ChromeOS için Sertifika Kaydı uzantısını kullanma

Önceden yapılandırılmış bir sertifikayı otomatik olarak kaydettirmek için kullanıcının şu işlemleri yapması gerekir:

1. Sertifika Kaydettir bildirimini tıklayın.
2. (İsteğe bağlı) Cihaz sertifikası istemek için Cihaz Genelinde Sertifika Kaydettir'i seçin. Kutu işaretlenmezse bir kullanıcı sertifikası istenir.
3. Kaydol'u tıklayın.

Sertifikayı yenilemek için kullanıcının yalnızca Sertifika Yenileme Hatırlatıcısı bildirimini tıklaması gerekir.

Kullanıcı sertifikası istekleri, isteği gönderen kullanıcı için sertifika verilmesini amaçlar (cihazın geneli için sertifika verilmez). Kullanıcı sertifikaları yalnızca bu bilgisayara giriş yapmış olan kullanıcı için geçerlidir; bilgisayarı kullanabilecek diğer kullanıcılar için geçerli değildir.

1. Tıklayarak veya sekme tuşuyla Kullanıcı adı alanına gidin.
2. Kullanıcı adınızı girin.
3. Tıklayarak veya sekme tuşuyla Şifre alanına gidin.
4. Şifrenizi girin.
5. Cihaz Genelinde kutusunu işaretlemeden bırakın.

Cihaz sertifikası istekleri, isteği gönderen cihazın geneli için sertifika verilmesini amaçlar (sertifika, isteği gönderen kullanıcı ile sınırlı kalmaz). Cihaz sertifikaları, bilgisayar üzerinde aynı kuruluşta yer alan tüm kullanıcılar için geçerlidir. Bu genellikle Herkese Açık Oturum veya kiosk modunda kullanılan cihazlar için gereklidir.

1. Tıklayarak veya sekme tuşuyla Kullanıcı adı alanına gidin.
2. Kullanıcı adınızı girin.
3. Tıklayarak veya sekme tuşuyla Şifre alanına gidin.
4. Şifrenizi girin.
5. Cihaz Genelinde kutusunu işaretleyin.

Gönderilen isteğin türü (kullanıcı veya cihaz) ne olursa olsun, istek gönderme işlemi aynıdır.

1. Yukarıdaki adımlarda belirtildiği gibi bir kullanıcı veya cihaz sertifikası isteği oluşturun.
2. Kaydol düğmesine gidin.
3. Kaydol'u tıklayın.

İstek gönderildikten sonra ideal sonuç, sunucudan gelen ve istenen sertifikayı da içeren bir "işlem başarılı" yanıtıdır.

1. Yukarıda belirtildiği şekilde bir Sertifika İsteği gönderin.
2. Yanıt gelmesini bekleyin.
3. Yanıt alındığında, bir iletişim kutusunda, sertifikanın alındığını ve içe aktarıldığını belirten bir başarı mesajı görüntülenir.
4. İletişim kutusunda Tamam'ı seçin, Escape tuşuna basın veya işiniz bittiğinde iletişim kutusunu kapatmak için iletişim kutusunun dışını tıklayın.

Gönderilen bir istek çeşitli nedenlerle başarısız olabilir. Hata yanıtı, bu hataların tamamını kapsar ve kullanıcıya sorunun ne olduğunu bildirir.

1. Yukarıda belirtildiği şekilde bir Sertifika İsteği gönderin.
2. Yanıt gelmesini bekleyin.
3. Yanıt alındığında, bir şeylerin yolunda gitmediğini belirten bir hata mesajı içeren bir iletişim kutusu görüntülenir.
4. İletişim kutusunda Tamam'ı seçin, Escape tuşuna basın veya işiniz bittiğinde iletişim kutusunu kapatmak için iletişim kutusunun dışını tıklayın.
5. Hata düzeltilebiliyorsa (geçersiz kullanıcı adı gibi) gerekli düzeltmeyi yapıp isteği yeniden gönderdiğinizde başarılı bir sonuç elde edersiniz. Hata düzeltilemiyorsa (örneğin, istek sunucu tarafından reddediliyorsa) kullanıcı yardım istemelidir.

