Konfigurera certifikat för hanterade mobila enheter och Chrome OS-enheter

Mobila enheter: 

Chrome OS-enheter: Chrome Enterprise krävs för enhetsbaserade certifikat.

Du kan styra användarnas åtkomst till organisationens wifi-nätverk, interna appar och interna webbplatser på mobila enheter och Chrome OS-enheter genom att distribuera certifikat från den lokala certifikatutfärdaren (CA). Google Cloud Certificate Connector är en Windows-tjänst som distribuerar certifikat och auktoriseringsnycklar säkert från SCEP-servern (Simple Certificate Enrollment Protocol) till användarnas mobila enheter och Chrome OS-enheter. Läs mer

För Chrome OS-enheter kan du konfigurera användarbaserade eller enhetsbaserade certifikat. Ett användarcertifikat läggs till på enheten för en viss användare och är tillgängligt för användaren. Ett enhetscertifikat tilldelas baserat på enheten och är tillgängligt för alla användare som är inloggade på enheten. Mer information finns i Hantera klientcertifikat på Chrome-enheter.

Om du vill styra åtkomsten till wifi-nätverk för både mobila enheter och Chrome OS-enheter måste du konfigurera separata SCEP-profiler och wifi-nätverk eftersom mobila enheter och Chrome OS-enheter har stöd för olika RSA-nyckeltyper.

Information om nyckellagring:

  • För mobila enheter skapas privata nycklar för certifikaten på Googles servrar. Nycklarna rensas från Googles servrar efter det som inträffar först av att certifikatet har installerats på enheten eller 24 timmar.
  • För Chrome OS-enheter genereras privata nycklar för certifikaten på Chrome-enheten. Den motsvarande offentliga nyckeln lagras tillfälligt på Googles servrar och raderas när certifikatet har installerats.

Systemkrav

  • Organisationen använder Microsoft Active Directory Certificate Service för en SCEP-server och Microsoft Network Device Enrollment Service (NDES) för att distribuera certifikat.
  • Mobila enheter: iOS- och Android-enheter med avancerad mobilhantering. Läs mer om enhetskrav.
  • Chrome OS-enheter:
    • Enhetscertifikat: Chrome OS version 89 eller senare och hanteras med Chrome Enterprise
    • Användarcertifikat: Chrome OS version 86 eller senare. Obs! För versioner före 87 måste användarna starta om enheten eller vänta några timmar innan användarcertifikatet implementeras.

Innan du börjar

  • Om du behöver certifikatets ämnesnamn för att kunna använda Active Directory-användarnamn måste du synkronisera Active Directory och Google Directory med Google Cloud Directory Sync (GCDS). Om det behövs konfigurerar du GCDS.
  • Om du inte redan har laddat upp ett CA-certifikat på Googles administratörskonsol lägger du till ett certifikat.
  • Läs igenom de kända problemen för att undvika oväntat beteende.

Kända problem

  • Certifikat kan inte återkallas när de har installerats på en enhet.
  • SCEP-profiler har inte stöd för dynamiska utmaningar.
  • SCEP-profilarv mellan organisationsenheter kan delas upp i vissa fall. Om du till exempel ställer in en SCEP-profil för en organisationsenhet och ändrar en underordnad organisationsenhets SCEP-profil kan ingen av den överordnade organisationsenhetens SCEP-profiler ärvas av den underordnade organisationsenheten igen.
  • För mobila enheter kan SCEP-profiler inte tillämpas på VPN- eller Ethernet-konfigurationer, endast wifi.
  • För Chrome OS-enheter kan SCEP-profiler inte tillämpas direkt på VPN- eller Ethernet-konfigurationer. Om du vill tillämpa en SCEP-profil på VPN- eller ethernet-konfigurationer indirekt använder du utfärdare eller ämnesmönster för att automatiskt välja vilket certifikat som ska användas.
  • För användare av Chrome OS-enheter kan certifikat enbart implementeras för användare som är inloggade på en hanterad enhet. Användaren och enheten måste tillhöra samma domän.

Steg 1: Ladda ned Google Cloud Certificate Connector

Utför följande steg på SCEP-servern eller en Windows-dator med ett konto som kan logga in som en tjänst på SCEP-servern. Ha kontouppgifterna tillgängliga.

