Как использовать расширение "Регистрация сертификата для ChromeOS"

Чтобы автоматически зарегистрировать заранее настроенный сертификат, пользователю нужно выполнить следующие действия:

1. Нажать на уведомление Зарегистрируйте сертификат.
2. При необходимости установить флажок Зарегистрировать сертификат для устройства, чтобы запросить сертификат устройства. Если флажок не установлен, будет отправлен запрос на пользовательский сертификат.
3. Нажать Зарегистрировать.

Чтобы продлить сертификат, пользователь должен нажать на уведомление Напоминание о необходимости продления сертификата.

Пользовательский сертификат предназначен для конкретного пользователя, который вошел в свой аккаунт на устройстве и отправил запрос. Он не действует для других пользователей этого устройства.

1. Нажмите на поле "Имя пользователя" или перейдите к нему с помощью клавиши Tab.
2. Введите имя пользователя.
3. Нажмите на поле "Пароль" или перейдите к нему с помощью клавиши Tab.
4. Введите пароль.
5. Не устанавливайте флажок "Зарегистрировать сертификат для устройства".

Сертификат устройства предназначен для устройства, с которого отправлен запрос. Такой сертификат действует для всех пользователей устройства, принадлежащих к одной организации, и, как правило, необходим для устройств, которые используются в режиме открытого доступа или в режиме киоска.

1. Нажмите на поле "Имя пользователя" или перейдите к нему с помощью клавиши Tab.
2. Введите имя пользователя.
3. Нажмите на поле "Пароль" или перейдите к нему с помощью клавиши Tab.
4. Введите пароль.
5. Установите флажок "Зарегистрировать сертификат для устройства".

Независимо от того, какой сертификат нужно получить, процесс отправки запроса одинаков.

1. Создайте один из запросов, как описано выше.
2. Перейдите к кнопке "Зарегистрировать".
3. Нажмите Зарегистрировать.

Идеальный результат отправки запроса – это ответ от сервера, содержащий запрошенный сертификат.

1. Отправьте запрос на получение сертификата, как описано выше.
2. Дождитесь ответа на запрос.
3. Появится диалоговое окно с подтверждением, что сертификат получен и импортирован.
4. Нажмите кнопку "ОК" в диалоговом окне, клавишу Esc на клавиатуре или в любом месте за пределами диалогового окна, чтобы закрыть его.

Иногда при обработке запроса могут возникать ошибки. В этом случае пользователь получит ответ, содержащий сведения о них.

1. Отправьте запрос на получение сертификата, как описано выше.
2. Дождитесь ответа на запрос.
3. Появится диалоговое окно с сообщением об ошибке.
4. Нажмите кнопку "ОК" в диалоговом окне, клавишу Esc на клавиатуре или в любом месте за пределами диалогового окна, чтобы закрыть его.
5. Если ошибку можно исправить (например, допущена ошибка в имени пользователя), пользователю нужно сделать это и отправить запрос ещё раз. Если ошибку исправить нельзя (например, запрос отклонен сервером), пользователь должен обратиться за помощью.

Иногда сервер может оставить запрос необработанным, чтобы кто-то мог вручную проверить его и одобрить или отклонить позже. Пользователь получит ответ о том, что обработка запроса отложена, и информацию о том, как проверить статус запроса позднее.

1. Отправьте запрос на получение сертификата, как описано выше.
2. Дождитесь ответа на запрос.
3. Появится диалоговое окно с информацией о том, что обработка запроса отложена. Также будут указаны URI регистрации и идентификатор запроса, по которым можно проверить статус запроса позже.
4. Не забудьте скопировать URI регистрации и идентификатор запроса.
5. Нажмите кнопку "ОК" в диалоговом окне, клавишу Esc на клавиатуре или в любом месте за пределами диалогового окна, чтобы закрыть его.

Если сертификат ожидает проверки, пользователь может при необходимости запросить его статус. Чтобы создавать и отправлять запросы статуса, пользователь должен перейти в специальный интерфейс.

1. Нажмите кнопку "Ещё" или перейдите к ней с помощью клавиши Tab.
2. В открывшемся списке нажмите на вариант "Показать дополнительные поля для проверки необработанных запросов?" или перейдите к нему с помощью клавиши Tab.
3. Выберите этот вариант, чтобы увидеть дополнительные поля.

Если пользователь ранее открыл интерфейс для проверки необработанных запросов, ему может потребоваться вернуться в стандартный интерфейс.