İstek gönderildikten sonra bazen sunucu, daha sonra manuel olarak incelenip onaylanması/reddedilmesi için isteği beklemede olarak ayarlayabilir. Beklemede yanıtı, bu akışı kapsar ve kullanıcıya isteğin durumunu daha sonra tekrar kontrol etmesi gerektiğini bildirir.

1. Yukarıda belirtildiği şekilde bir Sertifika İsteği gönderin.
2. Yanıt gelmesini bekleyin.
3. Yanıt alındığında, isteğin beklemeye alındığını belirten bekleme mesajını içeren bir iletişim kutusu görüntülenir. Ayrıca, daha sonra kontrol edilmesi gereken, isteğin kayıt URI'si ve istek kimliği de gösterilir.
4. Daha sonra kullanmak üzere kayıt URI'sini ve istek kimliğini bir yere kopyalayın.
5. İletişim kutusunda Tamam'ı seçin, Escape tuşuna basın veya işiniz bittiğinde iletişim kutusunu kapatmak için iletişim kutusunun dışını tıklayın.

Bekleyen sertifikası olan kullanıcılar, bir noktada sertifikalarının durumunu kontrol etmek isteyebilir. Bekleyen sertifika istekleri oluşturmak ve göndermek için kullanıcının bekleyen istek kullanıcı arayüzüne gitmesi gerekir.

1. Tıklayarak veya sekme tuşuyla Diğer Seçenekler düğmesini seçin.
2. Oluşturulan seçenekler listesinde, tıklayarak veya sekme tuşuyla "Bekleyen istekleri denetlemek için ek alanlar gösterilsin mi?" bölümüne gidin.
3. Bekleyen istek alanlarının gösterilmesi için "Bekleyen istekleri denetlemek için ek alanlar gösterilsin mi?" seçeneğini işaretleyin.

Bekleyen istek kullanıcı arayüzüne gitmiş olan bir kullanıcı, bir noktada normal istek arayüzüne dönmek isteyebilir.

1. Tıklayarak veya sekme tuşuyla Diğer Seçenekler düğmesini seçin.
2. Oluşturulan seçenekler listesinde, tıklayarak veya sekme tuşuyla "Bekleyen istekleri denetlemek için ek alanlar gizlensin mi?" bölümüne gidin.
3. Bekleyen istek alanlarının gizlenmesini istiyorsanız "Bekleyen istekleri denetlemek için ek alanlar gizlensin mi?" seçeneğini işaretleyin.

Bekleyen sertifikası olan kullanıcılar, bir noktada sertifikalarının durumunu kontrol etmek isteyebilir. Uzantı, yeni bir istek oluşturmaya çok benzeyen bu akışa izin verir.

1. Yukarıda belirtildiği şekilde Bekleyen İstek Kullanıcı Arayüzüne gidin.
2. Tıklayarak veya sekme tuşuyla Kullanıcı adı alanına gidin.
3. Kullanıcı adınızı girin.
4. Tıklayarak veya sekme tuşuyla Şifre alanına gidin.
5. Şifrenizi girin.
6. Tıklayarak veya sekme tuşuyla Kayıt URI'si alanına gidin.
7. Eski bekleyen sertifika yanıtlarından birinde gösterilen kayıt URI'sini girin.
8. Tıklayarak veya sekme tuşuyla İstek Kimliği alanına gidin.
9. Eski bekleyen sertifika yanıtlarından birinde gösterilen istek kimliğini girin.
10. Baştaki sertifika isteği cihaz genelinde bir sertifika içinse Cihaz Genelinde onay kutusunu işaretleyin. Cihaz genelinde bir sertifika istemiyorsanız Cihaz Genelinde onay kutusunu işaretlemeden bırakın.

Bekleyen bir sertifika kontrolü isteği oluşturulduktan sonra, yanıt alabilmek için kullanıcının bu isteği göndermesi gerekir. Bekleyen sertifika kontrolü isteği, yukarıda tanımlanan akışlarla eşleşen başarılı, başarısız veya hâlâ bekliyor yanıtını alabilir.

1. Yukarıda belirtildiği gibi, Bekleyen Sertifika Kontrolü İsteği oluşturun.
2. Durumu Kontrol Et düğmesine gidin.
3. Durumu Kontrol Et düğmesini seçin.

