Używanie rozszerzenia Rejestracja certyfikatu dla ChromeOS

Aby automatycznie zarejestrować wstępnie skonfigurowany certyfikat, użytkownik musi:

1. Kliknąć powiadomienie o konieczności zarejestrowania certyfikatu.
2. (Opcjonalnie) Zaznaczyć pole Zarejestruj certyfikat dla całego urządzenia, aby wysłać żądanie certyfikatu urządzenia. Jeśli to pole pozostanie niezaznaczone, zostanie wysłane żądanie certyfikatu użytkownika.
3. Kliknąć Zarejestruj.

Aby odnowić certyfikat, użytkownik musi tylko kliknąć powiadomienie Przypomnienie o odnowieniu certyfikatu.

Żądanie certyfikatu użytkownika powoduje wydanie certyfikatu dla określonego użytkownika, który wysłał żądanie (a nie dla całego urządzenia). Certyfikaty użytkownika są ważne tylko dla danego użytkownika zalogowanego na komputerze, a nie dla innych użytkowników, którzy mogą używać tego komputera.

1. Przejdź (klikając lub naciskając klawisz Tab) do pola Nazwa użytkownika.
2. Wpisz swoją nazwę użytkownika.
3. Przejdź (klikając lub naciskając klawisz Tab) do pola Hasło.
4. Wpisz hasło.
5. Pozostaw pole „dla całego urządzenia” niezaznaczone.

Żądanie certyfikatu urządzenia powoduje wydanie certyfikatu dla całego urządzenia, z którego wysłano żądanie (a nie tylko dla użytkownika, który je wysłał). Certyfikaty urządzeń są ważne dla wszystkich użytkowników należących do tej samej organizacji na danym komputerze – jest to zwykle konieczne na urządzeniach używanych w trybie sesji publicznej lub w trybie kiosku.

1. Przejdź (klikając lub naciskając klawisz Tab) do pola Nazwa użytkownika.
2. Wpisz swoją nazwę użytkownika.
3. Przejdź (klikając lub naciskając klawisz Tab) do pola Hasło.
4. Wpisz hasło.
5. Zaznacz pole „dla całego urządzenia”.

Proces wysyłania żądania jest taki sam dla certyfikatów użytkownika i certyfikatów urządzenia.

1. Utwórz żądanie certyfikatu użytkownika lub urządzenia w sposób opisany powyżej.
2. Przejdź do przycisku Zarejestruj.
3. Kliknąć Zarejestruj.

Po wysłaniu żądania pomyślnym skutkiem jest uzyskanie od serwera odpowiedzi zawierającej żądany certyfikat.

1. Wyślij żądanie certyfikatu w sposób opisany powyżej.
2. Poczekaj na odpowiedź.
3. Po odebraniu odpowiedzi wyświetli się okno z komunikatem o otrzymaniu i zaimportowaniu certyfikatu.
4. Wybierz OK w oknie, naciśnij klawisz Escape lub kliknij poza oknem, aby je zamknąć.

Czasami wysłane żądanie może zostać niezrealizowane z różnych powodów. Odpowiedź z komunikatem o błędzie informuje użytkownika o problemie.

1. Wyślij żądanie certyfikatu w sposób opisany powyżej.
2. Poczekaj na odpowiedź.
3. Po odebraniu odpowiedzi wyświetli się okno z komunikatem o błędzie.
4. Wybierz OK w oknie, naciśnij klawisz Escape lub kliknij poza oknem, aby je zamknąć.
5. Jeśli błąd można naprawić (na przykład podano nieprawidłową nazwę użytkownika), naprawienie błędu i ponowne wysłanie żądania powinno dać oczekiwany efekt. Jeśli nie można naprawić błędu (na przykład żądanie zostało odrzucone przez serwer), użytkownik powinien poszukać pomocy.

Czasem wysłane żądanie musi oczekiwać na serwerze na ręczne sprawdzenie i zatwierdzenie lub odrzucenie przez właściwą osobę. Odpowiedź o oczekiwaniu przekazuje użytkownikowi informacje o tym, jak może później sprawdzić stan żądania.