Om organisationen har flera servrar kan du använda samma agen för certifikatanslutare på samtliga. Ladda ned och installera installationsfilen, konfigurationsfilen och nyckelfilen på en dator enligt anvisningarna nedan. Kopiera sedan de tre filerna till den andra datorn och följ installationsanvisningarna på den datorn.

Obs! Du laddar bara ned Google Cloud Certificate Connector och dess komponenter en gång när du konfigurerar certifikat för organisationen. Dina certifikat och SCEP-profiler kan dela en certifikatanslutare.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. I administratörskonsolen går du till menyn följt av Enheterföljt avNätverk.
  3. Klicka på Säker SCEPföljt avLadda ned anslutare.
  4. Klicka på Ladda ned i avsnittet Google Cloud Certificate Connector. Nedladdningen skapar en mapp på skrivbordet som innehåller certifikatanslutaren. Vi rekommenderar att du hämtar de andra anslutarkonfigurationsfilerna till den här mappen.
  5. I avsnittet Ladda ned konfigurationsfilen för anslutare klickar du på Ladda ned. Filen config.json laddas ned.
  6. Klicka på Skapa nyckel i avsnittet Hämta en tjänstkontonyckel. Filen key.json laddas ned.
  7. Kör installationsprogrammet för certifikatanslutaren.
    1. Klicka på Nästa i installationsguiden.
    2. Godkänn villkoren i licensavtalet och klicka på Nästa.
    3. Välj det konto som tjänsten är installerad för och klicka på Nästa. Kontot måste ha behörighet att logga in som en tjänst på SCEP-servern.
    4. Välj installationsplats. Vi rekommenderar att du använder standardinställningen. Klicka på Nästa.
    5. Ange dina kontouppgifter och klicka på Nästa. Tjänsten installeras.
    6. Klicka på Slutför för att slutföra installationen.
  8. Flytta konfigurations- och nyckelfilerna (config.json och key.json) till mappen Google Cloud Certificate Connector som skapades under installationen: C:\Program Files\Google Cloud Certificate Connector.
  9. Starta tjänsten Google Cloud Certificate Connector:
    1. Öppna Windows-tjänster.
    2. Välj Google Cloud Certificate Connector i listan över tjänster.
    3. Klicka på Starta för att starta tjänsten. Kontrollera att statusen ändras till Aktiv. Tjänsten startas om automatiskt om datorn startas om.

Om du laddar ned en ny nyckel för tjänstkontot senare startar du om tjänsten för att tillämpa den.

Steg 2: Lägg till en SCEP-profil

SCEP-profilen definierar certifikatet som ger användarna åtkomst till Wi-Fi-nätverket. Du tilldelar profilen till specifika användare genom att lägga till den i en organisationsenhet. Du kan konfigurera flera SCEP-profiler för att hantera åtkomst per organisationsenhet och enhetstyp.

Innan du börjar: Om du behöver konfigurera en avdelning eller ett team för den här inställningen går du till Lägga till en organisationsenhet.

  1. Logga inGoogles administratörskonsol.

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. I administratörskonsolen går du till menyn följt av Enheterföljt avNätverk.
  3. Klicka på  Skapa SCEP-profil.
  4. (Valfritt) Om du vill tillämpa inställningen på en avdelning eller ett team väljer du en organisationsenhet vid sidan. Visa hur Obs! Vi rekommenderar att du ställer in SCEP-profilen för varje organisationsenhet du vill att profilen ska gälla för på grund av ett känt problem.
  5. Klicka på Lägg till säker SCEP-profil.
  6. Ange konfigurationsinformationen för profilen. Om din certifikatutfärdare utfärdar en viss mall matchar du informationen i profilen med mallen.
    • SCEP-profilnamn – ett beskrivande namn för profilen. Namnet visas i profillistan och i profilväljaren i Wi-Fi-nätverkskonfigurationen.
    • Format för ämnesnamn – välj hur du vill identifiera certifikatets ägare. Om du väljer Fullständigt unikt namn är certifikatets namn användarens användarnamn.
    • Alternativt ämnesnamn – ange ett SAN. Standardinställningen är Inget.

