使用“ChromeOS 证书注册”扩展程序

要自动注册预配置的证书，用户必须执行以下操作：

1. 点击注册证书通知。
2. （可选）勾选注册设备级证书复选框以请求设备证书。如果该复选框处于未选中状态，则会请求用户证书。
3. 点击注册。

要续订证书，用户只需点击证书续订提醒通知即可。

用户证书请求会导致系统为发送请求的特定用户（而不是整个设备）颁发证书。用户证书仅适用于已登录相应设备的用户，而不适用于可能也使用该设备的其他用户。

1. 点击或使用 Tab 键导航至“用户名”字段。
2. 输入用户名。
3. 点击或使用 Tab 键导航至“密码”字段。
4. 输入密码。
5. 让“设备级”复选框保持未选中状态。

设备证书请求会导致系统为发送请求的整个设备（而不仅仅是发送请求的用户）颁发证书。设备证书适用于相应设备上属于同一单位的所有用户。若设备在公用自助终端或自助服务终端模式下运行，则通常需要使用这种证书。

1. 点击或使用 Tab 键导航至“用户名”字段。
2. 输入用户名。
3. 点击或使用 Tab 键导航至“密码”字段。
4. 输入密码。
5. 勾选“设备级”复选框。

无论发送的请求类型如何（用户或设备），发送流程都是相同的。

1. 创建用户或设备证书请求（如上述步骤中所述）。
2. 导航到“注册”按钮。
3. 点击注册。

发送请求后，理想结果是服务器成功响应，其中包含所请求的证书。

1. 发送证书请求（如上所述）。
2. 等待接收响应。
3. 收到响应后，系统会显示一个对话框，其中会显示一条成功消息，表明已成功接收并导入证书。
4. 完成后，在对话框中选择“确定”，按 Esc 键，或者在对话框外点击一下以将其关闭。

发送请求后，有时请求可能会因各种原因而失败。错误响应会封装这样的失败信息，并将问题告知用户。

1. 发送证书请求（如上所述）。
2. 等待接收响应。
3. 收到响应后，系统会显示一个对话框，其中会显示一条失败消息，表明出现了问题。
4. 完成后，在对话框中选择“确定”，按 Esc 键，或者在对话框外点击一下以将其关闭。
5. 如果错误可更正（例如无效用户名），则进行更改并重新发送请求应该就能成功。如果无法更正（例如服务器拒绝请求访问），则用户应寻求帮助。

发送请求后，有时服务器会将该请求设为待处理，以便相应人员稍后手动审核并批准/拒绝该请求。待处理响应会封装此用户流，并将相关信息告知相应用户，以便其稍后查看请求的状态。

1. 发送证书请求（如上所述）。
2. 等待接收响应。
3. 收到响应后，系统会显示一个对话框，其中会显示一条待处理消息，表明相应请求已被设为待处理。其中还会显示请求的注册 URI 和请求 ID（后续步骤需要使用这些信息）。
4. 将这些注册 URI 和请求 ID 复制到其他地方，以供稍后使用。
5. 完成后，在对话框中选择“确定”，按 Esc 键，或者在对话框外点击一下以将其关闭。

如果用户有待处理证书，则该用户可能希望在某个时刻检查证书的状态。如要创建和发送待处理证书请求，该用户必须导航至待处理请求界面。

1. 点击或使用 Tab 键导航并选择“更多选项”按钮。
2. 在生成的选项列表中，点击或使用 Tab 键导航至“要显示用于检查待处理申请的额外字段吗？”选项。
3. 选择“要显示用于检查待处理申请的额外字段吗？”以显示并启用待处理请求字段。

如果用户之前已导航至待处理请求界面，则该用户可能希望在某个时刻导航回常规请求界面。

1. 点击或使用 Tab 键导航并选择“更多选项”按钮。
2. 在生成的选项列表中，点击或使用 Tab 键导航至“要隐藏用于检查待处理申请的额外字段吗？”选项。
3. 选择“要隐藏用于检查待处理申请的额外字段吗？”以停用并停止显示待处理请求字段。

如果用户有待处理证书，则该用户可能希望在某个时刻检查证书的状态。此扩展程序允许此用户流，这与允许创建全新的请求非常相似。

1. 导航至“待处理请求”界面（如上所述）。
2. 点击或使用 Tab 键导航至“用户名”字段。
3. 输入用户名。
4. 点击或使用 Tab 键导航至“密码”字段。
5. 输入密码。
6. 点击或使用 Tab 键导航至“注册 URI”字段。
7. 输入上一个待处理证书响应中显示的注册 URI。
8. 点击或使用 Tab 键导航至“请求 ID”字段。
9. 输入上一个待处理证书响应中显示的请求 ID。
10. 如果原始证书请求申请的是设备级证书，请勾选“设备级”复选框。否则，请勿勾选“设备级”复选框。