1. Нажмите кнопку "Ещё" или перейдите к ней с помощью клавиши Tab.
2. В открывшемся списке нажмите на вариант "Скрыть дополнительные поля для проверки необработанных запросов?" или перейдите к нему с помощью клавиши Tab.
3. Выберите этот вариант, чтобы скрыть дополнительные поля.

Если сертификат ожидает проверки, пользователь может при необходимости запросить его статус. Процедура очень похожа на создание нового запроса.

1. Откройте интерфейс для проверки необработанных запросов.
2. Нажмите на поле "Имя пользователя" или перейдите к нему с помощью клавиши Tab.
3. Введите имя пользователя.
4. Нажмите на поле "Пароль" или перейдите к нему с помощью клавиши Tab.
5. Введите пароль.
6. Нажмите на поле "URI регистрации" или перейдите к нему с помощью клавиши Tab.
7. Введите URI, который был получен ранее в ответе от сервера.
8. Нажмите на поле "Идентификатор запроса" или перейдите к нему с помощью клавиши Tab.
9. Введите идентификатор, который был получен ранее в ответе от сервера.
10. Если изначально запрашивался сертификат устройства, установите флажок "Зарегистрировать сертификат для устройства". В противном случае не устанавливайте его.

Как только запрос на проверку статуса сертификата создан, пользователю необходимо отправить его, чтобы получить ответ. Он может содержать информацию о том, что сертификат одобрен, отклонен или по-прежнему ожидает проверки.

1. Создайте запрос на проверку статуса сертификата, как описано выше.
2. Перейдите к кнопке "Проверить статус".
3. Нажмите на нее.

Журналы могут помочь специалисту службы поддержки или администратору понять, что произошло, если ответ на запрос содержит ошибки. Ниже описаны действия, с помощью которых пользователь может получить эти журналы и скопировать их в буфер обмена.

1. Нажмите кнопку "Ещё" или перейдите к ней с помощью клавиши Tab.
2. В открывшемся списке нажмите на вариант "Копировать журналы в буфер обмена" или перейдите к нему с помощью клавиши Tab.
3. Затем выберите этот вариант, чтобы скопировать журналы в буфер обмена.
4. После этого можно использовать стандартный процесс вставки скопированных данных на устройстве пользователя.

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню УстройстваChromeПриложения и расширенияПользователи и браузеры.

   Если вы зарегистрировались в системе облачного управления браузером Chrome, нажмите на значок меню Браузер ChromeПриложения и расширенияПользователи и браузеры.
3. Чтобы применить настройки ко всем пользователям, выберите организационное подразделение верхнего уровня. В обратном случае выберите дочернее подразделение.
4. Наведите указатель на значок "Добавить" Добавить из интернет-магазина Chrome.
5. Найдите и выберите расширение Регистрация сертификата для ChromeOS. Его идентификатор: fhndealchbngfhdoncgcokameljahhog.
6. Выберите на странице Пользователи и браузеры расширение Регистрация сертификата для ChromeOS.
7. На панели справа в разделе Управление сертификатами включите параметр Разрешить доступ к ключам.
8. В разделе Правила установки выберите Установить принудительно или Установить принудительно и закрепить на панели задач ChromeOS.
9. Нажмите Сохранить.

Создайте файл, содержащий настройки, которые вы хотите применить к расширению "Регистрация сертификата для ChromeOS" для пользователей. Примените шаблон (этот образец файла) и задайте параметры в соответствии с потребностями организации. Измените файл JavaScript Object Notation (JSON) в текстовом редакторе.

Примечание. Если для правил указываются значения по умолчанию, которые видят пользователи, эти значения автоматически переводятся на язык, установленный в региональных настройках устройства пользователя. Вы можете изменять строки в соответствии с потребностями вашей организации, однако переведены они не будут.