      För Chrome OS-enheter kan du definiera alternativa ämnesnamn baserat på användar- och enhetsattribut. Om du vill använda en anpassad begäran om certifikatsignering (CSR) konfigurerar du certifikatmallen i CA för att förvänta sig och skapa ett certifikat med de ämnesvärden som definieras i själva begäran. Du måste minst ange ett värde för ämnet CommonName.

      Du kan använda följande platshållare. Alla värden är valfria.

      • ${DEVICE_DIRECTORY_ID} – enhetens katalog-id
      • ${USER_EMAIL} – den inloggade användarens e-postadress
      • ${USER_EMAIL_DOMAIN} – den inloggade användarens domännamn.
      • ${DEVICE_SERIAL_NUMBER} – enhetens serienummer
      • ${DEVICE_ASSET_ID} – resurs-id som tilldelats enheten av administratören
      • ${DEVICE_ANNOTATED_LOCATION} – placering som tilldelats enheten av administratören.
      • ${USER_EMAIL_NAME} – den första delen (delen före @) av den inloggade användarens e-postadress.

      Om ett platshållarvärde inte är tillgängligt ersätts det med en tom sträng.

    • Signeringsalgoritm – den hashfunktion som används för att kryptera auktoriseringsnyckeln. Endast SHA256 med RSA är tillgängligt.
    • Nyckelanvändning – alternativ för användning av nyckeln, nyckelkryptering och signering. Du kan välja fler än ett.
    • Nyckelstorlek (bitar) – storleken på RSA-nyckeln. För Chrome OS-enheter väljer du 2048.
    • Webbadress för SCEP-server – webbadressen till SCEP-servern.
    • Certifikatets giltighetsperiod (år) – hur länge enhetscertifikatet är giltigt. Ange som ett tal.
    • Förnya inom några dagar – hur länge innan enhetscertifikatet löper ut ett försök görs att förnya certifikatet.
    • Utökad nyckelanvändning – hur nyckeln kan användas. Du kan välja fler än ett värde.
    • Utmaningstyp – om du vill att Google ska ange en viss utmaningsfras vid begäran om ett certifikat från SCEP-servern väljer du Statisk och anger frasen. Om du väljer Inget kräver servern inte denna kontroll.
    • Mallnamn – namnet på den mall som används av NDES-servern.
    • Certifikatutfärdare – namnet på ett certifikat som du har laddat upp för användning som certifikatutfärdare.
    • Nätverkstyp som profilen gäller – den typ av nätverk som använder SCEP-profilen.
    • Plattformar som profilen gäller för – de enhetsplattformar som använder SCEP-profilen.För Chrome OS-enheter kontrollerar du Chromebook (användare), Chromebook (enhet) eller båda, beroende på vilken typ av certifikat du vill implementera.
  7. Klicka på Spara. Du kan även klicka på Åsidosätt för en organisationsenhet.

    Om du vill återställa det ärvda värdet senare klickar du på Ärv.

När du har lagt till en profil visas den med namnet och de plattformar den är aktiverad på. I kolumnen Plattform är profilen aktiverad för plattformar med blå ikoner och inaktiverad för plattformar med grå ikoner. Redigera en profil genom att peka på raden och klicka på Redigera .

SCEP-profilen distribueras automatiskt till användare i organisationsenheten.

Steg 3: Konfigurera nyckellagret för Google Cloud Certificate Connector

Om certifikatet har utfärdats av en betrodd certifikatutfärdare eller om SCEP-serverns webbadress börjar med HTTP hoppar du över det här steget.

Om certifikatet inte har utfärdats av en betrodd certifikatutfärdare, exempelvis ett självsignerat certifikat, måste du importera certifikatet till nyckelarkivet för Google Cloud Certificate Connector. Annars kan enhetscertifikatet inte administreras och enheten kan inte ansluta.