Hatalar oluşuyorsa, bir asistanın veya yöneticinin uzantıda neler olduğunu tam olarak anlamak için günlüklerin tamamına bakması yararlı olabilir. Bir kullanıcının bu günlükleri alabilmesi için günlüklerin, kullanıcının panosuna kopyalanmasını sağlayan basit bir yöntem sunarız.

1. Tıklayarak veya sekme tuşuyla Diğer Seçenekler düğmesini seçin.
2. Tıklayarak veya sekme tuşuyla, oluşturulan seçenekler listesinden "Günlükleri Panoya Kopyala" seçeneğine gidin.
3. Günlüklerin, kullanıcının panosuna kopyalanması için "Günlükleri Panoya Kopyala"yı seçin.
4. Burada, kullanıcı bu günlükleri kendi cihazında normal şekilde seçtiği herhangi bir yere yapıştırabilir.

1. Google Yönetici konsolu hesabınızda oturum açın.

   Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

2. Yönetici Konsolu'nda Menü  CihazlarChromeUygulamalar ve uzantılarKullanıcılar ve tarayıcılar'a gidin.

   Chrome Tarayıcı Bulut Yönetimi'ne kaydolduysanız Menü  Chrome TarayıcıUygulamalar ve uzantılarKullanıcılar ve tarayıcılar'a gidin.
3. Ayarı herkese uygulamak için en üst düzey kuruluş birimini seçili bırakın. Böyle bir isteğiniz yoksa bir alt kuruluş birimi seçin.
4. Fare imlecini Ekle'nin üzerine getirin ve Chrome Web Mağazası'ndan ekle'yi tıklayın.
5. ChromeOS için Sertifika Kaydı'nı bulup seçin. Uzantı kimliği fhndealchbngfhdoncgcokameljahhog şeklindedir.
6. Kullanıcılar ve Tarayıcılar sayfasında, ChromeOS için Sertifika Kaydı uzantısını seçin.
7. Sağdaki panelde, Sertifika yönetimi altından Anahtarlara erişime izin ver'i etkinleştirin.
8. Yükleme politikası bölümünde, Zorunlu yükle'yi ya da Zorunlu yükle ve ChromeOS görev çubuğuna sabitle'yi seçin.
9. Kaydet'i tıklayın.

Kullanıcıların ChromeOS için Sertifika Kaydı uzantısına uygulamak istediğiniz ayarları içeren bir dosya oluşturun. bu örnek dosya ile başlayın ve politikaları kuruluşunuzun veya kullanıcıların gereksinimlerine uyacak şekilde değiştirin. JavaScript® Object Notation (JSON) dosyasını metin düzenleyicisi kullanarak düzenleyebilirsiniz.

Not: Kullanıcıya yönelik dizelerdeki varsayılan değerleri içeren politikalar kullanıcının yerel ayarlarına göre çevrilir ve cihazlarda görünür. Dizeleri kuruluşunuzun ihtiyaçlarına göre değiştirebilirsiniz, ancak çevrilmeyeceklerdir.

Aşağıdaki politikaları ayarlayabilirsiniz:

Politika adı	Ne işe yarar?
allow_machine_cert_enrollment	Kullanıcıların sistem sertifikası yüklemesine olanak tanır. True değerine ayarlanırsa kullanıcılar bir sistem veya kullanıcı sertifikası istemeyi seçebilir. True olarak ayarlanmazsa kullanıcılar yalnızca bir kullanıcı sertifikası isteyebilir. Varsayılan, false değeridir.
cep_proxy_url	CEP için https uç noktasını belirtir. Uç noktayı almak için: IIS Yöneticisi aracında CEP web sitesine gidin. Ad genellikle CEP ifadesini içerir. Uygulama Ayarları'nı açın. CEP için https uç noktası URI bölümünde listelenir. Yalnızca https ile başlayan değerler geçerlidir. "https" ile başlayan ama IIS Yöneticisi'ndeki Tekdüzen Kaynak Tanımlayıcısı (URI) ile eşleşmeyen bir değer girerseniz bu, yine geçerli olarak kabul edilip kullanılsa da büyük olasılıkla başarısız olur. Bu politika zorunludur.
company_info	Kuruluşunuzun ad ve logo gibi marka bilgilerini belirtir. Kullanıcıları bilgi veya destek alabilecekleri bir web sayfasına yönlendirmek için politika değerini help_url olarak ayarlayın. Belirttiğiniz web sayfası, sertifikası olmayan kullanıcılar için engelleniyorsa (örneğin, ilk istekte) söz konusu kullanıcılara yardımcı olacak bazı metinler sağlamak için help_text değerini kullanın. Değeri help_url ve help_text olarak ayarlarsanız belirttiğiniz web sayfası kullanıcıların cihazlarında yardım metninin altında görünür.
device_cert_request_values	Bir cihaz sertifikası için sertifika imzalama isteğinde (CSR) kullanılacak değerleri belirtir. İstekte bulunanın özelliklerini kullanmak yerine, kullanıcı ve cihaz özelliklerini temel alan subject (konu) değerleri tanımlayabilirsiniz. Özel CSR kullanmak için sertifika yetkilisindeki (CA) sertifika şablonunu da, istekte tanımlanan subject (konu) değerlerine sahip bir sertifikayı bekleyecek ve böyle bir sertifika oluşturacak şekilde yapılandırmanız gerekir. En azından, subject'teki CommonName için bir değer sağlamanız gerekir. Aşağıdaki yer tutucuları kullanabilirsiniz. Tüm değerler isteğe bağlıdır. 66 ve sonraki sürümlerden birinin yüklü olduğu ChromeOS cihazlarda şunları kullanabilirsiniz: ${DEVICE_DIRECTORY_ID}: cihazın dizin kimliği ${USER_EMAIL}: oturum açan kullanıcının e-posta adresi ${USER_DOMAIN}: oturum açan kullanıcının alan adı ${DEVICE_SERIAL_NUMBER}: cihazın seri numarası ${DEVICE_ASSET_ID}: yönetici tarafından cihaza atanan öğe kimliği ${DEVICE_ANNOTATED_LOCATION}: yönetici tarafından cihaza atanan konum Bir yer tutucu değeri mevcut değilse boş bir dizeyle değiştirilir. Yer tutucuları zincir halinde kullanabilirsiniz. Örneğin, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} değerinde öğe kimliği mevcut değilse, öğe kimliği yerine cihazın seri numarası kullanılır.
device_enrollment_templates	Kullanıcı kaydı akışları için öncelik sırasına göre düzenlenmiş halde, eşleşen sertifika şablonu adlarının listesi. Uzantı, eşleşen bir sertifika şablonu bulmak için listede arama yapar. İlk eşleşen sertifika şablonu kullanılır. Bir hata oluşursa uzantı, işlemi diğer sertifika şablonlarıyla yeniden denemez. Bu politika zorunludur. Politika için listede en az bir değer olmalıdır. CA Microsoft Yönetim Konsolu'ndaki (MMC) Şablonun görünen adı alanının değerini değil, Şablon adı alanının değerini kullanın. Varsayılan değer ChromeOSWirelessUser'dır (Chrome OS Kablosuz Kullanıcısı).
enable_auto_enrollment	Uzantının kaydı otomatik olarak başlatıp başlatmayacağını belirler. False değerine ayarlanırsa uzantı, kullanıcının EAP-TLS ağına bağlanmayı denemesini bekler. Varsayılan, false değeridir.
log_level	Chrome'daki javascript konsoluna gönderilen uzantı günlüklerindeki ayrıntı düzeyini belirtir. NONE (varsayılan): Konsolda hiçbir şeyin günlüğü tutulmaz. ERROR: Yalnızca birbirinden farklı hatalar konsolda günlüğe kaydedilir. WARNING: Birbirinden farklı hatalar ve uyarılar konsolda günlüğe kaydedilir. INFO: Birbirinden farklı hatalar ve uyarılar, alakalı işlem bilgileriyle birlikte konsolda günlüğe kaydedilir. DEBUG: Her şey konsolda günlüğe kaydedilir. İlk sürümde, olası sorunların giderilebilmesi için bu düzeyin kullanılması önerilir. Diğer Seçenekler'de, tüm günlüklerin otomatik olarak panoya kopyalanmasını sağlayabilirsiniz. Kullanıcılar, cihazlarındaki Chrome günlüklerine erişmek için Chrome'daki web geliştirici konsolunu iki yolla açabilir: Ctrl+Üst Karakter+i tuşlarına basarak. Diğer araçlar Geliştirici araçları'nı tıklayarak. Bu politika zorunludur.
