De extensie Certificaat inschrijven voor ChromeOS gebruiken

De gebruiker moet het volgende doen om automatisch een vooraf geconfigureerd certificaat in te schrijven:

1. Klik op de melding Certificaat inschrijven.
2. (Optioneel) Vink het vakje aan voor Apparaatbreed certificaat inschrijven om een apparaatcertificaat aan te vragen. Als het vakje niet is aangevinkt, wordt er een gebruikerscertificaat aangevraagd.
3. Klik op Inschrijven.

Als een certificaat moet worden verlengd, hoeft de gebruiker alleen maar op de melding Herinnering voor verlengen certificaat te klikken.

Bij een verzoek voor een gebruikerscertificaat wordt er een certificaat uitgegeven voor de specifieke gebruiker die het verzoek stuurt, niet voor het specifieke apparaat. Gebruikerscertificaten zijn alleen geldig voor de gebruiker die is ingelogd op het apparaat, niet voor andere gebruikers die het apparaat ook gebruiken.

1. Klik op of ga met de knop Tab naar het veld Gebruikersnaam.
2. Voer je gebruikersnaam in.
3. Klik op of ga met de knop Tab naar het veld Wachtwoord.
4. Voer je wachtwoord in.
5. Laat het vakje Apparaatbreed uitgevinkt.

Bij een verzoek voor een apparaatcertificaat wordt er een certificaat uitgegeven voor het hele apparaat waarvan het verzoek wordt gestuurd, niet alleen voor de gebruiker die het verzoek stuurt. Apparaatcertificaten zijn geldig voor alle gebruikers op het apparaat die bij dezelfde organisatie horen. Dit is bijvoorbeeld nodig als een apparaat wordt gebruikt als openbare sessie of in de kioskmodus.

1. Klik op of ga met de knop Tab naar het veld Gebruikersnaam.
2. Voer je gebruikersnaam in.
3. Klik op of ga met de knop Tab naar het veld Wachtwoord.
4. Voer je wachtwoord in.
5. Vink het vakje aan voor Apparaatbreed.

Het proces om een verzoek te sturen is hetzelfde, ongeacht het type verzoek (gebruikers- of apparaatcertificaat).

1. Maak een verzoek voor een gebruikers- of apparaatcertificaat, zoals uitgelegd in de stappen hierboven.
2. Ga naar de knop Inschrijven.
3. Klik op Inschrijven.

Nadat een verzoek is verstuurd, zou de server een Geslaagd-reactie moeten versturen met het verzochte certificaat.

1. Stuur een certificaatverzoek, zoals hierboven uitgelegd.
2. Wacht tot je de reactie krijgt.
3. Als de reactie is ontvangen, wordt er een dialoogvenster geopend met de melding Geslaagd. Dit geeft aan dat het certificaat is ontvangen en geïmporteerd.
4. Selecteer OK in het dialoogvenster, druk op de Escape-toets of klik ergens buiten het dialoogvenster om het te sluiten.

Als een verzoek is verstuurd, kan het om verschillende redenen mislukken. In een foutmelding staat wat er is misgegaan.

1. Stuur een certificaatverzoek, zoals hierboven uitgelegd.
2. Wacht tot je de reactie krijgt.
3. Als de reactie is ontvangen, wordt er een dialoogvenster geopend met de melding Mislukt. Dit geeft aan dat er iets is misgegaan.
4. Selecteer OK in het dialoogvenster, druk op de Escape-toets of klik ergens buiten het dialoogvenster om het te sluiten.
5. Als de gebruiker de fout kan verbeteren (bijvoorbeeld als deze de verkeerde gebruikersnaam heeft ingevoerd), kan deze de fout aanpassen en het verzoek opnieuw versturen. Dan zou het wel moeten slagen. Als de gebruiker de fout niet kan verbeteren (bijvoorbeeld als het verzoek is geweigerd door de server), moet de gebruiker om hulp vragen.