待处理证书检查请求创建完成后，相应用户需要发送该请求才能获得响应。待处理证书检查请求可能会返回成功、失败，或待处理响应，具体与上文所定义的用户流相匹配。

1. 创建待处理证书检查请求（如上所述）。
2. 导航至“查看状态”按钮。
3. 选择“查看状态”按钮。

有时，在出现错误时，如果助理或管理员能看到有关此扩展程序中发生的情况的完整日志，则可能有助于帮助他们解决问题。为了让用户获取这些日志，我们提供了一种简单的方法，可以将其复制到用户的剪贴板。

1. 点击或使用 Tab 键导航并选择“更多选项”按钮。
2. 在生成的选项列表中，点击或使用 Tab 键导航至“将日志复制到剪贴板”选项。
3. 选择“将日志复制到剪贴板”以将相应日志复制到用户的剪贴板。
4. 在正常流程中，通过剪贴板，用户可以在其设备上将这些日志粘贴到自己所选的任意位置。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标  设备Chrome应用和扩展程序用户和浏览器。

   如果您已注册 Chrome 浏览器云管理，请依次点击“菜单”图标  Chrome 浏览器应用和扩展程序用户和浏览器。
3. 要将设置应用于所有人，请将顶级单位部门保持为已选中状态。否则，请选择某个下级单位部门。
4. 将鼠标指向“添加”图标 从 Chrome 应用商店添加。
5. 搜索并选择 ChromeOS 证书注册。扩展程序 ID 为 fhndealchbngfhdoncgcokameljahhog。
6. 在用户和浏览器页面，选择 ChromeOS 证书注册扩展程序。
7. 在右侧面板的证书管理下方，启用允许访问密钥。
8. 在安装政策下方，选择强制安装或强制安装 + 固定到 ChromeOS 任务栏。
9. 点击保存。

创建一个文件，在其中加入要为用户应用到“ChromeOS 证书注册”扩展程序的设置。请使用此示例文件开始设置，并根据贵组织或用户的需求更改政策。您可以使用文本编辑器编辑此 JavaScript 对象表示法 (JSON) 文件。

