Certificaten instellen voor beheerde mobiele apparaten en Chrome OS-apparaten

Mobiele apparaten: 

Chrome OS-apparaten: Chrome Enterprise vereist voor op apparaten gebaseerde certificaten.

U kunt de toegang van gebruikers tot de wifi-netwerken, interne apps en interne websites van uw organisatie op mobiele apparaten en Chrome OS-apparaten beheren door certificaten van uw lokale certificeringsinstantie (CA) te distribueren. De Google Cloud Certificate Connector is een Windows-service die certificaten en verificatiesleutels veilig distribueert van uw Simple Certificate Enrollment Protocol-server (SCEP) naar de mobiele en Chrome OS-apparaten van gebruikers. Meer informatie

Voor Chrome OS-apparaten kun je op gebruikers of apparaten gebaseerde certificaten instellen. Een gebruikerscertificaat wordt toegevoegd aan een apparaat voor een specifieke gebruiker en is toegankelijk voor die specifieke gebruiker. Een apparaatcertificaat wordt toegewezen op basis van het apparaat en is toegankelijk voor elke gebruiker die is ingelogd op het apparaat. Zie Clientcertificaten beheren op Chrome-apparaten voor meer informatie.

Als u de toegang tot het wifi-netwerk voor zowel mobiele als Chrome OS-apparaten wilt beheren, moet u afzonderlijke SCEP-profielen en wifi-netwerken instellen, omdat mobiele apparaten en Chrome OS-apparaten verschillende RSA-sleuteltypen ondersteunen.

Opmerkingen over sleutelopslag:

  • Op mobiele apparaten worden privésleutels voor de certificaten gegenereerd op de servers van Google. De sleutels worden definitief van de Google-servers verwijderd nadat het certificaat op het apparaat is geïnstalleerd of na 24 uur, afhankelijk van wat als eerste gebeurt.
  • Op Chrome OS-apparaten worden privésleutels voor de certificaten gemaakt op het Chrome-apparaat. De bijbehorende openbare sleutel wordt tijdelijk opgeslagen op de servers van Google en wordt verwijderd nadat het certificaat is geïnstalleerd.

Systeemvereisten

  • Uw organisatie gebruikt Microsoft Active Directory Certificate Services voor een SCEP-server en de Microsoft Network Device Enrollment-service (NDES) om certificaten te distribueren.
  • Mobiele apparaten: iOS- en Android-apparaten met geavanceerd mobiel beheer. Meer informatie over apparaatvereisten.
  • Chrome OS-apparaten:
    • Apparaatcertificaten: Chrome OS-versie 89 of hoger en beheerd met Chrome Enterprise
    • Gebruikerscertificaten: Chrome OS-versie 86 of hoger. Opmerking: Voor versies lager dan 87 moeten gebruikers het apparaat opnieuw opstarten of een paar uur wachten voordat het gebruikerscertificaat wordt geïmplementeerd.

Voordat u begint

  • Als je de onderwerpnaam van het certificaat nodig hebt om Active Directory-gebruikersnamen te kunnen gebruiken, moet je je Active Directory en Google-directory synchroniseren met Google Cloud Directory Sync (GCDS). Stel indien nodig GCDS in.
  • Als u nog geen CA-certificaat heeft geüpload in de Google Beheerdersconsole, voegt u een certificaat toe.
  • Bekijk de bekende problemen om onverwacht gedrag te voorkomen.