Als een verzoek is verstuurd, zet de server het verzoek soms op 'In behandeling' zodat iemand het later handmatig kan beoordelen en accepteren/weigeren. Dit is het geval als de gebruiker de reactie 'In behandeling' krijgt. In de reactie staat relevante informatie waarmee de gebruiker de status van het verzoek later kan controleren.

1. Stuur een certificaatverzoek, zoals hierboven uitgelegd.
2. Wacht tot je de reactie krijgt.
3. Als de reactie is ontvangen, wordt er een dialoogvenster geopend met de melding In behandeling. Dit geeft aan dat het verzoek op 'In behandeling' is gezet. Ook worden de inschrijf-URI en de verzoek-ID van het verzoek weergegeven. De gebruiker heeft deze later nodig om het verzoek te controleren.
4. Kopieer de inschrijf-URI en de verzoek-ID voor later.
5. Selecteer OK in het dialoogvenster, druk op de Escape-toets of klik ergens buiten het dialoogvenster om het te sluiten.

Als het certificaat van een gebruiker in behandeling is, kan de gebruiker de status van het certificaat controleren. De gebruiker moet naar de UI voor certificaten in behandeling gaan om verzoeken voor certificaten in behandeling te maken en te versturen.

1. Klik op of ga met de knop Tab naar de knop 'Meer opties' en selecteer deze.
2. Klik of ga met de knop Tab in de lijst met opties die wordt gemaakt naar de optie Extra velden voor het controleren van verzoeken in behandeling weergeven?
3. Selecteer 'Extra velden voor het controleren van verzoeken in behandeling weergeven?' zodat het veld met verzoeken in behandeling wordt weergegeven.

Als een gebruiker eerder naar de UI voor verzoeken in behandeling is gegaan, kan deze ook terugkeren naar de reguliere UI.

1. Klik op of ga met de knop Tab naar de knop 'Meer opties' en selecteer deze.
2. Klik of ga met de knop Tab in de lijst met opties die wordt gemaakt naar de optie Extra velden voor het controleren van verzoeken in behandeling verbergen?
3. Selecteer 'Extra velden voor het controleren van verzoeken in behandeling verbergen?' zodat het veld met verzoeken in behandeling wordt gesloten.

Als het certificaat van een gebruiker in behandeling is, kan de gebruiker de status van het certificaat controleren. In de extensie werkt deze flow bijna hetzelfde als het maken van een nieuw verzoek.

1. Ga naar de UI voor verzoeken in behandeling, zoals hierboven uitgelegd.
2. Klik op of ga met de knop Tab naar het veld Gebruikersnaam.
3. Voer je gebruikersnaam in.
4. Klik op of ga met de knop Tab naar het veld Wachtwoord.
5. Voer je wachtwoord in.
6. Klik op of ga met de knop Tab naar het veld Inschrijf-URI.
7. Voer de inschrijf-URI in die je hebt genoteerd uit de reactie dat het certificaat in behandeling is.
8. Klik op of ga met de knop Tab naar het veld Verzoek-ID.
9. Voer de verzoek-ID in die je hebt genoteerd uit de reactie dat het certificaat in behandeling is.
10. Als het oorspronkelijke certificaatverzoek was voor een apparaatbreed certificaat, vink je het vakje aan voor Apparaatbreed. Laat dit vakje anders uitgevinkt.

Nadat de gebruiker een controleverzoek voor een certificaat in behandeling heeft gemaakt, moet deze het verzoek sturen om een reactie te krijgen. Het resultaat van een controleverzoek voor een certificaat in behandeling kan zijn Geslaagd, Mislukt of nog steeds In behandeling. Deze komen overeen met de hierboven uitgelegde stromen.

1. Maak een controleverzoek voor een certificaat in behandeling, zoals hierboven uitgelegd.
2. Ga naar de knop Status controleren.
3. Selecteer de knop Status controleren.

