dominio dell'utente che ha effettuato l'accesso. `${DEVICE_SERIAL_NUMBER}`: il numero di serie del dispositivo. `${DEVICE_ASSET_ID}`: l'ID risorsa assegnato al dispositivo dall'amministratore. `${DEVICE_ANNOTATED_LOCATION}`: la posizione assegnata al dispositivo dall'amministratore. Se un valore segnaposto non è disponibile, viene sostituito da una stringa vuota. Puoi concatenare i segnaposto; ad esempio, `${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER}` viene sostituito dal numero di serie del dispositivo se l'ID della risorsa non è disponibile.
device_enrollment_templates	Elenco di nomi di modelli di certificato corrispondenti, in ordine di priorità, per i flussi di registrazione utenti. L'estensione cerca nell'elenco un modello di certificato corrispondente. Viene utilizzato il primo modello di certificato corrispondente. Se c'è un errore, l'estensione non tenta di utilizzare altri modelli di certificato. Questo criterio è obbligatorio. L'elenco deve contenere almeno un valore. Dalla Microsoft Management Console (MMC) dell'autorità di certificazione, usa il nome del modello e non il nome visualizzato del modello. Il valore predefinito è ChromeOSWirelessUser.
enable_auto_enrollment	Controlla se l'estensione avvia automaticamente la registrazione. Se impostata su false, l'estensione attende che l'utente tenti di connettersi alla rete EAP-TLS. Il valore predefinito è false.
log_level	Specifica il livello di dettaglio nei log dell'estensione inviati alla console JavaScript in Chrome. NONE (valore predefinito): nella console non viene registrato nulla. ERROR: nella console vengono registrati soltanto gli errori individuali. WARNING: nella console vengono registrati gli errori individuali e gli avvisi. INFO: nella console vengono registrati gli errori individuali e gli avvisi, con informazioni rilevanti sulle operazioni da eseguire. DEBUG: nella console viene registrato tutto. Per la versione iniziale è consigliato l'uso di quest'ultima impostazione, per semplificare la risoluzione di eventuali problemi. In Altre opzioni, puoi copiare automaticamente tutti i log negli appunti. Esistono due modi con cui gli utenti possono aprire la console degli sviluppatori web in Chrome in modo che possano accedere ai log di Chrome sul loro dispositivo: Premere Ctrl + Maiusc + I. Fare clic su Altri strumenti Strumenti per sviluppatori. Questo criterio è obbligatorio.
placeholder_values	Specifica nome utente, password, URI, ID richiesta e segnaposti di intestazione. Queste informazioni aiutano a guidare gli utenti quando effettuano l'accesso. I campi Username, Password, URI e RequestID vengono visualizzati sopra i campi di input per indicare lo scopo di ciascun campo. Il campo Header viene utilizzato per il titolo della pagina. Esistono valori speciali dei campi Username, Password e Header che consentono ai clienti di utilizzare i nomi predefiniti localizzati. managed_username_placeholder: nome utente managed_password_placeholder: password managed_login_header: registrazione di certificati Se l'organizzazione utilizza una terminologia diversa, ad esempio passphrase anziché password, è possibile modificare i valori. Tuttavia, il nuovo valore non verrà tradotto.
renew_hours_before_expiry	Specifica l'intervallo di tempo in ore prima della scadenza del certificato in cui vuoi inviare notifica agli utenti. Il valore predefinito è 120.
renew_reminder_interval	Controlla con quale frequenza, in ore, gli utenti vengono informati che i loro certificati sono in scadenza. Dopo la notifica iniziale, se l'utente non rinnova il certificato e non sceglie di ignorare i promemoria, vedrà ulteriori notifiche dopo il numero di ore impostate. Ad esempio, se imposti renew_hours_before_expiry su 120 e renew_reminder_interval su 24 e un utente sceglie sempre di ricevere ulteriori promemoria, l'utente riceve 5 notifiche di rinnovo, una ogni giorno, fino alla scadenza del certificato. Il valore predefinito è 24.
request_timeout_seconds	La durata, in secondi, prima del timeout di una chiamata a CEP o CES. Il valore predefinito è 20.
signature_algo	Controlla quale algoritmo di firma sia utilizzato dall'estensione per firmare le richieste di certificato. Le opzioni sono: SHA1 (sconsigliato): algoritmo debole che può compromettere la sicurezza degli utenti. SHA256 SHA512 (predefinito)
user_cert_request_values	Specifica i valori utilizzati nella richiesta di firma del certificato (CSR) per un certificato utente. Invece di utilizzare le proprietà del richiedente, è possibile definire i valori dei soggetti in base agli attributi utente e dispositivo. Per utilizzare la funzione CSR personalizzata, devi anche configurare il modello di certificato nell'autorità di certificazione per richiedere e generare un certificato con i valori del soggetto definiti nella richiesta stessa. Come requisito minimo sarà necessario fornire un valore per il `CommonName` del soggetto. Puoi utilizzare i seguenti segnaposto. Tutti i valori sono facoltativi. `${DEVICE_DIRECTORY_ID}`: l'ID di directory del dispositivo. `${USER_EMAIL}`: l'indirizzo email dell'utente che ha effettuato l'accesso. `${USER_DOMAIN}`: il nome di dominio dell'utente che ha effettuato l'accesso. `${DEVICE_SERIAL_NUMBER}`: il numero di serie del dispositivo. `${DEVICE_ASSET_ID}`: l'ID risorsa assegnato al dispositivo dall'amministratore. `${DEVICE_ANNOTATED_LOCATION}`: la posizione assegnata al dispositivo dall'amministratore. `${USER_ID}`: prima parte dell'indirizzo email dell'utente che ha eseguito l'accesso (prima della "@"). Se un valore segnaposto non è disponibile, viene sostituito da una stringa vuota. Puoi concatenare i segnaposto; ad esempio, `${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER}` viene sostituito dal numero di serie del dispositivo se l'ID della risorsa non è disponibile.
user_enrollment_templates	Elenco di nomi di modelli di certificato corrispondenti, in ordine di priorità, per i flussi di registrazione utenti. L'estensione cerca nell'elenco un modello di certificato corrispondente. Viene utilizzato il primo modello di certificato corrispondente. Se c'è un errore, l'estensione non tenta di utilizzare altri modelli di certificato. Questo criterio è obbligatorio. L'elenco deve contenere almeno un valore. Dalla MMC dell'autorità di certificazione, utilizza il nome del modello e non il nome visualizzato del modello. Il valore predefinito è ChromeOSWirelessUser.