Bekende problemen

  • Certificaten kunnen niet worden ingetrokken nadat ze op een apparaat zijn geïnstalleerd.
  • SCEP-profielen ondersteunen geen dynamische challenges.
  • Overname van SCEP-profielen tussen organisatie-eenheden kan in sommige gevallen mislukken. Als u bijvoorbeeld een SCEP-profiel instelt voor een organisatie-eenheid en het SCEP-profiel van een onderliggende organisatie-eenheid wijzigt, kan geen van de SCEP-profielen van de bovenliggende organisatie-eenheid opnieuw worden overgenomen door de onderliggende organisatie-eenheid.
  • Op mobiele apparaten kunnen SCEP-profielen niet worden toegepast op VPN- of ethernetconfiguraties, alleen op wifi.
  • Voor Chrome OS-apparaten kunnen SCEP-profielen niet rechtstreeks worden toegepast op VPN- of ethernetconfiguraties. Als u een SCEP-profiel indirect wilt toepassen op VPN- of ethernetconfiguraties, gebruikt u uitgevers- of onderwerppatronen om automatisch te selecteren welk certificaat moet worden gebruikt.
  • Voor gebruikers van Chrome OS-apparaten kunnen certificaten alleen worden geïmplementeerd voor gebruikers die zijn ingelogd op een beheerd apparaat. De gebruiker en het apparaat moeten bij hetzelfde domein horen.

Stap 1: De Google Cloud Certificate Connector downloaden

Voer de volgende stappen uit op de SCEP-server of op een Windows-computer met een account waarmee u kunt inloggen als service op de SCEP-server. Houd de inloggegevens van het account bij de hand.

Als uw organisatie meerdere servers heeft, kunt u op alle servers dezelfde certificaatconnectoragent gebruiken. Download en installeer het installatiebestand, configuratiebestand en sleutelbestand op één computer, zoals beschreven in de volgende stappen. Kopieer dan deze 3 bestanden naar de andere computer en volg de installatie-instructies op die computer.

Opmerking: U downloadt de Google Cloud Certificate Connector en de bijbehorende componenten slechts één keer, namelijk wanneer u voor de eerste keer certificaten instelt voor uw organisatie. Uw certificaten en SCEP-profielen kunnen een Certificate Connector delen.

  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Factureringand thenAbonnementen.
  3. Klik op Veilige SCEPand thenConnector downloaden.
  4. Klik in het gedeelte 'Google Cloud Certificate Connector' op Downloaden. De download maakt een map met de certificaatconnector op het bureaublad. We raden u aan de andere connectorconfiguratiebestanden te downloaden naar deze map.
  5. Klik in het gedeelte 'Het connectorconfiguratiebestand downloaden' op Downloaden. Het bestand config.json wordt gedownload.
  6. Klik in het gedeelte 'Een sleutel voor het serviceaccount genereren' op Sleutel genereren. Het bestand key.json wordt gedownload.
  7. Voer het installatieprogramma van de certificaatconnector uit.
    1. Klik in de installatiewizard op Volgende.
    2. Accepteer de voorwaarden van de licentieovereenkomst en klik op Volgende.
    3. Kies het account waarvoor de service is geïnstalleerd en klik op Volgende. Het account moet rechten hebben om in te loggen als service op de SCEP-server.
    4. Selecteer de installatielocatie. We raden u aan de standaardlocatie te gebruiken. Klik op Volgende.
    5. Voer de inloggegevens van uw serviceaccount in en klik op Volgende. De service wordt geïnstalleerd.
    6. Klik op Voltooien om de installatie te voltooien.
  8. Verplaats de configuratie- en sleutelbestanden (config.json en key.json) naar de Google Cloud Certificate Connector-map die tijdens de installatie is gemaakt. Dit is meestal C:\Program Files\Google Cloud Certificate Connector.
  9. Start de Google Cloud Certificate Connector-service:
    1. Open Windows-services.
    2. Selecteer Google Cloud Certificate Connector in de lijst met services.
    3. Klik op Starten om de service te starten. Controleer of de status wordt gewijzigd in Actief. De service wordt automatisch opnieuw opgestart als de computer opnieuw wordt opgestart.

Als u later een nieuwe serviceaccountsleutel downloadt, start u de service opnieuw om deze toe te passen.