Als er fouten zijn, kan het handig zijn als een assistent of beheerder de volledige logboeken kan bekijken om te zien wat er is misgegaan in de extensie. De gebruiker kan deze logboeken makkelijk kopiëren naar het klembord.

1. Klik op of ga met de knop Tab naar de knop 'Meer opties' en selecteer deze.
2. Klik of ga met de knop Tab in de lijst met opties die wordt gemaakt naar de optie Logboeken kopiëren naar klembord.
3. Selecteer 'Logboeken kopiëren naar klembord' om de logboeken te kopiëren naar het klembord van de gebruiker.
4. Vanuit hier kan de gebruiker de logboeken overal plakken zoals deze gewend is op het apparaat.

1. Log in bij de Google Beheerdersconsole.

   Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu  ApparatenChromeApps en extensiesGebruikers en browsers.

   Als je je hebt aangemeld voor Cloudbeheer voor de Chrome-browser, ga je naar Menu  Chrome-browserApps en extensiesGebruikers en browsers.
3. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheid.
4. Plaats de muisaanwijzer op Toevoegen Toevoegen uit de Chrome Web Store.
5. Zoek Certificaat inschrijven voor ChromeOS en selecteer dit. De extensie-ID is fhndealchbngfhdoncgcokameljahhog.
6. Selecteer op de pagina Gebruikers en Browsers de extensie Certificaat inschrijven voor ChromeOS.
7. Ga in het venster aan de rechterkant naar Certificaatbeheer en zet Toegang tot sleutels toestaan aan.
8. Kies onder Installatiebeleid de optie Afgedwongen installeren of Afgedwongen installeren en vastzetten op de ChromeOS-taakbalk.
9. Klik op Opslaan.

Maak een bestand met de instellingen die je wilt toepassen op de extensie 'Certificaat inschrijven voor Chrome OS' voor gebruikers. Begin met dit voorbeeldbestand en pas het beleid aan de behoeften van je organisatie of gebruikers aan. Je kunt het JavaScript Object Notation-bestand (JSON) bewerken via een tekstverwerker.

Opmerking: Beleidsregels met standaardwaarden voor tekenreeksen die door de gebruiker worden gezien, worden vertaald en weergegeven op apparaten in de ingestelde taal van de gebruiker. Je kunt tekenreeksen wijzigen om aan de behoeften van je organisatie te voldoen. Deze worden dan niet vertaald.

Je kunt het volgende beleid instellen:

Beleidsnaam	Wat het doet
allow_machine_cert_enrollment	Hiermee kunnen gebruikers een systeemcertificaat installeren. Als dit is ingesteld op 'waar', kunnen gebruikers ervoor kiezen of ze een systeem- of gebruikerscertificaat willen aanvragen. Anders kunnen ze alleen een gebruikerscertificaat aanvragen. De standaard is 'onwaar'.
cep_proxy_url	Hiermee geef je het HTTPS-eindpunt voor de CEP op. Ga als volgt te werk om het eindpunt op te halen: Ga in IIS Manager naar de CEP-website. De naam bevat meestal het woord CEP. Open App-instellingen. Het https-eindpunt voor de CEP staat onder URI. Alleen waarden die beginnen met https zijn geldig. Als je een waarde invoert die begint met 'https' maar niet overeenkomt met de Uniform Resource Identifier (URI) in IIS Manager, wordt deze als geldig beschouwd en zal deze worden gebruikt, maar zal deze waarschijnlijk mislukken. Dit beleid is verplicht.
company_info	Hiermee geef je de merkinformatie van je bedrijf op, zoals de naam en het logo. Stel help_url in om gebruikers naar een webpagina te sturen waar ze informatie of ondersteuning kunnen krijgen. Als de webpagina die je specificeert is geblokkeerd voor gebruikers zonder certificaat, zoals bij het eerste verzoek, gebruik je help_text om een nuttige tekst te laten weergeven. Als je help_url en help_text instelt, wordt de webpagina die je hebt opgegeven, weergegeven onder de helptekst op de apparaten van gebruikers.
device_cert_request_values	Hiermee geef je de waarden op die moeten worden gebruikt in het certificaatondertekeningsverzoek (Certificate Signing Request, CSR) voor een apparaatcertificaat. Je kunt onderwerpwaarden opgeven gebaseerd op gebruikers- en apparaatkenmerken, in plaats van de eigenschappen van de aanvrager te gebruiken. Als je een aangepaste CSR wilt gebruiken, moet je ook de certificaattemplate bij de certificeringsinstantie (CA) configureren zodat deze een certificaat verwacht en genereert met de onderwerpwaarden uit de aanvraag zelf. Je moet minimaal een waarde invoeren voor de CommonName van het onderwerp. Je kunt de volgende tijdelijke aanduidingen gebruiken. Alle waarden zijn optioneel. Voor ChromeOS-apparaten met versie 66 en hoger kun je het volgende gebruiken: ${DEVICE_DIRECTORY_ID}: De directory-ID van het apparaat. ${USER_EMAIL}: Het e-mailadres van de ingelogde gebruiker. ${USER_DOMAIN}: De domeinnaam van de ingelogde gebruiker. ${DEVICE_SERIAL_NUMBER}: Het serienummer van het apparaat. ${DEVICE_ASSET_ID}: De item-ID die is toegewezen aan het apparaat door de beheerder. ${DEVICE_ANNOTATED_LOCATION}: De locatie die is toegewezen aan het apparaat door de beheerder. Als er geen tijdelijke aanduiding beschikbaar is, blijft de aanduiding leeg. Je kunt meerdere tijdelijke aanduidingen na elkaar plaatsen. Bijvoorbeeld: ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} wordt vervangen door het serienummer van het apparaat als de item-ID niet beschikbaar is.
device_enrollment_templates	Lijst van overeenkomende namen van certificaattemplates op volgorde van prioriteit voor het inschrijfproces van gebruikers. De extensie zoekt in de lijst naar een overeenkomende certificaattemplate. De eerste overeenkomende certificaattemplate wordt gebruikt. Als er een fout optreedt, probeert de extensie het niet opnieuw met andere certificaattemplates. Dit beleid is verplicht. Er moet minstens één waarde in de lijst staan. Gebruik in de CA Microsoft Management Console (MMC) de templatenaam en niet de weergavenaam van de template. De standaard is ChromeOSWirelessUser.
enable_auto_enrollment	Hiermee wordt bepaald of de extensie automatisch de inschrijving start. Als dit is ingesteld op 'onwaar', wacht de extensie tot de gebruiker probeert verbinding te maken met het EAP-TLS-netwerk. De standaard is 'onwaar'.
log_level	Hiermee geef je het detailniveau aan van de logboeken van de extensie die naar de JavaScript-console in Chrome worden verzonden. NONE (GEEN) (standaard): Er wordt niets vastgelegd in de console. ERROR (FOUT): Alleen unieke fouten worden vastgelegd in de console. WARNING (WAARSCHUWING): Unieke fouten en waarschuwingen worden vastgelegd in de console. INFO: Unieke fouten, waarschuwingen en relevante informatie over acties worden vastgelegd in de console. DEBUG (FOUTOPSPORING): Alles wordt vastgelegd in de console. Bij de eerste versie wordt deze instelling aangeraden om mogelijke problemen te ondervangen. Onder Meer opties kun je alle logboeken automatisch naar het klembord kopiëren. Gebruikers kunnen de webontwikkelaarsconsole in Chrome op twee manieren openen om toegang te krijgen tot de Chrome-logboeken op hun apparaat: Door te drukken op Ctrl+Shift+i. Door te klikken op Meer hulpprogramma'sHulpprogramma's voor ontwikkelaars. Dit beleid is verplicht.