Вы можете установить следующие правила:

Название правила	Описание
allow_machine_cert_enrollment	Позволяет пользователям установить системный сертификат. Если для правила задано значение True, пользователи могут запрашивать системный или пользовательский сертификат. Если задано значение False, они могут запросить только пользовательский сертификат. По умолчанию установлено значение False.
cep_proxy_url	Указывает конечную точку https для CEP. Чтобы получить конечную точку: Перейдите на сайт CEP в IIS Manager. Как правило, сайт легко определить по аббревиатуре CEP в названии. Откройте Настройки приложения. Конечная точка https будет указана в поле URI. Действительны только те значения, которые начинаются с https. Если вы введете значение, начинающееся с https, но не совпадающее с Uniform Resource Identifier (URI) в IIS Manager, оно все равно будет считаться действительным и использоваться, но, скорее всего, приведет к ошибке. Это правило является обязательным.
company_info	Содержит информацию о фирменном стиле компании, например ее название и логотип. Чтобы направлять пользователей на страницу, на которой они смогут найти необходимую информацию или получить помощь, настройте help_url. Если указанная вами страница будет недоступна для пользователей без сертификата, например при первой попытке открыть ее, добавьте собственный текст справки для них с помощью help_text. Если вы настроите help_url и help_text, указанная вами страница появится под текстом справки на устройствах пользователей.
device_cert_request_values	Указывает значения, которые будут использоваться в запросе на подпись сертификата (CSR) для устройства. Вы можете задать значения на основе атрибутов пользователя и устройства, а не указывать параметры запрашивающей стороны. Чтобы задействовать пользовательский CSR, вам также понадобится настроить шаблон в центре сертификации (ЦС) так, чтобы генерировался сертификат с теми значениями, которые содержатся в самом запросе. Как минимум необходимо предоставить значение для параметра CommonName. Вы можете использовать теги, указанные ниже. Все значения приведены в качестве примера. Для устройств с ChromeOS версии 66 или более поздней: ${DEVICE_DIRECTORY_ID} – идентификатор каталога для устройства. ${USER_EMAIL} – адрес электронной почты пользователя, выполнившего вход. ${USER_DOMAIN} – доменное имя пользователя, выполнившего вход. ${DEVICE_SERIAL_NUMBER} – серийный номер устройства. ${DEVICE_ASSET_ID} – идентификатор объекта, назначенный устройству администратором. ${DEVICE_ANNOTATED_LOCATION} – местоположение, назначенное устройству администратором. Если значение-плейсхолдер недоступно, оно заменяется пустой строкой. Вы можете создать цепочку тегов. Например, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} при отсутствии идентификатора объекта заменяется серийным номером устройства.
device_enrollment_templates	Создает список названий для подходящих шаблонов сертификата. Порядок названий определяется приоритетом регистрации на уровне пользователей. Расширение выбирает из списка правил первый подходящий сертификат. Если при его применении произойдет ошибка, другие шаблоны применяться не будут. Это правило является обязательным. Список должен содержать хотя бы одно значение. В ЦС Microsoft Management Console используйте поле Название шаблона, а не Отображаемое название шаблона. Вариант по умолчанию – ChromeOSWirelessUser.
enable_auto_enrollment	Определяет, будет ли расширение автоматически инициировать регистрацию. Если установлено значение False, расширение ожидает, пока пользователь попытается подключиться к сети EAP-TLS. По умолчанию установлено значение False.
log_level	Указывает уровень детализации данных в журналах расширения, которые отправляются в консоль JavaScript браузера Chrome. NONE (значение по умолчанию): события не регистрируются в консоли. ERROR: в консоли регистрируются только явные ошибки. WARNING: в консоли регистрируются явные ошибки и предупреждения. INFO: в консоли регистрируются явные ошибки и предупреждения, а также сведения о предпринятых действиях. DEBUG: в консоли регистрируются все события. Мы рекомендуем использовать это значение на первоначальной стадии для устранения возможных неполадок. Вы сможете автоматически скопировать все журналы в буфер обмена с помощью меню Дополнительные параметры. Есть два способа, с помощью которых пользователи могут открыть консоль разработчика в браузере Chrome, чтобы получить доступ к журналам Chrome на своем устройстве: нажать Ctrl + Shift + I; выбрать Дополнительные инструменты Инструменты разработчика. Это правило является обязательным.
placeholder_values	Указывает теги для имени пользователя, пароля, URI, идентификатора запроса и заголовка. Эта информация поможет предоставлять пользователям инструкции при входе в систему. Параметры Username (Имя пользователя), Password (Пароль), URI и RequestID (Идентификатор запроса) указывают на назначение полей ввода. Поле Header (Заголовок) используется для названия страницы. Следующие значения по умолчанию для полей Username, Password и Header автоматически переводятся на язык, установленный в региональных настройках пользователя: managed_username_placeholder: имя пользователя; managed_password_placeholder: пароль; managed_login_header: сертификат регистрации. Если ваша организация использует другую терминологию, например кодовую фразу вместо пароля, вы можете изменить значения для этих полей. В этом случае новое значение не переводится.
renew_hours_before_expiry	Позволяет настроить оповещения об оставшемся времени (в часах) до истечения срока действия сертификатов.   Значение по умолчанию: 120.
renew_reminder_interval	Позволяет настроить интервал (в часах), через который пользователи будут получать уведомления об истечении срока действия сертификатов. Если после первого уведомления пользователь не обновит сертификат и не отключит напоминания, то следующее сообщение появится через то количество часов, которое указано в этом правиле. Например, значение для renew_hours_before_expiry – 120, а для renew_reminder_interval – 24. До окончания срока действия сертификата пользователь получит пять уведомлений (по одному в день) при условии, что он каждый раз будет нажимать "Напомнить позже". Значение по умолчанию: 24.
request_timeout_seconds	Период ожидания (в секундах), по истечении которого отменяется запрос к CEP или CES. Значение по умолчанию: 20.
signature_algo	Используемый расширением алгоритм, по которому подписываются запросы сертификата. Возможны следующие варианты: SHA1 (не рекомендуется, так как это наименее надежный вариант); SHA256; SHA512 (по умолчанию).
user_cert_request_values	Указывает значения, которые используются в запросе на подпись сертификата (CSR) для пользователя. Вы можете задать значения на основе атрибутов пользователя и устройства, а не указывать параметры запрашивающей стороны. Чтобы задействовать пользовательский CSR, вам также понадобится настроить шаблон в ЦС так, чтобы генерировался сертификат с теми значениями, которые содержатся в самом запросе. Как минимум необходимо предоставить значение для параметра CommonName. Вы можете использовать теги, указанные ниже. Все значения приведены в качестве примера. ${DEVICE_DIRECTORY_ID} – идентификатор каталога для устройства. ${USER_EMAIL} – адрес электронной почты пользователя, выполнившего вход. ${USER_DOMAIN} – доменное имя пользователя, выполнившего вход. ${DEVICE_SERIAL_NUMBER} – серийный номер устройства. ${DEVICE_ASSET_ID} – идентификатор объекта, назначенный устройству администратором. ${DEVICE_ANNOTATED_LOCATION} – местоположение, назначенное устройству администратором. ${USER_ID} – первая часть (слева от символа "@") адреса электронной почты пользователя, выполнившего вход. Если значение-плейсхолдер недоступно, оно заменяется пустой строкой. Вы можете создать цепочку тегов. Например, ${DEVICE_ASSET_ID:DEVICE_SERIAL_NUMBER} при отсутствии идентификатора объекта заменяется серийным номером устройства.
user_enrollment_templates	Создает список названий для подходящих шаблонов сертификата. Порядок названий определяется приоритетом регистрации на уровне пользователей. Расширение выбирает из списка правил первый подходящий сертификат. Если при его применении произойдет ошибка, другие шаблоны применяться не будут. Это правило является обязательным. Список должен содержать хотя бы одно значение. В ЦС Microsoft Management Console используйте поле Название шаблона, а не Отображаемое название шаблона. Значение по умолчанию – ChromeOSWirelessUser.