Stap 2: Een SCEP-profiel toevoegen

Het SCEP-profiel bepaalt met welk certificaat gebruikers toegang kunnen krijgen tot uw wifi-netwerk. U wijst het profiel toe aan specifieke gebruikers door het toe te voegen aan een organisatie-eenheid. U kunt verschillende SCEP-profielen instellen om de toegang per organisatie-eenheid en per apparaattype te beheren.

Voordat u begint: Als u wilt dat de instelling geldt voor bepaalde gebruikers, plaatst u hun accounts in een organisatie-eenheid.
  1. Log in bij de Google Beheerdersconsole.

    Log in met uw beheerdersaccount (dit eindigt niet op @gmail.com).

  2. Ga in de Beheerdersconsole naar Menu and then Factureringand thenAbonnementen.
  3. Klik op SCEP-profiel maken.
  4. Laat de organisatie-eenheid op het hoogste niveau geselecteerd als u wilt dat de instelling voor iedereen geldt. Selecteer anders een onderliggende organisatie-eenheidOpmerking: We raden u aan het SCEP-profiel in te stellen voor elke organisatie-eenheid waarop u het profiel wilt toepassen, vanwege een bekend probleem.
  5. Klik op Veilig SCEP-profiel toevoegen.
  6. Voer de configuratiegegevens voor het profiel in. Als je CA een bepaalde template uitgeeft, moet je zorgen dat de gegevens in het profiel hetzelfde zijn als in de template.
    • SCEP-profielnaam: Een beschrijvende naam voor het profiel. De naam wordt weergegeven in de lijst met profielen en in de profielkiezer in de wifi-netwerkconfiguratie.
    • Indeling onderwerpnaam: Kies hoe u de eigenaar van het certificaat wilt identificeren. Als u Volledige DN-naam (Distinguished Name) selecteert, is de algemene naam van het certificaat de gebruikersnaam van de gebruiker.
    • Alternatieve naam onderwerp: Geef een alternatieve naam op. De standaard is Geen.

      Voor Chrome OS-apparaten kunt u alternatieve namen voor het onderwerp definiëren op basis van gebruikers- en apparaatkenmerken. Als u een aangepast certificaatondertekeningsverzoek (Certificate Signing Request, CSR) wilt gebruiken, configureert u de certificaattemplate op de CA zodat een certificaat wordt verwacht en gegenereerd met de onderwerpwaarden uit het verzoek zelf. U moet minimaal een waarde invoeren voor de CommonName van het onderwerp.

      Je kunt de volgende tijdelijke aanduidingen gebruiken. Alle waarden zijn optioneel.

      • ${DEVICE_DIRECTORY_ID}: De directory-ID van het apparaat.
      • ${USER_EMAIL}: Het e-mailadres van de ingelogde gebruiker.
      • ${USER_EMAIL_DOMAIN}: De domeinnaam van de ingelogde gebruiker.
      • ${DEVICE_SERIAL_NUMBER}: Het serienummer van het apparaat.
      • ${DEVICE_ASSET_ID}: De item-ID die is toegewezen aan het apparaat door de beheerder.
      • ${DEVICE_ANNOTATED_LOCATION}: De locatie die is toegewezen aan het apparaat door de beheerder.
      • ${USER_EMAIL_NAME}: Het eerste deel van het e-mailadres van de ingelogde gebruiker (vóór de @).

      Als er geen tijdelijke aanduiding beschikbaar is, blijft de aanduiding leeg.