placeholder_values	Hiermee geef je de tijdelijke aanduidingen op voor de velden 'Gebruikersnaam', 'Wachtwoord', 'URI', 'Verzoek-ID' en 'Koptekst'. Deze informatie helpt gebruikers bij het inloggen. De velden 'Gebruikersnaam', 'Wachtwoord', 'URI' en 'Verzoek-ID' worden boven de invoervelden weergegeven om aan te geven wat de functie is van elk invoerveld. Het veld 'Koptekst' wordt gebruikt als paginatitel. Er zijn speciale waarden voor de velden 'Gebruikersnaam', 'Wachtwoord' en 'Koptekst' waarmee klanten onze geïnternationaliseerde standaardnamen kunnen gebruiken. managed_username_placeholder: gebruikersnaam managed_password_placeholder: wachtwoord managed_login_header: certificaatinschrijving Als je organisatie andere termen gebruikt, zoals 'wachtwoordzin' in plaats van 'wachtwoord', kun je de waarden wijzigen. De nieuwe waarde wordt echter niet vertaald.
renew_hours_before_expiry	Hiermee geef je de tijdsduur (in uren) op waarbinnen gebruikers op de hoogte moeten worden gesteld voordat het certificaat verloopt.   De standaardwaarde is 120.
renew_reminder_interval	Hiermee bepaal je hoe vaak (per aantal uren) gebruikers de melding ontvangen dat hun certificaten bijna verlopen. Als de gebruiker na de eerste melding het certificaat niet verlengt en er niet voor kiest herinneringen te negeren, wordt een andere melding weergegeven na het aantal uren dat je hier instelt. Als je bijvoorbeeld renew_hours_before_expiry instelt op 120 en renew_reminder_interval op 24, en een gebruiker er steeds voor kiest verdere herinneringen te ontvangen, ontvangt de gebruiker in totaal vijf meldingen om te verlengen (één per dag) tot het certificaat verloopt. De standaardwaarde is 24.
request_timeout_seconds	De tijdsduur, in seconden, voordat een oproep naar CEP of CES verloopt. De standaardwaarde is 20.
signature_algo	Hiermee wordt bepaald welk algoritme voor handtekeningen de extensie gebruikt om certificaatverzoeken te ondertekenen. Beschikbare opties zijn: SHA1 (afgeraden): Zwak algoritme dat de beveiliging van je gebruikers kan compromitteren. SHA256 SHA512 (standaard).
user_cert_request_values	Hiermee worden de waarden opgegeven die worden gebruikt in het certificaatondertekeningsverzoek (Certificate Signing Request, CSR) voor een gebruikerscertificaat. Je kunt onderwerpwaarden opgeven gebaseerd op gebruikers- en apparaatkenmerken, in plaats van de eigenschappen van de aanvrager te gebruiken. Als je een aangepaste CSR wilt gebruiken, moet je ook de certificaattemplate bij de CA configureren zodat deze een certificaat verwacht en genereert met de onderwerpwaarden uit de aanvraag zelf. Je moet minimaal een waarde invoeren voor de CommonName van het onderwerp. Je kunt de volgende tijdelijke aanduidingen gebruiken. Alle waarden zijn optioneel. ${DEVICE_DIRECTORY_ID}: De directory-ID van het apparaat. ${USER_EMAIL}: Het e-mailadres van de ingelogde gebruiker. ${USER_DOMAIN}: De domeinnaam van de ingelogde gebruiker. ${DEVICE_SERIAL_NUMBER}: Het serienummer van het apparaat. ${DEVICE_ASSET_ID}: De item-ID die is toegewezen aan het apparaat door de beheerder. ${DEVICE_ANNOTATED_LOCATION}: De locatie die is toegewezen aan het apparaat door de beheerder. ${USER_ID}: Het eerste deel van het e-mailadres van de ingelogde gebruiker (voor de @). Als er geen tijdelijke aanduiding beschikbaar is, blijft de aanduiding leeg. Je kunt meerdere tijdelijke aanduidingen na elkaar plaatsen. Bijvoorbeeld: ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} wordt vervangen door het serienummer van het apparaat als de item-ID niet beschikbaar is.
user_enrollment_templates	Lijst van overeenkomende namen van certificaattemplates op volgorde van prioriteit voor het inschrijfproces van gebruikers. De extensie zoekt in de lijst naar een overeenkomende certificaattemplate. De eerste overeenkomende certificaattemplate wordt gebruikt. Als er een fout optreedt, probeert de extensie het niet opnieuw met andere certificaattemplates. Dit beleid is verplicht. Er moet minstens één waarde in de lijst staan. Gebruik in de CA MMC de templatenaam en niet de weergavenaam van de template. De standaard is ChromeOSWirelessUser.