注意：如果政策中面向用户的字符串为默认值，系统会将其翻译成用户所在区域的语言并在设备上显示。您可以根据贵组织的需求更改字符串，但系统不会翻译这些字符串。

您可以设置以下政策：

政策名称	用途
allow_machine_cert_enrollment	允许用户安装系统证书。 如果设为“true”，用户就可以选择是申请系统证书还是用户证书。否则，用户就只能申请用户证书。 默认值为“false”。
cep_proxy_url	指定 CEP 的 https 端点。 如要获取端点，请执行以下操作： 在 IIS 管理器中，转到 CEP 网站。 名称通常包含 CEP。 打开应用设置。 URI 下方会列出 CEP 的 https 端点。 只有以 https 开头的值才有效。如果您输入的值以“https”开头，但与 IIS 管理器中的统一资源标识符 (URI) 不一致，系统会将该值视为有效值并加以使用，但很可能会出错。 此政策为必要政策。
company_info	指定贵组织的品牌信息，例如名称和徽标。 设置 help_url，将用户指向能够获取信息或支持的网页。 如果该网页禁止没有证书的用户访问（例如首次申请时），请使用 help_text 为用户提供帮助文本。 如果您同时设置 help_url 和 help_text，那么在用户的设备上，您指定的网页会显示在帮助文本下方。
device_cert_request_values	指定要在设备证书的证书签名请求 (CSR) 中使用的值。 您可以根据用户和设备属性（而不是请求者的属性）来指定主体值。如要使用自定义 CSR，您还需要通过证书授权机构 (CA) 配置证书模板，以生成主体值为请求中所指定值的证书。您至少需要提供主体的 CommonName 值。 您可以使用以下占位符，所有值都是选填的。 对于运行 66 及更高版本的 ChromeOS 设备，您可以使用： ${DEVICE_DIRECTORY_ID} - 设备的目录 ID ${USER_EMAIL} - 已登录用户的电子邮件地址 ${USER_DOMAIN} - 已登录用户的域名 ${DEVICE_SERIAL_NUMBER} - 设备序列号 ${DEVICE_ASSET_ID} - 管理员为设备分配的资产 ID ${DEVICE_ANNOTATED_LOCATION} - 管理员为设备分配的位置 如果某个占位符值不可用，系统会用空白字符串替代。 您可以将多个占位符串接起来。举例来说，当没有提供资产 ID 时，系统会将 ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} 替换为设备的序列号。
device_enrollment_templates	用于用户注册流程的匹配证书模板名称列表（按照优先级排列）。扩展程序会搜索此列表，以查找匹配的证书模板，并使用第一个匹配的证书模板。如果发生错误，扩展程序不会使用其他证书模板重试。 此政策为必要政策，且列表中必须至少包含 1 个值。 在 CA Microsoft 管理控制台 (MMC) 中，请使用模板名称，而不要使用模板显示名称。 默认名称为 ChromeOSWirelessUser（Chrome 操作系统无线用户）。
enable_auto_enrollment	控制是否让扩展程序自动开始注册。如果设为“false”，扩展程序会等用户尝试连接到 EAP-TLS 网络时才开始注册。 默认值为“false”。
log_level	指定发送到 Chrome 中 JavaScript 控制台的扩展程序日志的详细程度。 NONE（默认）- 控制台不会记录任何内容。 ERROR - 控制台只会记录明显错误。 WARNING - 控制台会记录明显错误和警告。 INFO - 控制台会记录明显错误、警告和相关操作信息。 DEBUG - 控制台会记录所有内容。如果您使用的是初始版本，我们推荐您使用此设置，以便排查任何可能发生的问题。在更多选项中，您可以选择自动将所有日志复制到剪贴板。 用户可以通过两种方式在 Chrome 中打开网络开发者控制台，从而访问设备上的 Chrome 日志： 按 Ctrl + Shift + i 键。 点击更多工具 开发者工具。 此政策为必要政策。
placeholder_values	指定用户名、密码、URI、请求 ID 和标题占位符。这些信息有助于引导用户登录。 用户名、密码、URI 和请求 ID 字段在输入字段上方显示，用于说明各个输入字段的作用。 标题字段用于显示页面的标题。 用户名、密码和标题字段存在特殊值，可以让客户使用经过国际化的默认名称。 managed_username_placeholder - 用户名 managed_password_placeholder - 密码 managed_login_header - 证书注册 如果贵组织使用其他术语（例如使用 passphrase，而不用 password），您就可以更改这些值。不过，系统不会翻译新的值。
renew_hours_before_expiry	指定要提前多少小时通知用户其证书即将过期。   默认为 120。
renew_reminder_interval	控制多少小时通知一次用户其证书即将过期。 如果用户初次收到通知后未为证书续期，也未选择忽略提醒，那么在指定的小时数过后，系统会再次显示通知。 举例来说，如果您将“renew_hours_before_expiry”和“renew_reminder_interval”分别设为 120 和 24，而且用户始终选择接收后续提醒，那么在证书过期之前，用户会收到 5 次续期通知（每天一次）。 默认值为 24。
request_timeout_seconds	指经过多少秒后对 CEP 或 CES 的调用会超时。 默认值为 20。
signature_algo	控制扩展程序使用哪种签名算法签署证书请求。选项如下： SHA1（不推荐）- 这是一种安全性较弱的算法，可能会使用户的安全受到威胁 SHA256 SHA512（默认）
user_cert_request_values	指定要在用户证书的证书签署请求 (CSR) 中使用的值。 您可以根据用户和设备属性（而不是请求者的属性）来指定主体值。如要使用自定义 CSR，您还需要在 CA 上配置证书模板，以生成主体值为请求中所指定值的证书。您至少需要提供主体的 CommonName 值。 您可以使用以下占位符，而所有值都是选填的。 ${DEVICE_DIRECTORY_ID} - 设备的目录 ID ${USER_EMAIL} - 已登录用户的电子邮件地址 ${USER_DOMAIN} - 已登录用户的域名 ${DEVICE_SERIAL_NUMBER} - 设备序列号 ${DEVICE_ASSET_ID} - 管理员为设备分配的资产 ID ${DEVICE_ANNOTATED_LOCATION} - 管理员为设备分配的位置 ${USER_ID} - 已登录用户的电子邮件地址的第一部分（“@“之前） 如果某个占位符值不可用，系统会用空白字符串替代。 您可以将多个占位符串接起来。举例来说，当没有提供资产 ID 时，系统会将 ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} 替换为设备的序列号。
user_enrollment_templates	用于用户注册流程的匹配证书模板名称列表（按照优先级排列）。扩展程序会搜索此列表，以查找匹配的证书模板，并使用第一个匹配的证书模板。如果发生错误，扩展程序不会使用其他证书模板重试。 此政策为必要政策，且列表中必须至少包含 1 个值。 在 CA MMC 中，请使用模板名称，而不要使用模板显示名称。 默认名称为 ChromeOSWirelessUser（Chrome 操作系统无线用户）。