Как настроить предоставление сертификатов с использованием или без использования учетных данных, вводимых пользователем

По умолчанию расширение "Регистрация сертификата для ChromeOS" настроено так, чтобы пользователи могли вручную запросить сертификат, введя свои учетные данные.

Вы можете задать параметры для автоматического получения или продления сертификата без ввода учетных данных. Расширение может запрашивать пользовательские сертификаты и сертификаты устройств с помощью аутентификации Kerberos, если на устройстве есть билет Kerberos. При запросе сертификатов устройств может также использоваться сервисный аккаунт.

Аутентификация Kerberos

Подготовка

• У пользователя на устройстве с ChromeOS должен быть билет Kerberos.
  • Диспетчер учетных данных Kerberos должен быть настроен таким образом, чтобы разрешать вошедшему в систему пользователю получить билет Kerberos. Лучше всего настроить автоматическое получение билета при входе в систему. Подробнее о настройке системы единого входа на базе Kerberos для устройств с ChromeOS…
• У аккаунта пользователя Active Directory, связанного с билетом Kerberos, должно быть разрешение на запрос сертификатов с помощью настроенного шаблона сертификата.
• Конечная точка регистрации должна быть указана в правиле Серверы интегрированной аутентификации для ChromeOS. Дополнительные сведения о правиле можно найти в списке правил Chrome.
  • Настройте правило Серверы интегрированной аутентификации в консоли администратора. Подробнее…

Настройка расширения

В правилах расширения для переменной 'client_authentication' задайте значение 'kerberos'.

