在 Chrome 操作系统中部署智能卡

作为管理员,您可以在整个单位部门的 Chrome 操作系统中部署智能卡。您还可以在个人设备上安装智能卡应用。有关详情,请参阅在 Chrome 操作系统中使用智能卡

第 1 步:强制安装 Smart Card Connector 应用

您需要为单位部门中的用户设置自动安装 Smart Card Connector 应用。要详细了解如何强制安装特定应用,请参阅自动安装应用和扩展程序

您可以使用 Smart Card Connector 应用为 Chromebook 提供 PCSC® 支持。这样一来,智能卡中间件和 Citrix ® 等其他应用可使用此 PCSC API 让您的用户在 Citrix 提供的 Microsoft® Windows® 会话中使用自己的智能卡。例如,提供浏览器集成和虚拟会话重定向功能。

注意:Smart Card Connector 应用会尝试自动检测和使用智能卡读卡器,但并非所有智能卡读卡器都受支持。Google 仅支持 libccid 支持的智能卡读卡器。supported(受支持的)和 should work(可使用)类别的读卡器应该均可稳定运作。

有关详情,请在此处查看受支持的智能卡读卡器列表。

第 2 步:强制安装智能卡中间件应用

接下来,您需要安装中间件应用。要详细了解如何强制安装特定应用,请参阅自动安装应用和扩展程序

可用的主要中间件应用有两个,分别是:

  • CSSI(由 Google 支持)
  • CACKey

中间件应用可以与智能卡通信并提供可以向 HTTPS 网站验证用户身份的客户端证书。Google 已与 DriveLock® 合作,为众多卡片和配置文件在 Chrome 操作系统上的运作提供支持,其中包括通用访问卡 (CAC) 和个人身份验证卡 (PIV)。

您可以在 Chrome 网上应用店中找到 DriveLock 中间件的提供方。请参见 CSSI Smart Card Middleware

此连接器应用提供了一个公共 API,其他中间件应用也可以使用该 API。要部署其他中间件,请与支持团队联系

第 3 步:推送所有必要的根证书和中间证书

您可能需要在用户的设备上安装可信根证书和中间证书,具体情况根据用户要访问的网站而定。找到这些证书,并将其推送到用户的配置文件。

有关详情,请参阅设置 HTTPS 证书授权机构

重要提示:在设备上安装根证书是一项敏感操作。请确保仅安装从可信来源获取并通过验证的可信根证书。

第 4 步:将 Smart Card Connector 配置为自动允许通信

诸如 Citrix 和 DriveLock 等应用需要与 Smart Card Connector 通信,才能与用户的卡片和读卡器互传数据。由于卡片和读卡器内包含用户的敏感信息,因此连接器应用在对任何应用授予访问权限之前会先向用户显示权限对话框。

您可以在管理控制台中自动授予权限。有关为应用和扩展程序安装自定义政策的信息,请参阅扩展程序政策

重要提示:将这些应用列入许可名单可能会让第三方访问您用户的个人信息,如智能卡中的证书。请务必在收集和分享其个人信息前遵循恰当的流程,通知您的用户并获取其同意。

第 5 步(可选):将 Chrome 操作系统配置为自动选择网址证书

您可以将 Chrome 操作系统配置为自动为特定网址选择特定证书。在默认情况下,系统会向用户显示与特定网站匹配的证书列表。

如果想省略此步骤,您可以设置 Auto​Select​Certificate​For​Urls(为网址自动选择证书)政策,将用户证书与特定网址格式进行预先匹配。有关详情和示例值,请参阅为用户或浏览器设置 Chrome 政策

用户可以使用自己的 Google 用户名和密码从任意 Chromebook 登录,然后开始使用智能卡。系统会下载并应用您配置的设置。用户只需导航到 HTTPS 网站,系统就会提示他们使用在智能卡中检测到的证书验证身份,以进入远程系统。

第 6 步(可选):配置虚拟桌面环境

如果您使用的是 Citrix 或 VMware® 等虚拟桌面环境,则必须要将其配置为允许智能卡访问及允许将智能卡重定向至虚拟会话。

有关完整的配置说明,请参阅各供应商网站。

已知问题

Chrome 操作系统不匹配卡片中的证书

这可能是由于配置根证书和中间证书的过程中出现了问题。请务必按照说明正确设置。如果问题仍未解决,您可以提交一份包含详细信息的错误报告。

移除卡片之后,Chrome 操作系统会话并未中断

用户移除卡片后,Chrome 操作系统不会终止与相应服务器的会话。这是预期的运作方式,也是其他平台上 Chrome 操作系统的默认操作。Chrome 操作系统只会在服务器提出验证请求时再次尝试进行身份验证。

我们建议您采用服务器超时设置,以便定期要求用户重新登录。如果您正在测试并需要强制用户再次登录服务器,请尝试使用无痕式窗口,该窗口不会使用先前的会话,并且不会在后续请求中保留。

输错 PIN 码,却没有任何界面反馈

如果用户输入了错误的 PIN 码,DriveLock 不会告知用户发生了此错误。用户需要转至相应网站,以便系统再次请求输入 PIN 码。

提供的证书未经筛选

所有证书(无论何种类型)都会提供给系统,例如电子邮件签名证书也会显示在列表中。这可能会使用户感到困惑。您必须正确配置证书的自动选择功能,这样可以避免在部署过程中造成困惑。

报告错误

如果您在部署过程中遇到问题,可以提交有关该问题的错误报告。错误报告必须包含:

  • 对于问题的描述以及如何重现问题的说明,最好能提供抓屏内容。有多个第三方 Chrome 操作系统应用可以提供抓屏功能,如 Screencastify®

  • 您尝试连接的网站。请为每个网站提交单独的错误报告。

  • 系统、卡片和读卡器信息。

    • Chrome 操作系统版本

    • 智能读卡器的类型

    • 智能卡信息:智能卡供应商、类型和配置文件。

  • Smart Card Connector 日志。用户可通过 Smart Card Connector 屏幕底部的链接导出日志。此操作会将所有日志复制到剪贴板。使用任意文本编辑应用即可保存这些日志,然后您便可将其添加到错误报告中。

  • 中间件应用日志。每种中间件应用提取日志的方法可能各不相同。例如,在 DriveLock 应用中,您可以从开发者控制台中提取日志。

    1. 转到 chrome://extensions

    2. 选择右上角的开发者模式

    3. 滚动到 DriveLock 扩展程序,然后选择背景页

    4. 在顶部,选择 Console(控制台)。

    5. 右键点击列表中的任意位置,并选择 Save as…(另存为…)以导出日志。

  • chrome://net-internals 导出日志。

    有些问题可能与 Chrome 操作系统处理客户端连接的方式有关。您可以转到 chrome://net-internals/#export 提取 Chrome 操作系统日志。只有当您导航到该网址时,系统才会开始记录日志,因此请务必先导航至该网址,再重现错误场景。

    注意:由于日志文件可能会非常大,因此在记录日志期间,请尽量将范围限制在错误场景。例如,请勿在日志记录期间执行 Google 搜索。

完成错误报告后,请与支持团队联系

该内容对您有帮助吗?
您有什么改进建议?