Configurare il provisioning dei certificati con o senza credenziali inserite dall'utente

Per impostazione predefinita, l'estensione di registrazione di certificati è configurata in modo da consentire agli utenti di eseguire manualmente il provisioning di un certificato fornendo le proprie credenziali quando tentano di ottenere un certificato.

Puoi assicurarti che gli utenti possano eseguire il provisioning o il rinnovo automatico di un certificato senza dover inserire manualmente le credenziali utilizzando l'estensione di Chrome OS. L'estensione può richiedere i certificati utente e dispositivo utilizzando l'autenticazione Kerberos se sul dispositivo è disponibile un ticket Kerberos. Può anche richiedere i certificati dispositivo utilizzando solo un account di servizio.

Autenticazione Kerberos

Prima di iniziare

L'utente di ChromeOS deve disporre di un ticket Kerberos sul dispositivo.
- Il gestore di credenziali Kerberos deve essere configurato in base ai criteri per consentire il recupero di ticket Kerberos per l'utente che ha eseguito l'accesso. È preferibile che questa opzione venga configurata automaticamente all'accesso. Vedi Configurare il servizio Single Sign-On Kerberos per dispositivi ChromeOS.
L'account utente Active Directory associato al ticket Kerberos deve disporre delle autorizzazioni per richiedere i certificati utilizzando il modello di certificato configurato.
L'endpoint di registrazione deve essere elencato nel criterio di ChromeOS Server di autenticazione integrati. Per i dettagli, consulta il criterio nell'elenco dei criteri di Chrome.
- Configura correttamente l'impostazione Server di autenticazione integrati nella Console di amministrazione. Per maggiori dettagli, vedi Server di autenticazione integrati.

Configurare l'estensione

Imposta il valore del criterio dell'estensione `client_authentication` su `kerberos`.

Autenticazione dell'account di servizio ospitato

Puoi impostare l'estensione in modo che richieda un certificato dispositivo utilizzando un account di servizio. Le credenziali dell'account di servizio vengono ospitate su un server web sulla rete locale.