Аутентификация с помощью сервисного аккаунта

Вы можете настроить расширение так, чтобы оно запрашивало сертификат устройства, используя сервисный аккаунт. Учетные данные сервисного аккаунта размещены на веб-сервере в вашей локальной сети.

Предупреждение. Если злоумышленник получит доступ к веб-серверу, на котором размещены учетные данные, и к правилам расширения на устройстве, есть вероятность того, что он сможет извлечь учетные данные сервисного аккаунта.

Мы рекомендуем разрешить доступ к такому веб-серверу только из сети, которая предназначена для начальной подготовки устройств с ChromeOS.

Подготовка

• В локальной сети настройте веб-сервер, который может обрабатывать HTTPS-запросы.
• Добавьте сертификат веб-сервера в список доверенных сертификатов в ChromeOS. Если веб-сервер использует сертификат, выданный самозаверяющим центром сертификации, вы можете добавить этот сертификат в список доверенных в консоли администратора.

Шаг 1. Создайте маскированный пароль

1. Откройте расширение.
2. Нажмите More (Ещё)Password Mask Tool (Создание маскированного пароля).
3. Введите пароль сервисного аккаунта.
4. Выберите Mask (Маска).
5. Скопируйте маску и маскированный пароль в текстовый файл.

Шаг 2. Сохраните учетные данные на внутреннем веб-сервере

1. Настройте веб-сервер таким образом, чтобы он предоставлял JSON-файл со следующим содержимым:

{

'username': '<имя пользователя сервисного аккаунта>',

'maskedPassword': '<скопируйте и вставьте маскированный пароль>'

}

2. Скопируйте URL размещения учетных данных на веб-сервере в текстовый файл.

Шаг 3. Настройте правила для расширения

1. В качестве значения переменной 'service_account_host' используйте скопированный выше URL.
2. В качестве значения переменной 'service_account_host_password_mask' используйте маску, скопированную выше.

Автоматическое продление сертификата

Настройте расширение, чтобы получить возможность продлевать существующие сертификаты без дополнительной аутентификации, используя обновление на основе ключей.

Подготовка

У вас должна быть конечная точка сервиса регистрации сертификатов ADCS, которая поддерживает обновление на основе ключей для настроенного шаблона сертификата. Подробные сведения приведены в этой статье.

Настройка расширения

• Для переменной 'use_key_based_renewal' задайте значение true.
• В качестве значения переменной 'ces_renewal_url' используйте URL конечной точки сервиса регистрации сертификатов, поддерживающей обновление на основе ключей.

Чтобы задать настройки для определенных пользователей или зарегистрированных браузеров Chrome, поместите аккаунты пользователей или браузеры в отдельную группу или организационное подразделение. В группы можно добавить только аккаунты пользователей. Подробнее о группах и о том, как создать организационное подразделение…

1. Войдите в консоль администратора Google.

   Войдите в аккаунт администратора (он не заканчивается на @gmail.com).

2. В консоли администратора нажмите на значок меню УстройстваСети.
3. Нажмите Wi-Fi.
4. Добавьте сеть EAP-TLS.
   Подробнее о том, как настроить сеть Wi-Fi…
5. Чтобы указать сеть, с которой будет использоваться расширение, в поле URL для регистрации клиентов введите chrome-extension://fhndealchbngfhdoncgcokameljahhog/html/request_certificate.html.

Примечание. Этот URL доступен в браузере Chrome, даже если вы ещё не настроили сети для регистрации. Это позволяет предварительно протестировать URL вручную, прежде чем настраивать сети или регистрировать сертификаты, использующие сети, отличные от EAP-TLS, например VPN на основе сертификата. Попросите пользователей перейти по указанному URL в браузере и пропустить шаг настройки сети.

1. На управляемом устройстве с ChromeOS откройте страницу chrome://policy.
2. Нажмите Повторно загрузить правила.
3. Найдите параметр Регистрация сертификата для ChromeOS.
4. Убедитесь, что настроенные для каждого правила значения совпадают с заданными в JSON-файле.