    • Ondertekeningsalgoritme: De hashfunctie waarmee de verificatiesleutel wordt versleuteld. Alleen SHA256 met RSA is beschikbaar.
    • Sleutelgebruik: Opties voor het gebruiken, versleutelen en ondertekenen van de sleutel. U kunt meerdere opties selecteren.
    • Sleutelgrootte (bits): De grootte van de RSA-sleutel. Selecteer 2048 voor Chrome OS-apparaten.
    • URL SCEP-server: De URL van de SCEP-server.
    • Validiteitsperiode certificaat (jaren): Hoelang het apparaatcertificaat geldig is. Voer een getal in.
    • Verlengen binnen aantal dagen: Hoelang voordat het apparaatcertificaat verloopt, moet er worden geprobeerd het certificaat te verlengen.
    • Uitgebreid sleutelgebruik: Hoe de sleutel kan worden gebruikt. U kunt meerdere waarden kiezen.
    • Challenge-type: Als u wilt dat Google een specifieke challengezin opgeeft wanneer een certificaat wordt opgevraagd bij de SCEP-server, selecteert u Statisch en voert u de zin in. Als u Geen selecteert, vereist de server deze controle niet.
    • Naam template: De naam van de template die wordt gebruikt door uw NDES-server.
    • Certificeringsinstantie: De naam van een certificaat dat je hebt geüpload voor gebruik als certificeringsinstantie.
    • Netwerktype waarvoor dit profiel geldt: Het type van de netwerken die het SCEP-profiel gebruiken.
    • Platforms waarvoor dit profiel geldt: De apparaatplatforms waarop het SCEP-profiel wordt gebruikt. Zorg voor Chrome OS-apparaten dat u Chromebook (gebruiker), Chromebook (apparaat) of beide aanvinkt, afhankelijk van het type certificaat dat u wilt implementeren.
  7. Klik op Opslaan. Als je een onderliggende organisatie-eenheid hebt geconfigureerd, kun je mogelijk de instellingen van de bovenliggende organisatie-eenheid Overnemen of Overschrijven.

Nadat je een profiel hebt toegevoegd, wordt het weergegeven met de naam en de platforms waarop het aanstaat. In de kolom Platform is het profiel ingeschakeld voor platforms met blauwe iconen en uitgeschakeld voor platforms met grijze iconen. Als u een profiel wilt bewerken, plaatst u de muisaanwijzer op de rij en klikt u op Bewerken .

Het SCEP-profiel wordt automatisch gedistribueerd naar gebruikers in de organisatie-eenheid.

Stap 3: De keystore van de Google Cloud Certificate Connector configureren

Sla deze stap over als het certificaat is uitgegeven door een vertrouwde CA of als de URL van uw SCEP-server begint met HTTP.

Als het certificaat niet is uitgegeven door een vertrouwde CA, zoals een zelfondertekend certificaat, moet u het certificaat importeren naar de Google Cloud Certificate Connector-keystore. Anders kan het apparaatcertificaat niet worden geregistreerd en kan het apparaat geen verbinding maken.

  1. Log in bij uw CA.
  2. Als er nog geen Java JRE is geïnstalleerd, installeert u er een zodat u keytool.exe kunt gebruiken.
  3. Open een opdrachtprompt.
  4. Gebruik de volgende opdrachten om uw CA-certificaat te exporteren en te converteren naar een PEM-bestand:
    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem
  5. Importeer het CA-certificaat naar de keystore. Voer de volgende opdracht uit in de submap van de Google Cloud Certificate Connector-map die is gemaakt tijdens de installatie. Dit is meestal C:\Program Files\Google Cloud Certificate Connector:

    java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

    Vervang java-home-dir door het pad naar de JRE in de map Google Cloud Certificate Connector en cert-export-dir door het pad naar het certificaat dat u in stap 4 heeft geëxporteerd.

Stap 4: Wifi-netwerken configureren zodat het SCEP-profiel wordt vereist (optioneel)

Nadat de mobiele apparaten of Chrome OS-apparaten van gebruikers certificaten van de SCEP-server hebben ontvangen, kunt u wifi-netwerken configureren zodat deze certificaatverificatie vereisen.

Als je de toegang tot het wifi-netwerk wilt beheren voor zowel mobiele als Chrome OS-apparaten, stel je voor elk een afzonderlijk wifi-netwerk in. Stel bijvoorbeeld één wifi-netwerk in voor mobiele apparaten en wijs er een SCEP-profiel aan toe voor mobiele apparaten, en stel een ander wifi-netwerk in voor Chrome OS-apparaten en wijs een SCEP-profiel toe voor Chrome OS-apparaten.