1. Wyślij żądanie certyfikatu w sposób opisany powyżej.
2. Poczekaj na odpowiedź.
3. Po odebraniu odpowiedzi wyświetli się okno z komunikatem o oczekiwaniu. Będzie w nim podany identyfikator URI rejestracji oraz identyfikator żądania, które umożliwiają późniejsze sprawdzenie stanu żądania.
4. Skopiuj identyfikator URI rejestracji i identyfikator żądania, aby móc skorzystać z nich później.
5. Wybierz OK w oknie, naciśnij klawisz Escape lub kliknij poza oknem, aby je zamknąć.

Jeśli użytkownik ma oczekujące żądanie, może chcieć później sprawdzić jego stan. Aby tworzyć i wysyłać żądania oczekującego certyfikatu, użytkownik musi otworzyć interfejs oczekującego żądania.

1. Przejdź (klikając lub naciskając klawisz Tab) do przycisku Więcej opcji i wybierz ten przycisk.
2. Na liście opcji przejdź (klikając lub naciskając klawisz Tab) do opcji „Pokazać dodatkowe pola przy sprawdzaniu oczekujących próśb?”.
3. Wybierz „Pokazać dodatkowe pola przy sprawdzaniu oczekujących próśb?”, aby włączyć wyświetlanie pól oczekujących żądań.

Jeśli użytkownik wcześniej przeszedł do interfejsu oczekującego żądania, może chcieć wrócić do zwykłego interfejsu.

1. Przejdź (klikając lub naciskając klawisz Tab) do przycisku Więcej opcji i wybierz ten przycisk.
2. Na liście opcji przejdź (klikając lub naciskając klawisz Tab) do opcji „Ukryć dodatkowe pola przy sprawdzaniu oczekujących próśb?”.
3. Wybierz „Ukryć dodatkowe pola przy sprawdzaniu oczekujących próśb?”, aby wyłączyć wyświetlanie pól oczekujących żądań.

Jeśli użytkownik ma oczekujące żądanie, może chcieć później sprawdzić jego stan. Można to zrobić w sposób bardzo podobny do sposobu tworzenia nowego żądania.

1. Przejdź do interfejsu oczekującego żądania (w sposób opisany powyżej).
2. Przejdź (klikając lub naciskając klawisz Tab) do pola Nazwa użytkownika.
3. Wpisz swoją nazwę użytkownika.
4. Przejdź (klikając lub naciskając klawisz Tab) do pola Hasło.
5. Wpisz hasło.
6. Przejdź (klikając lub naciskając klawisz Tab) do pola Identyfikator URI rejestracji.
7. Wpisz identyfikator URI rejestracji wyświetlany we wcześniejszej odpowiedzi o oczekiwaniu na certyfikat.
8. Przejdź (klikając lub naciskając klawisz Tab) do pola Identyfikator żądania.
9. Wpisz identyfikator żądania wyświetlany we wcześniejszej odpowiedzi o oczekiwaniu na certyfikat.
10. Jeśli pierwotne żądanie certyfikatu dotyczyło certyfikatu dla całego urządzenia, zaznacz pole „dla całego urządzenia”. W przeciwnym razie nie zaznaczaj pola „dla całego urządzenia”.

Po utworzeniu żądania sprawdzenia oczekującego certyfikatu użytkownik musi wysłać to żądanie, aby otrzymać odpowiedź. Efektem żądania sprawdzenia oczekującego certyfikatu może być odpowiedź o powodzeniu, niepowodzeniu lub dalszym oczekiwaniu (odpowiedzi te korespondują z opisanymi powyżej schematami działań użytkownika).

1. Utwórz żądanie sprawdzenia oczekującego certyfikatu (w sposób opisany powyżej).
2. Przejdź do przycisku Sprawdź stan.
3. Wybierz przycisk Sprawdź stan.

Czasem w przypadku błędów pomocne może być przejrzenie przez asystenta lub administratora pełnych dzienników rozszerzenia. Udostępniliśmy użytkownikom prostą metodę kopiowania tych dzienników do schowka.