Certificaatregistratie configureren met of zonder door de gebruiker ingevoerde inloggegevens

Standaard is de extensie voor certificaatinschrijving zo ingesteld dat gebruikers handmatig een certificaat kunnen registreren door hun inloggegevens in te voeren als er een certificaat moet worden geleverd.

Je kunt instellen dat gebruikers automatisch een certificaat kunnen registreren of verlengen zonder dat ze hun inloggegevens handmatig hoeven in te voeren, met de ChromeOS-extensie. De extensie kan zowel gebruikers- als apparaatcertificaten opvragen met Kerberos-verificatie als een Kerberos-ticket voor gebruikers beschikbaar is op het apparaat. De extensie kan ook alleen apparaatcertificaten opvragen met een serviceaccount.

Kerberos-verificatie

Voordat u begint

• De ChromeOS-gebruiker moet een Kerberos-ticket op het apparaat hebben.
  • Kerberos-referentiebeheer moet worden ingesteld met een beleidsregel zodat een Kerberos-ticket kan worden opgehaald voor de ingelogde gebruiker. We raden je aan in te stellen dat dit automatisch gebeurt als een gebruiker inlogt. Zie Kerberos Single sign-on configureren voor Chrome-apparaten.
• Het Active Directory-gebruikersaccount dat is gekoppeld aan het Kerberos-ticket moet rechten hebben om certificaten op te vragen met de geconfigureerde certificaattemplate.
• Het inschrijfeindpunt moet in het Chrome OS-beleid Geïntegreerde verificatieservers staan. Bekijk het beleid in de lijst met Chrome-beleid voor meer informatie.
  • Stel de instelling Geïntegreerde verificatieservers correct in de Beheerdersconsole in. Zie Geïntegreerde verificatieservers voor meer informatie.

De extensie configureren

Stel de waarde van het extensiebeleid `client_authentication` in op `kerberos`.

Verificatie via een gehost serviceaccount

Je kunt instellen dat de extensie een apparaatcertificaat opvraagt met een serviceaccount. De inloggegevens van het serviceaccount worden gehost op een webserver in je lokale netwerk.

Waarschuwing: Als een aanvaller op het apparaat toegang krijgt tot de webserver waarop de inloggegevens en het extensiebeleid worden gehost, kan deze mogelijk de inloggegevens van het serviceaccount achterhalen.

We raden je aan de toegang tot de webserver waarop de inloggegevens van het serviceaccount worden gehost te beperken tot een registratienetwerk dat alleen wordt gebruikt voor de eerste Chrome OS-apparaatregistratie.

Voordat u begint

• Je moet een webserver hebben op het lokale netwerk die HTTPS-verzoeken kan uitvoeren.
• In ChromeOS moet het certificaat van die webserver zijn geregistreerd als vertrouwd. Als de webserver een certificaat gebruikt dat is uitgegeven door een zelfondertekende CA, kun je in de Beheerdersconsole instellen dat het certificaat van de CA wordt vertrouwd.