placeholder_values	Username (kullanıcı adı), password (şifre), URI, request ID (istek kimliği) ve header (üstbilgi) yer tutucularını belirtir. Bu bilgiler, oturum açtıkları sırada kullanıcılara yol göstermeye yardımcı olur. Username, Password, URI ve RequestID alanları, her bir giriş alanının işlevini göstermek için giriş alanlarının üzerinde yer alır. Header alanı ise sayfanın başlığı için kullanılır. Username, Password ve Header alanları için, müşterilerin uluslararası hale getirilmiş varsayılan adları kullanmasına olanak tanıyan özel değerler bulunmaktadır. managed_username_placeholder: Username (Kullanıcı adı) managed_password_placeholder: Password (Şifre) managed_login_header: Certificate enrollment (Sertifika kaydı) Kuruluşunuz şifre (password) yerine parola (passphrase) gibi başka bir terminoloji kullanıyorsa değerleri değiştirebilirsiniz. Bununla birlikte, yeni değer çevrilmeyecektir.
renew_hours_before_expiry	Kullanıcıları, sertifikanın geçerliliği sona ermeden ne kadar süre önceden (saat cinsinden) bilgilendirmek istediğinizi belirtir.   Varsayılan değer 120'dir.
renew_reminder_interval	Kullanıcıları, sertifikanın geçerliliği sona ermeden saat olarak ne sıklıkta bilgilendirmek istediğinizi belirtir. İlk bildirimi aldıktan sonra kullanıcı sertifikayı yenilemez ve hatırlatıcıları yoksaymayı seçmezse belirtilen sayıda saat sonra başka bir bildirim görüntülenir. Örneğin, renew_hours_before_expiry değerini 120, renew_reminder_interval değerini ise 24 olarak ayarlarsanız ve kullanıcı her seferinde başka bildirimler daha almayı seçerse sertifikanın geçerliliği sona erene kadar kullanıcı, toplamda 5 yenileme bildirimi alır (her gün bir tane). Varsayılan değer 24'tür.
request_timeout_seconds	CEP veya CES çağrısının zaman aşımına uğrayacağı, saniye cinsinden süre. Varsayılan değer 20'dir.
signature_algo	Uzantının, sertifika isteklerini imzalamak için hangi imza algoritmasını kullandığını belirler. Şu seçenekleri kullanabilirsiniz: SHA1 (önerilmez): kullanıcılarınızın güvenliğini tehlikeye atabilecek zayıf algoritma SHA256 SHA512 (varsayılan)
user_cert_request_values	Bir kullanıcı sertifikası için sertifika imzalama isteğinde (CSR) kullanılacak değerleri belirtir. İstekte bulunanın özelliklerini kullanmak yerine, kullanıcı ve cihaz özelliklerini temel alan subject (konu) değerleri tanımlayabilirsiniz. Özel CSR kullanmak için, sertifika yetkilisindeki sertifika şablonunu da, istekte tanımlanan subject (konu) değerlerine sahip bir sertifikayı bekleyecek ve böyle bir sertifika oluşturacak şekilde yapılandırmanız gerekir. En azından, subject'teki (konu) CommonName için bir değer sağlamanız gerekir. Aşağıdaki yer tutucuları kullanabilirsiniz. Tüm değerler isteğe bağlıdır. ${DEVICE_DIRECTORY_ID}: cihazın dizin kimliği ${USER_EMAIL}: oturum açan kullanıcının e-posta adresi ${USER_DOMAIN}: oturum açan kullanıcının alan adı ${DEVICE_SERIAL_NUMBER}: cihazın seri numarası ${DEVICE_ASSET_ID}: yönetici tarafından cihaza atanan öğe kimliği ${DEVICE_ANNOTATED_LOCATION}: yönetici tarafından cihaza atanan konum ${USER_ID}: Oturum açan kullanıcının e-posta adresinin ilk bölümü ("@" işaretinden önceki bölüm) Bir yer tutucu değeri mevcut değilse boş bir dizeyle değiştirilir. Yer tutucuları zincir halinde kullanabilirsiniz. Örneğin, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} değerinde öğe kimliği mevcut değilse, öğe kimliği yerine cihazın seri numarası kullanılır.
user_enrollment_templates	Kullanıcı kaydı akışları için öncelik sırasına göre düzenlenmiş halde, eşleşen sertifika şablonu adlarının listesi. Uzantı, eşleşen bir sertifika şablonu bulmak için listede arama yapar. İlk eşleşen sertifika şablonu kullanılır. Bir hata oluşursa uzantı, işlemi diğer sertifika şablonlarıyla yeniden denemez. Bu politika zorunludur. Politika için listede en az bir değer olmalıdır. CA MMC'deki Şablonun görünen adı alanının değerini değil, Şablon adı alanının değerini kullanın. Varsayılan değer ChromeOSWirelessUser'dır.