1. Przejdź (klikając lub naciskając klawisz Tab) do przycisku Więcej opcji i wybierz ten przycisk.
2. Na liście opcji przejdź (klikając lub naciskając klawisz Tab) do opcji „Skopiuj dzienniki do schowka”.
3. Wybierz „Skopiuj dzienniki do schowka”, aby skopiować dzienniki do schowka użytkownika.
4. Teraz użytkownik może w zwykły sposób wkleić te dzienniki w dowolnym miejscu.

1. Zaloguj się w usłudze konsoli administracyjnej Google.

   Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

2. W konsoli administracyjnej kliknij Menu    Urządzenia  Chrome  Aplikacje i rozszerzenia  Użytkownicy i przeglądarki.

   Jeśli korzystasz z zarządzania przeglądarką Chrome w chmurze, kliknij Menu    Przeglądarka Chrome  Aplikacje i rozszerzenia  Użytkownicy i przeglądarki.
3. (Opcjonalnie) Aby zastosować ustawienie do działu lub zespołu, z boku wybierz jednostkę organizacyjną. Pokaż mi, jak to zrobić
4. Najedź na Dodaj Dodaj z Chrome Web Store.
5. Wyszukaj i wybierz rozszerzenie Rejestracja certyfikatu dla ChromeOS. Identyfikator rozszerzenia to fhndealchbngfhdoncgcokameljahhog.
6. Na stronie Użytkownicy i przeglądarki wybierz rozszerzenie Rejestracja certyfikatu dla ChromeOS.
7. W panelu po prawej stronie, w sekcji Zarządzanie certyfikatami, włącz opcję Zezwalaj na dostęp do kluczy.
8. W sekcji Zasady instalacji wybierz opcję Wymuś instalację lub Wymuś instalację i przypnij do paska narzędzi ChromeOS.
9. Kliknij Zapisz.

Utwórz plik zawierający ustawienia, które chcesz zastosować w rozszerzeniu Rejestracja certyfikatu dla ChromeOS na urządzeniach użytkowników. Pobierz ten przykładowy plik i zmień zasady, aby dostosować je do potrzeb organizacji lub użytkowników. Plik JSON (JavaScript Object Notation) możesz modyfikować za pomocą edytora tekstu.

Uwaga: zasady zawierające wartości domyślne w ciągach tekstowych widocznych dla użytkownika zostaną przetłumaczone na urządzeniach użytkowników zgodnie z ustawieniami regionalnymi. Możesz zmienić te ciągi, aby dostosować je do potrzeb organizacji, ale wtedy nie zostaną one przetłumaczone.

Możesz ustawić te zasady:

Nazwa zasady	Działanie
allow_machine_cert_enrollment	Umożliwia użytkownikom zainstalowanie certyfikatu systemu. Jeśli ma wartość prawda (true), użytkownicy mogą poprosić o certyfikat systemu lub użytkownika. W przypadku ustawienia wartości fałsz (false), mogą oni zażądać tylko certyfikatu użytkownika. Wartość domyślna to fałsz (false).
cep_proxy_url	Określa punkt końcowy HTTPS usługi CEP. Aby uzyskać punkt końcowy: W aplikacji IIS Manager otwórz stronę usługi CEP. Jej nazwa zwykle zawiera tekst CEP. Otwórz Application Settings (Ustawienia aplikacji). Punkt końcowy HTTPS usługi CEP jest dostępny w polu URI. Obsługiwane są tylko wartości rozpoczynające się od https. Jeśli w aplikacji IIS Manager wpiszesz wartość rozpoczynającą się ciągiem https, która nie jest zgodna z formatem identyfikatora URI, zostanie ona zaakceptowana i zastosowana, ale najprawdopodobniej doprowadzi do wystąpienia błędu. Ta zasada jest obowiązkowa.
company_info	Określa informacje o marce organizacji, na przykład nazwę i logo. Ustaw help_url, aby skierować użytkowników na stronę internetową, na której mogą uzyskać informacje lub pomoc. Jeśli określona w ten sposób strona jest zablokowana dla użytkowników bez certyfikatu, gdy na przykład chcą oni go dopiero uzyskać, użyj ustawienia help_text, aby przekazać im przydatne informacje. Jeśli ustawisz help_url i help_text, podana strona internetowa pojawi się na urządzeniach użytkowników pod tekstem dotyczącym pomocy.
device_cert_request_values	Określa wartości do wstawienia w żądaniu podpisania certyfikatu (CSR – certificate signing request) urządzenia. Zamiast stosować właściwości żądającego możesz podać wartości podmiotu określane na podstawie atrybutów konta użytkownika i urządzenia. Aby użyć niestandardowego żądania podpisania certyfikatu, w urzędzie certyfikacji musisz też skonfigurować szablon certyfikatu, który obsługuje określone wartości podmiotu i pozwala wygenerować na ich podstawie certyfikat. Wymagane jest podanie wartości CommonName podmiotu. Obsługiwane są wartości zastępcze opisane poniżej. Wszystkie wartości są opcjonalne. Wartości zastępcze, których możesz używać na urządzeniach z ChromeOS 66 lub nowszym: ${DEVICE_DIRECTORY_ID} – identyfikator katalogu urządzenia, ${USER_EMAIL} – adres e-mail zalogowanego użytkownika, ${USER_DOMAIN} – nazwa domeny zalogowanego użytkownika, ${DEVICE_SERIAL_NUMBER} – numer seryjny urządzenia, ${DEVICE_ASSET_ID} – identyfikator zasobu przypisany do urządzenia przez administratora, ${DEVICE_ANNOTATED_LOCATION} – lokalizacja urządzenia przypisana przez administratora. Jeśli wartość zastępcza nie jest dostępna, zastępuje ją pusty ciąg. Możesz łączyć te wartości w ciągi. Na przykład wartość ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} zostanie zastąpiona numerem seryjnym urządzenia, jeśli identyfikator zasobu nie jest dostępny.
device_enrollment_templates	Lista obsługiwanych nazw szablonów certyfikatów w porządku priorytetowym na potrzeby procesu rejestracji użytkowników. Rozszerzenie przeszuka listę zasad w poszukiwaniu zgodnego szablonu certyfikatu. Użyty zostanie pierwszy pasujący szablon certyfikatu. Jeśli wystąpi błąd, rozszerzenie nie będzie próbowało zastosować innego szablonu. Ta zasada jest obowiązkowa. Lista musi zawierać co najmniej jedną wartość. Z konsoli MMC (Microsoft Management Console) urzędu certyfikacji zapisz wartość z pola Template name (Nazwa szablonu), a nie z Template display name (Nazwa wyświetlana szablonu). Wartość domyślna to ChromeOSWirelessUser.
enable_auto_enrollment	Określa, czy rozszerzenie automatycznie inicjuje rejestrację. Jeśli ustawisz wartość fałsz (false), rozszerzenie będzie czekać na próbę nawiązania połączenia z siecią EAP-TLS przez użytkownika. Wartość domyślna to fałsz (false).
log_level	Określa poziom szczegółowości wpisów w dziennikach rozszerzenia, które są wysyłane do konsoli JavaScriptu w Chrome. NONE (domyślnie) – nic nie jest rejestrowane w konsoli. ERROR – w konsoli są rejestrowane tylko zdefiniowane błędy. WARNING – w konsoli są rejestrowane zdefiniowane błędy i ostrzeżenia. INFO – w konsoli są rejestrowane zdefiniowane błędy i ostrzeżenia oraz odpowiednie informacje o działaniach. DEBUG – w konsoli są rejestrowane wszystkie informacje. W przypadku wersji początkowej jest to ustawienie zalecane, które pomaga rozwiązywać potencjalne problemy. W menu Więcej opcji pojawi się dodatkowy przycisk pozwalający automatycznie skopiować wszystkie dzienniki do schowka. Użytkownicy mogą otworzyć internetową konsolę programisty w Chrome i znaleźć dzienniki Chrome na swoich urządzeniach na dwa sposoby: naciskając Ctrl+Shift+I, klikając Więcej narzędziNarzędzia dla deweloperów. Ta zasada jest obowiązkowa.