Avviso: se un utente malintenzionato accede al server web che ospita le credenziali e il criterio dell'estensione sul dispositivo, esiste la possibilità che sia in grado di estrarre le credenziali dell'account di servizio.

Ti consigliamo di limitare l'accesso al server web che ospita le credenziali dell'account di servizio a una rete di provisioning utilizzata solo per il provisioning iniziale del dispositivo ChromeOS.

Prima di iniziare

Devi disporre di un server web sulla rete locale in grado di gestire le richieste HTTPS.
Chrome OS deve considerare attendibile il certificato del server web. Se il server web utilizza un certificato emesso da un'autorità di certificazione autofirmata, puoi configurare il certificato dell'autorità di certificazione in modo che venga considerato attendibile dalla Console di amministrazione.

Passaggio 1: genera la password mascherata

Apri l'estensione.
Seleziona More (Altro)Password Mask Tool (Strumento mascheramento password).
Inserisci la password dell'account di servizio.
Seleziona Mask (Maschera).
Copia la maschera e la password mascherata in un file di testo.

Passaggio 2: archivia le credenziali nel server web interno

Configura il server web in modo che pubblichi un file JSON contenente le seguenti informazioni:

{

‘username’: ‘<service account username>’,

‘maskedPassword’: ‘<copy and pasted masked password>’

}

Copia l'URL utilizzato dal server web per ospitare le credenziali in un file di testo.

Passaggio 3: configura il criterio dell'estensione

Imposta la variabile del criterio dell'estensione ‘service_account_host’ sull'URL che hai copiato in precedenza.
Imposta la variabile del criterio dell'estensione ‘service_account_host_password_mask’ sulla maschera copiata in precedenza.

Rinnovo automatico dei certificati

Puoi impostare l'estensione in modo da rinnovare i certificati esistenti senza autenticazione aggiuntiva utilizzando il rinnovo basato su chiave.

Prima di iniziare

Deve essere disponibile un endpoint per il Servizio di registrazione certificati (CES) ADCS che supporta il rinnovo basato su chiave per il modello di certificato configurato. Per i dettagli, consulta Configurazione del Servizio Web di registrazione certificati per il rinnovo basato su chiave del certificato su una porta personalizzata.

Configurare l'estensione

Imposta la variabile del criterio dell'estensione `use_key_based_renewal` su true.
Imposta il valore del criterio dell'estensione ‘ces_renewal_url’ sull'URL dell'endpoint per il Servizio di registrazione certificati (CES) che supporta il rinnovo basato su chiave.

Passaggio 3: convalida il file JSON

Utilizza il tuo strumento preferito per convalidare il file di configurazione e assicurarti che non vi siano errori nel codice JSON. Se trovi errori, controlla la sintassi e la struttura del file di configurazione, apporta le correzioni ed esegui di nuovo la convalida.

Passaggio 4: applica il criterio dell'estensione

Per configurare le impostazioni per un determinato gruppo di utenti o per i browser Chrome registrati, inserisci gli account utente o i browser in un gruppo o un'unità organizzativa. Solo gli account utente possono essere aggiunti ai gruppi. Per maggiori dettagli, vedi Gruppi e Aggiungere un'unità organizzativa.

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviChromeApp ed estensioniUtenti e browser.
Se hai eseguito la registrazione a Chrome Browser Cloud Management, vai a Menu Browser ChromeApp ed estensioniUtenti e browser.
(Solo utenti) Per applicare l'impostazione a un gruppo, procedi come segue:
1. Seleziona Gruppi.
2. Seleziona il gruppo a cui vuoi applicare l'impostazione.
Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa di primo livello. Altrimenti, seleziona un'unità organizzativa secondaria.
Individua e seleziona l'estensione Registrazione di certificati per Chrome OS.
Nel riquadro a destra, nel campo di testo Criterio per le estensioni, inserisci i dati JSON che hai creato nel passaggio 2.
In Criterio di installazione, scegli Forza installazione o Forza l'installazione + blocca sulla barra delle applicazioni di ChromeOS.
Fai clic su Salva.