Kullanıcı tarafından girilen kimlik bilgileri ile veya bu bilgiler olmadan sertifika temel hazırlığını yapılandırma

Sertifika kaydı uzantısı; varsayılan olarak, kullanıcıların sertifika almaya çalışırken kimlik bilgilerini sağlayarak sertifika temel hazırlığını manuel olarak yapmalarına olanak tanıyacak şekilde ayarlanır.

Kullanıcıların kimlik bilgilerini manuel olarak girmek zorunda kalmadan, ChromeOS uzantısının yardımıyla otomatik olarak sertifika hazırlayabilmelerini veya yenileyebilmelerini sağlayabilirsiniz. Cihazda kullanıcı Kerberos bileti mevcutsa uzantı, Kerberos kimlik doğrulamasını kullanarak hem kullanıcı hem de cihaz sertifikaları isteyebilir. Ayrıca bir hizmet hesabı kullanarak cihaz sertifikaları da isteyebilir.

Kerberos kimlik doğrulaması

Başlamadan önce

• ChromeOS kullanıcısının cihazda Kerberos bileti olmalıdır.
  • Kerberos kimlik bilgileri yöneticisi, politikaya göre oturum açmış olan kullanıcı için Kerberos biletinin getirilmesine izin verecek şekilde yapılandırılmalıdır. Tercihen bu, oturum açma sırasında otomatik olarak gerçekleşecek şekilde yapılandırılır. ChromeOS cihazlarda Kerberos tek oturum açma özelliğini yapılandırma başlıklı makaleyi inceleyin.
• Kerberos kaydıyla ilişkili Active Directory kullanıcı hesabının, yapılandırılmış Sertifika Şablonu'nu kullanarak sertifika isteme izni olmalıdır.
• Kayıt uç noktası, Entegre kimlik doğrulama sunucuları ChromeOS politikasında listelenmelidir. Ayrıntılar için Chrome Politika listesinde politikayı inceleyin.
  • Yönetici Konsolu'nda Entegre kimlik doğrulama sunucuları ayarını doğru şekilde yapın. Ayrıntılar için Entegre kimlik doğrulama sunucuları başlıklı makaleyi inceleyin.

Uzantıyı yapılandırma

`client_authentication` uzantı politikası değerini `kerberos` olarak ayarlayın.

Barındırılan hizmet hesabı kimlik doğrulaması

Uzantıyı, bir hizmet hesabı kullanarak cihaz sertifikası isteyecek şekilde ayarlayabilirsiniz. Hizmet hesabının kimlik bilgileri, yerel ağınızdaki bir web sunucusunda barındırılır.

Uyarı: Bir saldırgan, cihazdaki kimlik bilgilerini ve uzantı politikasını barındıran web sunucusuna erişim elde ederse hizmet hesabı kimlik bilgilerini çıkarması mümkün olabilir.

Hizmet hesabı kimlik bilgilerini barındıran web sunucusuna erişimi yalnızca ilk ChromeOS cihaz temel hazırlığı için kullanılan bir temel hazırlık ağıyla sınırlandırmanız önerilir.

Başlamadan önce

• Yerel ağda, HTTPS isteklerini işleyebilen bir web sunucunuz olmalıdır.
• ChromeOS, söz konusu web sunucusunun sertifikasına güvenmelidir. Web sunucusu kendinden imzalı bir CA tarafından verilen bir sertifika kullanıyorsa Yönetici Konsolu'nda, CA'nın sertifikasını güvenilecek şekilde yapılandırabilirsiniz.