placeholder_values	Określa obiekty zastępcze nazwy użytkownika, hasła, identyfikatora URI, identyfikatora żądania oraz nagłówka. Te informacje ułatwiają przeprowadzenie użytkowników przez proces logowania. Pola Username (Nazwa użytkownika), Password (Hasło), URI (Identyfikator URI) i RequestID (Identyfikator żądania) pozwalają wyświetlać wartości nad polami do wypełnienia, dzięki czemu można opisać funkcję danego pola. Pole Header (Nagłówek) przedstawia tytuł strony. Istnieją specjalne wartości pól Username, Password i Header, które pozwalają klientom używać międzynarodowych nazw domyślnych: managed_username_placeholder – nazwa użytkownika, managed_password_placeholder – hasło, managed_login_header – rejestracja certyfikatu. Jeśli w Twojej organizacji używana jest inna terminologia, na przykład kod zamiast hasła, możesz zmienić te wartości. Jednak nowe wartości nie zostaną przetłumaczone.
renew_hours_before_expiry	Określa, na ile godzin przed wygaśnięciem certyfikatu użytkownicy mają otrzymać powiadomienie o jego wygaśnięciu.   Wartość domyślna to 120.
renew_reminder_interval	Określa, co ile godzin użytkownicy mają otrzymywać powiadomienia o kończącej się ważności certyfikatu. Jeśli po pierwszym powiadomieniu użytkownik nie odnowi certyfikatu ani nie zignoruje wszystkich przypomnień, kolejne powiadomienie pojawi się po ustawionej liczbie godzin. Jeśli na przykład ustawisz renew_hours_before_expiry na 120 i renew_reminder_interval na 24, a użytkownik nie zignoruje kolejnych przypomnień, to do wygaśnięcia certyfikatu otrzyma on jeszcze pięć powiadomień o odnowieniu – po jednym dziennie. Wartość domyślna to 24.
request_timeout_seconds	Okres ważności połączeń z CEP lub CES (w sekundach). Wartość domyślna to 20.
signature_algo	Określa algorytm podpisu używany przez rozszerzenie do podpisywania żądań o wydanie certyfikatu. Dostępne opcje: SHA1 – niezalecany, słaby algorytm, który może zagrażać bezpieczeństwu użytkowników SHA256 SHA512 (domyślnie)
user_cert_request_values	Określa wartości do wstawienia w żądaniu podpisania certyfikatu (CSR – certificate signing request) użytkownika. Zamiast stosować właściwości żądającego możesz podać wartości podmiotu określane na podstawie atrybutów konta użytkownika i urządzenia. Aby użyć niestandardowego żądania podpisania certyfikatu, w urzędzie certyfikacji musisz też skonfigurować szablon certyfikatu, który obsługuje określone wartości podmiotu i pozwala wygenerować na ich podstawie certyfikat. Wymagane jest podanie wartości CommonName podmiotu. Obsługiwane są wartości zastępcze opisane poniżej. Wszystkie wartości są opcjonalne. ${DEVICE_DIRECTORY_ID} – identyfikator katalogu urządzenia, ${USER_EMAIL} – adres e-mail zalogowanego użytkownika, ${USER_DOMAIN} – nazwa domeny zalogowanego użytkownika, ${DEVICE_SERIAL_NUMBER} – numer seryjny urządzenia, ${DEVICE_ASSET_ID} – identyfikator zasobu przypisany do urządzenia przez administratora, ${DEVICE_ANNOTATED_LOCATION} – lokalizacja urządzenia przypisana przez administratora, ${USER_ID} – pierwsza część adresu e-mail zalogowanego użytkownika (przed „@”). Jeśli wartość zastępcza nie jest dostępna, zastępuje ją pusty ciąg. Możesz łączyć te wartości w ciągi. Na przykład wartość ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} zostanie zastąpiona numerem seryjnym urządzenia, jeśli identyfikator zasobu nie jest dostępny.
user_enrollment_templates	Lista obsługiwanych nazw szablonów certyfikatów w kolejności według priorytetu na potrzeby procesu rejestracji użytkowników. Rozszerzenie przeszuka listę zasad w poszukiwaniu zgodnego szablonu certyfikatu. Użyty zostanie pierwszy pasujący szablon certyfikatu. Jeśli wystąpi błąd, rozszerzenie nie będzie próbowało zastosować innego szablonu. Ta zasada jest obowiązkowa. Lista musi zawierać co najmniej jedną wartość. Z konsoli MMC urzędu certyfikacji zapisz wartość z pola Template name (Nazwa szablonu), a nie z Template display name (Nazwa wyświetlana szablonu). Wartość domyślna to ChromeOSWirelessUser.