Stap 1: Het gemaskeerde wachtwoord maken

1. Open de extensie.
2. Selecteer More(Meer) Password Mask Tool (Tool om wachtwoorden te maskeren).
3. Voer het wachtwoord van het serviceaccount in.
4. Selecteer Mask (Maskeren).
5. Kopieer het masker en het gemaskeerde wachtwoord naar een tekstbestand.

Stap 2: Inloggegevens opslaan op de interne webserver

1. Configureer de webserver om een JSON-bestand uit te voeren dat het volgende bevat:

{

  ‘username’: ‘<gebruikersnaam serviceaccount>’,

  ‘maskedPassword’: ‘<gekopieerde en geplakte gemaskeerde wachtwoord>’

}

2. Kopieer de URL die de webserver gebruikt om de inloggegevens te hosten naar een tekstbestand.

Stap 3: Het extensiebeleid configureren

1. Stel de variabele voor het extensiebeleid ‘service_account_host’ in op de URL die je hierboven hebt gekopieerd.
2. Stel de variabele voor het extensiebeleid 'service_account_host_password_mask' in op het masker dat je hierboven hebt gekopieerd.

Geautomatiseerde certificaatverlenging

Je kunt de extensie zo instellen dat bestaande certificaten worden verlengd zonder dat aanvullende verificatie nodig is, via sleutelgebaseerde verlenging.

Voordat u begint

Er moet een ADCS Certificate Enrollment Service-eindpunt (CES) dat sleutelgebaseerde verlenging ondersteunt voor de geconfigureerde certificaattemplate beschikbaar zijn. Zie Configuring Certificate Enrollment Web Service for certificate key-based renewal on a custom port (Certificate Enrollment Web Service configureren voor sleutelgebaseerde verlenging van een webcertificaat op een aangepaste poort) voor meer informatie.

De extensie configureren

• Stel de waarde van het extensiebeleid `use_key_based_renewal` in op true.
• Stel de waarde van het extensiebeleid 'ces_renewal_url' in op de URL van het Certificate Enrollment Service-eindpunt (CES) dat sleutelgebaseerde verlenging ondersteunt.

Als je instellingen wilt opgeven voor een specifieke groep gebruikers of ingeschreven Chrome-browsers, plaats je de gebruikersaccounts of browsers in een groep of organisatie-eenheid. Alleen gebruikersaccounts kunnen worden toegevoegd aan groepen. Zie Groepen en Een organisatie-eenheid toevoegen voor meer informatie.

1. Log in bij de Google Beheerdersconsole.

   Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

2. Ga in de Beheerdersconsole naar Menu  FactureringAbonnementen.
3. Klik op Wifi.
4. Voeg een nieuw EAP-TLS-netwerk toe.
   Zie Netwerken beheren voor informatie over het toevoegen van een wifi-netwerkconfiguratie.
5. Laat het netwerk wijzen naar de inschrijfextensie. Voer in het veld URL voor clientinschrijving de tekst chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html in.

Opmerking: De URL van de inschrijfextensie kan zelfs worden geopend in de Chrome-browser als er geen netwerken zijn geconfigureerd om in te schrijven op deze URL. Zo kun je de URL handmatig testen voordat je netwerken configureert en kun je certificaten inschrijven voor ander gebruik dan voor EAP-TLS-netwerken, zoals certificaatgebaseerde VPN. Vraag je gebruikers in hun browser naar de URL te gaan en de stap om het netwerk te configureren over te slaan.

1. Ga op een beheerd Chrome OS-apparaat naar chrome://policy.
2. Klik op Beleid opnieuw laden.
3. Scroll naar Certificaat inschrijven voor Chrome OS.
4. Controleer voor elk beleid of de velden dezelfde zijn als de velden die je hebt ingesteld in het JSON-bestand.