  1. Logga in på certifikatutfärdaren.
  2. Om en Java JRE inte redan är installerad installerar du en så att du kan använda keytool.exe.
  3. Öppna en kommandotolk.
  4. Exportera ditt CA-certifikat och konvertera det till en PEM-fil med följande kommandon: 
    certutil ‑ca.cert C:\root.cer
certutil ‑encode cacert.cer cacert.pem
  5. Importera CA-certifikatet till nyckellagret. Från underkatalogen för mappen Google Cloud Certificate Connector som skapades under installationen kör du följande kommando: C:\Program Files\Google Cloud Certificate Connector:

    java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

    ErsättJava-Home-dir med sökvägen till JRE i mappen Google Cloud Certificate Connector ochcert-export-dir med sökvägen till certifikatet du exporterade i steg 4.

Steg 4: Konfigurera Wi-Fi-nätverk som kräver SCEP-profilen (valfritt)

När användarnas mobila enheter eller Chrome OS-enheter har fått certifikat från SCEP-servern kan du konfigurera Wi-Fi-nätverk så att certifikatverifiering krävs.

Om du vill styra wifi-nätverksåtkomsten för både mobila enheter och Chrome OS-enheter konfigurerar du separata wifi-nätverk för var och en. Du kan till exempel konfigurera ett Wi-Fi-nätverk för mobila enheter och tilldela det en SCEP-profil för mobila enheter. Konfigurera sedan ett annat Wi-Fi-nätverk för Chrome OS-enheter och tilldela en SCEP-profil för Chrome OS-enheter.

Så här väljer du certifikatet och tillämpar SCEP-profilen på ett Wi-Fi-nätverk:

  1. Lägg till en Wi-Fi-konfiguration eller redigera en befintlig konfiguration.
  2. I avsnittet Plattformsåtkomst markerar du kryssrutan Android eller iOS eller båda.
  3. I avsnittet Detaljer anger du följande:
    1. För Säkerhetsinställningar väljer du WPA/WPA2 Enterprise (802.1 X) eller Dynamic WEP (802.1 X).
    2. För Extensible Authentication Protocol väljer du EAP-TLS eller EAP-TTLS.
    3. För SCEP-profil väljer du den SCEP-profil som du vill använda för nätverket.
  4. Klicka på Spara.

Första gången användarna försöker ansluta till Wi-Fi-nätverket måste enheten tillhandahålla certifikatet.

  • För Android- och Chrome OS-enheter fylls certifikatet som motsvarar SCEP-profilen och nätverket automatiskt i och användaren klickar på Anslut.
  • För iOS måste användaren välja certifikatet som ska användas och sedan klicka på Anslut.

Så här fungerar certifikatverifiering via Google Cloud Certificate Connector

Google Cloud Certificate Connector är en Windows-tjänst som skapar en exklusiv anslutning mellan SCEP-servern och Google. Certifikatanslutaren är konfigurerad och skyddad av en konfigurationsfil och en nyckelfil, som båda endast är avsedda för din organisation.

Du tilldelar enhetscertifikat till enheter och användare med SCEP-profiler. Om du vill tilldela profilen väljer du en organisationsenhet och lägger till profilen i organisationsenheten. Profilen innehåller den certifikatutfärdare som utfärdar enhetscertifikat. När en användare registrerar sin mobila enhet eller Chrome OS-enhet för hantering hämtar Googles slutpunktshantering användarens SCEP-profil och installerar certifikatet på enheten. För Chrome OS-enheter installeras ett enhetscertifikat innan användaren loggar in, medan ett användarcertifikat installeras efter att användaren har loggat in. Om enheten redan är registrerad installeras certifikatet som en del av en vanlig synkroniseringscykel.

När en användare försöker ansluta till nätverket uppmanas han eller hon att tillhandahålla certifikatet. På Android-enheter väljs certifikatet automatiskt och användaren klickar på Anslut. På iOS-enheter måste användaren välja certifikatet manuellt och sedan ansluta. Enheten får åtkomst till organisationens nätverk med en nyckel som Google förhandlat fram via certifikatanslutaren. Google lagrar tillfälligt nyckeln under säkerhetsförhandlingar, men rensar nyckeln när den har installerats på enheten (eller efter 24 timmar).


Google, Google Workspace och relaterade märken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är kopplade till.

Var det här till hjälp?

Hur kan vi förbättra den?
true
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
2940691973096545829
true
Sök i hjälpcentret
true
true
true
false
false