Konfigurowanie udostępniania certyfikatów przy użyciu wprowadzonych przez użytkownika danych logowania lub bez tych danych

Domyślnie rozszerzenie do rejestracji certyfikatów pozwala użytkownikom ręcznie uzyskać certyfikat po wprowadzeniu danych logowania.

Za pomocą rozszerzenia do ChromeOS możesz zapewnić użytkownikom automatyczne uzyskanie lub odnowienie certyfikatu bez konieczności wprowadzania danych logowania. Rozszerzenie może pobrać certyfikat użytkownika i certyfikat urządzenia przy użyciu uwierzytelniania Kerberos, jeśli na urządzeniu jest dostępne zgłoszenie Kerberos użytkownika. Może też pobrać sam certyfikat urządzenia przy użyciu konta usługi.

Uwierzytelnianie Kerberos

Zanim zaczniesz

• Użytkownik ChromeOS musi mieć na urządzeniu zgłoszenie Kerberos.
  • Należy skonfigurować zasadę zezwalającą menedżerowi danych logowania Kerberos na pobranie zgłoszenia Kerberos dla zalogowanego użytkownika. Najlepiej skonfigurować ją tak, aby następowało to automatycznie podczas logowania. Przeczytaj artykuł Konfigurowanie logowania jednokrotnego przez Kerberos na urządzeniach z ChromeOS.
• Konto użytkownika Active Directory powiązane ze zgłoszeniem Kerberos musi mieć uprawnienia do żądania certyfikatów przy użyciu skonfigurowanego szablonu certyfikatu.
• Punkt końcowy rejestracji musi być podany w zasadzie Serwery zintegrowanego uwierzytelniania w ChromeOS. Szczegółowe informacje o tej zasadzie znajdziesz na liście zasad Chrome.
  • Skonfiguruj poprawnie ustawienie Serwery zintegrowanego uwierzytelniania w konsoli administracyjnej. Więcej informacji znajdziesz w sekcji o serwerach zintegrowanego uwierzytelniania.

Konfigurowanie rozszerzenia

Ustaw wartość zasady rozszerzenia client_authentication na kerberos.

Uwierzytelnianie za pomocą konta usługi hostowanej

W konfiguracji rozszerzenia możesz włączyć żądanie certyfikatu urządzenia za pomocą konta usługi. Dane logowania konta usługi są hostowane na serwerze WWW w Twojej sieci lokalnej.

Ostrzeżenie: jeśli osoba przeprowadzająca atak uzyska dostęp do serwera WWW, na którym są hostowane dane logowania, oraz do zasady rozszerzenia na urządzeniu, istnieje możliwość, że uda się jej wyodrębnić dane logowania konta usługi.

Zalecamy ograniczenie dostępu do serwera WWW, na którym są hostowane dane logowania konta usługi, do sieci obsługi administracyjnej, która jest używana tylko do wstępnej obsługi administracyjnej urządzeń z ChromeOS.

Zanim zaczniesz

• Musisz mieć serwer WWW w sieci lokalnej, który obsługuje żądania HTTPS.
• ChromeOS musi ufać certyfikatowi tego serwera WWW. Jeśli serwer WWW używa certyfikatu wystawionego przez podpisany samodzielnie urząd certyfikacji, możesz skonfigurować certyfikat tego urzędu certyfikacji jako zaufany w konsoli administracyjnej.