1. Adım: Maskelenmiş şifreyi oluşturun

1. Uzantıyı açın.
2. Diğer Şifre Maskeleme Aracı'nı seçin.
3. Hizmet hesabı şifresini girin.
4. Maske'yi seçin.
5. Maskeyi ve maskelenmiş şifreyi bir metin dosyasına kopyalayın.

2. Adım: Kimlik bilgilerini dahili web sunucusunda depolayın

1. Web sunucusunu, aşağıdakileri içeren bir JSON dosyası sunacak şekilde yapılandırın:

{

  ‘username’: ‘<hizmet hesabı kullanıcı adı>’,

  ‘maskedPassword’: ‘<kopyalanıp yapıştırılan maskelenmiş şifre>’

}

2. Web sunucusunun kimlik bilgilerini barındırmak için kullandığı URL'yi kopyalayıp bir metin dosyasına yapıştırın.

3. Adım: Uzantı politikasını yapılandırın

1. ‘service_account_host’ uzantı politikası değişkenini yukarıda kopyaladığınız URL'ye ayarlayın.
2. ‘service_account_host_password_mask’ uzantı politikası değişkenini yukarıda kopyaladığınız maskeye ayarlayın.

Otomatik sertifika yenileme

Uzantıyı ek kimlik doğrulaması olmadan, anahtar tabanlı yenileme özelliğini kullanarak mevcut sertifikaları yenileyecek şekilde ayarlayabilirsiniz.

Başlamadan önce

Yapılandırılmış Sertifika Şablonu için anahtar tabanlı yenilemeyi destekleyen bir ADCS Sertifika Kaydı Hizmeti (CES) uç noktası bulunmalıdır. Ayrıntılar için Özel bağlantı noktasında anahtar tabanlı sertifika yenileme için Sertifika Kaydı Web Hizmeti'ni yapılandırma başlıklı makaleyi inceleyin.

Uzantıyı yapılandırma

• `use_key_based_renewal` uzantı politikası değerini true olarak ayarlayın.
• ‘ces_renewal_url’ uzantı politikası değerini, anahtar tabanlı yenilemeyi destekleyen Sertifika Kaydı Hizmeti (CES) uç noktasının URL'sine ayarlayın.

Belirli bir kullanıcı veya kayıtlı Chrome tarayıcı grubunun ayarlarını yapmak için ilgili kullanıcı hesaplarını ya da tarayıcıları bir gruba ya da kuruluş birimine yerleştirin. Gruplara yalnızca kullanıcı hesapları eklenebilir. Ayrıntılı bilgi için Gruplar ve Kuruluş birimi ekleme başlıklı makaleleri inceleyin.

1. Google Yönetici konsolu hesabınızda oturum açın.

   Yönetici hesabınızı (@gmail.com ile bitmeyen hesap) kullanarak oturum açın.

2. Yönetici Konsolu'nda Menü Cihazlar Ağlar'a gidin.
3. Kablosuz Bağlantı'yı tıklayın.
4. Yeni bir EAP-TLS ağı ekleyin.
   Kablosuz ağ yapılandırması eklemeyle ilgili ayrıntılar için Ağları yönetme başlıklı makaleye göz atın.
5. Ağı kayıt uzantısına yönlendirin. İstemci kaydı URL'si alanına, chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html yazın.

Not: Kayıt uzantısı URL'sine, bu URL'de kaydolunacak şekilde yapılandırılmış herhangi bir ağ olmasa bile Chrome tarayıcıdan erişilebilir. Bu, herhangi bir ağı yapılandırmadan veya sertifikaları, EAP-TLS ağlarından farklı kullanımlar (örneğin, sertifika tabanlı VPN) için kaydettirmeden önce URL'yi manuel olarak test etmenize olanak tanır. Kullanıcılara, tarayıcılarında ilgili URL'ye gitmelerini ve ağı yapılandırma adımını atlamalarını söyleyin.

1. Yönetilen bir ChromeOS cihazda chrome://policy sayfasına gidin.
2. Politikaları yeniden yükle'yi tıklayın.
3. ChromeOS için Sertifika Kaydı'na ilerleyin.
4. Her politika için, değer alanlarının JSON dosyasında ayarladıklarınızla aynı olduğundan emin olun.