Ga als volgt te werk om het certificaat te selecteren en het SCEP-profiel toe te passen op een wifi-netwerk:

  1. Voeg een wifi-configuratie toe of bewerk een bestaande configuratie.
  2. Vink in het gedeelte 'Platformtoegang' het vakje aan voor Android, iOS of allebei.
  3. Stel het volgende in het gedeelte 'Gegevens' in:
    1. Selecteer bij Beveiligingsinstellingen de optie WPA/WPA2 Enterprise (802.1 X) of Dynamic WEP (802.1 X).
    2. Selecteer bij Extensible Authentication Protocol de optie EAP-TLS of EAP-TTLS.
    3. Selecteer bij SCEP-profiel het SCEP-profiel dat u wilt toepassen op dit netwerk.
  4. Klik op Opslaan.

De eerste keer dat gebruikers verbinding proberen te maken met het wifi-netwerk, moet het apparaat het certificaat leveren.

  • Voor Android- en Chrome OS-apparaten wordt het certificaat dat overeenkomt met het SCEP-profiel en het netwerk automatisch ingevuld en klikt de gebruiker op Verbinden.
  • Voor iOS-apparaten moet de gebruiker kiezen welk certificaat moet worden gebruikt en klikt deze vervolgens op Verbinden.

Hoe certificaatverificatie via Google Cloud Certificate Connector werkt

Google Cloud Certificate Connector is een Windows-service die een exclusieve verbinding tussen uw SCEP-server en Google tot stand brengt. De certificaatconnector wordt ingesteld en beveiligd door een configuratiebestand en een sleutelbestand, die beide uniek zijn voor uw organisatie.

Je wijst apparaatcertificaten toe aan apparaten en gebruikers met SCEP-profielen. Als je een profiel wilt toewijzen, voeg je het profiel toe aan de gewenste organisatie-eenheid. Het profiel bevat de certificeringsinstantie die apparaatcertificaten uitgeeft. Als een gebruiker een mobiel of Chrome OS-apparaat inschrijft voor beheer, haalt Google-eindpuntbeheer het SCEP-profiel van de gebruiker op en wordt het certificaat op het apparaat geïnstalleerd. Voor Chrome OS-apparaten wordt een apparaatcertificaat geïnstalleerd voordat de gebruiker inlogt. Een gebruikerscertificaat wordt geïnstalleerd nadat de gebruiker is ingelogd. Als het apparaat al is ingeschreven, wordt het certificaat geïnstalleerd als onderdeel van de normale synchronisatiecyclus.

Als een gebruiker verbinding probeert te maken met uw netwerk, wordt de gebruiker gevraagd het certificaat te leveren. Op Android-apparaten wordt het certificaat automatisch geselecteerd en klikt de gebruiker op Verbinden. Op iOS-apparaten moet de gebruiker het certificaat handmatig selecteren en vervolgens verbinding maken. Het apparaat krijgt toegang tot het netwerk van uw organisatie via een sleutel die door Google is onderhandeld via de certificaatconnector. Google slaat de sleutel tijdelijk op tijdens de onderhandeling, maar wist de sleutel nadat deze op het apparaat is geïnstalleerd (of na 24 uur).


Google, Google Workspace en de gerelateerde merken en logo's zijn handelsmerken van Google LLC. Alle andere bedrijfs- en productnamen zijn handelsmerken van de bedrijven waarmee ze in verband worden gebracht.

Was dit nuttig?

Hoe kunnen we dit verbeteren?
Zoeken
Zoekopdracht wissen
Zoekfunctie sluiten
Google-apps
Hoofdmenu
11209346266900619280
true
Zoeken in het Helpcentrum
true
true
true
false
false