Krok 1. Wygeneruj zamaskowane hasło

1. Otwórz rozszerzenie.
2. Wybierz More (Więcej)Password Mask Tool (Narzędzie do maskowania hasła).
3. Wpisz hasło konta usługi.
4. Wybierz Mask (Maska).
5. Skopiuj maskę i zamaskowane hasło do pliku tekstowego.

Krok 2. Zapisz dane logowania na wewnętrznym serwerze WWW

1. Skonfiguruj na serwerze WWW udostępnianie pliku JSON z następującą zawartością:

{

  ‘username’: ‘<nazwa użytkownika konta usługi>’,

  ‘maskedPassword’: ‘<skopiowane i wklejone zamaskowane hasło>’

}

2. Skopiuj URL, pod którym serwer WWW udostępnia dane logowania, do pliku tekstowego.

Krok 3. Skonfiguruj zasadę rozszerzenia

1. Ustaw zmienną zasady rozszerzenia service_account_host na skopiowany powyżej URL.
2. Ustaw zmienną zasady rozszerzenia service_account_host_password_mask na skopiowaną powyżej maskę.

Automatyczne odnawianie certyfikatów

W konfiguracji rozszerzenia możesz włączyć odnawianie obecnych certyfikatów na podstawie klucza bez dodatkowego uwierzytelniania.

Zanim zaczniesz

Dostępny musi być punkt końcowy usługi rejestracji certyfikatów ADCS, który obsługuje odnawianie na podstawie klucza dla skonfigurowanego szablonu certyfikatu. Szczegółowe informacje znajdziesz w artykule Configuring Certificate Enrollment Web Service for certificate key-based renewal on a custom port (Konfigurowanie usługi WWW rejestracji certyfikatów na potrzeby odnawiania certyfikatów na podstawie klucza na niestandardowym porcie).

Konfigurowanie rozszerzenia

• Ustaw wartość zasady rozszerzenia use_key_based_renewal na true.
• Ustaw wartość zasady rozszerzenia ces_renewal_url na URL punktu końcowego usługi rejestracji certyfikatów, który obsługuje odnawianie na podstawie klucza.

Aby skonfigurować ustawienia dla określonej grupy użytkowników lub zarejestrowanych przeglądarek Chrome, umieść te konta użytkowników lub przeglądarki w grupie albo jednostce organizacyjnej. Do grup można dodać tylko konta użytkowników. Szczegółowe informacje znajdziesz w artykułach Grupy i Dodawanie jednostki organizacyjnej.

1. Zaloguj się w usłudze konsoli administracyjnej Google.

   Użyj swojego konta administratora (jego adres nie kończy się na @gmail.com).

2. W konsoli administracyjnej otwórz Menu    Urządzenia  Sieci.
3. Kliknij Wi-Fi.
4. Dodaj nową sieć EAP-TLS.
   Szczegółowe informacje o dodawaniu konfiguracji sieci Wi-Fi znajdziesz w artykule Zarządzanie sieciami.
5. Wskaż rozszerzenie rejestracji w sieci. W polu URL rejestracji klienta wpisz chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Uwaga: adres URL rozszerzenia rejestracji jest dostępny dla przeglądarki Chrome nawet wtedy, gdy żadna sieć nie jest skonfigurowana na potrzeby rejestrowania pod tym adresem. Dzięki temu możesz ręcznie przetestować działanie adresu URL, zanim skonfigurujesz jakiekolwiek sieci albo zarejestrujesz certyfikaty obsługujące sieci inne niż EAP-TLS, na przykład VPN na podstawie certyfikatów. Poinstruuj użytkowników, aby otworzyli ten adres URL w przeglądarce i pominęli etap konfiguracji sieci.

1. Na zarządzanym urządzeniu z ChromeOS otwórz stronę chrome://policy.
2. Kliknij Odśwież zasady.
3. Przewiń do Rejestracja certyfikatu dla ChromeOS.
4. Sprawdź, czy wartości każdej zasady są ustawione tak samo jak w skonfigurowanym pliku JSON.