Passaggio 5 (facoltativo): configura la rete Wi-Fi da registrare con l'estensione

Accedi alla Console di amministrazione Google.
Accedi utilizzando l'account amministratore (che non termina con @gmail.com).
Nella Console di amministrazione, vai a Menu DispositiviReti.
Fai clic su Wi-Fi.
Aggiungi una nuova rete EAP-TLS.
Per maggiori dettagli sull'aggiunta di configurazioni di rete Wi-Fi, vedi Gestire le reti.
Indica la rete dell'estensione di registrazione. Nel campo URL di registrazione client, inserisci chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Nota: l'URL dell'estensione per la registrazione è accessibile nel browser Chrome anche se nessuna rete è configurata per l'iscrizione a questo URL. Questa configurazione consente di testare manualmente l'URL prima di configurare qualsiasi rete o di registrare certificati per usi diversi dalle reti EAP-TLS, come una VPN basata su certificati. Indica agli utenti di accedere all'URL nel loro browser e saltare il passaggio di configurazione della rete.

Passaggio 6: verifica l'applicazione dei criteri

Dopo che hai implementato l'estensione Registrazione di certificati per ChromeOS, gli utenti devono riavviare i loro dispositivi affinché le impostazioni diventino effettive. Puoi controllare i dispositivi degli utenti per assicurarti che il criterio sia stato applicato correttamente.

Su un dispositivo ChromeOS gestito, vai a chrome://policy.
Fai clic su Ricarica criteri.
Scorri fino a Registrazione di certificati per ChromeOS.
Per ciascun criterio, assicurati che i campi valore siano uguali a quelli impostati nel file JSON.

Risolvere i problemi relativi alle richieste di certificati digitali

Applicabile solo a Chromebook gestiti.

Ecco come risolvere i problemi che potresti riscontrare quando gli utenti richiedono certificati digitali.

Messaggi di errore nell'interfaccia utente dell'estensione

Impossibile trovare un token di sistema valido. Il tuo dispositivo potrebbe non essere registrato nel dominio o potresti non disporre dei diritti per richiedere un certificato di sistema.

Assicurati che l'installazione dell'estensione Registrazione di certificati per Chrome OS sia forzata per gli utenti.

Messaggi di errore nei log della console di Chrome

Impossibile effettuare la registrazione nell'URI specificato.

Verifica le autorizzazioni per gli utenti autenticati impostati nel modello dell'autorità di certificazione. Quindi, assicurati che gli utenti pertinenti dispongano dei privilegi appropriati.

L'estensione richiede endpoint di registrazione errati.

Controlla i log della console dell'estensione Registrazione di certificati per Chrome OS per assicurarti che la richiesta dell'URL sia corretta.

Richiesta URL corretta: https://tuonomeutente:tuapassword@tuoURIdelservizioCEP
Richiesta URL non corretta: chrome-extension://tuonomeutente:tuapassword@fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html

Gli utenti potrebbero avere problemi con le richieste di URL quando l'estensione Registrazione di certificati per Chrome OS viene installata per la prima volta e non sono disponibili informazioni sullo stato. Oppure, potrebbero insorgere problemi quando l'estensione viene aggiornata e perde le informazioni sullo stato precedente.

Quando vuoi inviare un criterio nuovo o aggiornato all'estensione, invia prima un criterio vuoto in modo che tutti i valori del criterio corrente vengano cancellati e ripristinati. Successivamente, invia il criterio.

Invia un criterio vuoto.
Verifica che i criteri siano applicati sui dispositivi degli utenti.
Invia il criterio che vuoi.
Verifica che i criteri siano applicati sui dispositivi degli utenti.
Aggiorna l'estensione Registrazione di certificati per Chrome OS.

Nessun URI disponibile per la registrazione.

Nella maggior parte dei casi, il criterio di registrazione di certificati (CEP) non riesce a trovare il modello configurato. Controlla le cause più comuni sull'autorità di certificazione:

Assicurati di aver configurato i servizi di ruolo per la registrazione del certificato in modo che accettino l'autenticazione di nome utente e password (non Kerberos ad esempio).
Assicurati che la configurazione dell'estensione sia definita per utilizzare il modello dell'autorità di certificazione corretto.
Assicurati che il valore inserito nel criterio user_enrollment_templates nel file JSON sia lo stesso del nome del modello dell'autorità di certificazione, e non del nome visualizzato del modello.
Verifica le autorizzazioni per gli utenti autenticati impostati nel modello dell'autorità di certificazione. Quindi, assicurati che gli utenti pertinenti dispongano dei privilegi appropriati.

Google e marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle rispettive società a cui sono associati.

È stato utile?

Come possiamo migliorare l'articolo?