设置需要或无需用户输入凭据的证书配置功能

默认情况下，系统已经设置证书注册扩展程序，让用户可以手动配置证书。为此，用户需要在尝试获取证书时提供凭据。

使用这款 ChromeOS 扩展程序，您可以确保用户能自动配置或续订证书，而无需手动输入凭据。如果设备上有 Kerberos 票据供用户使用，那么此扩展程序可以通过 Kerberos 身份验证同时申请用户和设备证书。此外，设备证书也可以仅使用服务账号来申请。

Kerberos 身份验证

须知事项

• ChromeOS 用户的设备上必须要有 Kerberos 票据。
  • 必须通过政策配置 Kerberos 凭据管理器，以便为已登录的用户提取 Kerberos 票据。建议您进行配置，以在登录时自动提取。请参阅为 ChromeOS 设备配置 Kerberos 单点登录。
• 与 Kerberos 票据关联的 Active Directory 用户账号必须要有相关权限，能够使用配置的证书模板申请证书。
• 注册端点必须列在集成式身份验证服务器 ChromeOS 政策中。有关详情，请参阅 Chrome 政策列表中的政策。
  • 在管理控制台中正确配置集成式身份验证服务器设置。有关详情，请参阅集成身份验证服务器。

配置扩展程序

请将扩展程序政策值 `client_authentication` 设为 `kerberos`。

托管服务账号身份验证

您可以对扩展程序进行设置，以使用服务账号申请设备证书。服务账号的凭据托管在本地网络的网络服务器上。

警告：如果攻击者获得了相关访问权限，能够访问用于托管设备上的凭据和扩展程序政策的网络服务器，则或许可以提取出服务账号凭据。

对于托管服务账号凭据的网络服务器，我们建议您限制对该服务器的访问权限，仅允许唯一作用是初始配置 ChromeOS 设备的配置网络访问。

须知事项

• 您在本地网络中必须要有能够处理 HTTPS 请求的网络服务器。
• ChromeOS 必须信任该网络服务器的证书。如果网络服务器使用自签名 CA 颁发的证书，您可以在管理控制台中将该 CA 的证书配置为受信任。

第 1 步：生成遮盖的密码

1. 打开扩展程序。
2. 选择 More（更多） Password Mask Tool（密码遮盖工具）。
3. 输入服务账号密码。
4. 选择 Mask（遮盖）。
5. 将掩码和遮盖的密码复制到一个文本文件中。

第 2 步：将凭据存储在内部网络服务器上

1. 配置网络服务器，以提供包含以下内容的 JSON 文件：

{

  ‘username’: ‘<服务账号用户名>’,

  ‘maskedPassword’: ‘<复制并粘贴遮盖的密码>’

}

2. 将网络服务器用来托管凭据的网址复制到一个文本文件。

第 3 步：配置扩展程序政策

1. 将扩展程序政策变量 'service_account_host' 设为您在上述步骤中复制的网址。
2. 将扩展程序政策变量 ‘service_account_host_password_mask’ 设为您在上述步骤中复制的掩码。

自动续订证书

您可以对扩展程序进行设置，以使用密钥续订现有证书，而无需进行额外身份验证。

开始前须知

必须要有一个 ADCS 证书注册服务 (CES) 端点支持使用密钥来续订已配置的证书模板。有关详情，请参阅为自定义端口上的基于证书密钥的续订配置证书注册 Web 服务。

配置扩展程序

• 将扩展程序政策值 `use_key_based_renewal` 设为 true。
• 将扩展程序政策值 ‘ces_renewal_url’ 设为上述证书注册服务 (CES) 端点的网址，该端点支持基于密钥的续订。

要为特定用户群组或已注册的 Chrome 浏览器指定设置，请将相应用户账号或浏览器放入某个群组或组织部门中。您只能将用户账号添加到群组中。有关详情，请参阅群组和添加组织部门。

1. 登录您的 Google 管理控制台。

   请使用您的管理员帐号（不是以“@gmail.com”结尾的帐号）登录。

2. 在管理控制台中，依次点击“菜单”图标  设备 网络。
3. 点击 Wi-Fi。
4. 添加新的 EAP-TLS 网络。
   要详细了解如何添加 Wi-Fi 网络配置，请参阅管理网络。
5. 将网络指向注册扩展程序。在客户端注册网址字段，输入 chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html。

注意：即使您并未将网络配置为通过上述网址注册，也可以使用 Chrome 浏览器访问注册扩展程序网址。通过此项设置，您就可以在为用户配置任何网络或注册用于非 EAP-TLS 网络（例如基于证书的 VPN）的证书前先手动测试网址。请让用户在浏览器中转到上述网址，并跳过网络配置步骤。

1. 在受管理的 ChromeOS 设备上，前往 chrome://policy。
2. 点击重新加载政策。
3. 滚动到 ChromeOS 证书注册。
4. 确保各项政策的值字段与您在 JSON 文件中设置的值相同。