Konfigurera certifikat för hanterade mobila enheter och ChromeOS-enheter

Mobila enheter: Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard, Education Plus och Endpoint Education Upgrade; Cloud Identity Premium. Jämför din utgåva

ChromeOS-enheter: Chrome Enterprise krävs för enhetsbaserade certifikat.

Du kan styra användaråtkomst till din organisations Wi-Fi- och Ethernet-nätverk, virtuella privata nätverk (VPN) och interna appar och webbplatser på mobila enheter och ChromeOS-enheter genom att distribuera certifikat från din lokala certifikatutfärdare (CA). Google Cloud Certificate Connector är en Windows-tjänst som säkert distribuerar certifikat och autentiseringsnycklar från din Simple Certificate Enrollment Protocol (SCEP)-server till användarnas mobila enheter och ChromeOS-enheter. Mer information finns i Hur certifikatautentisering via Google Cloud Certificate Connector fungerar på den här sidan.

För ChromeOS-enheter kan du konfigurera användarbaserade eller enhetsbaserade certifikat. Ett användarcertifikat läggs till på en enhet för en specifik användare och är tillgängligt för den specifika användaren. Ett enhetscertifikat tilldelas baserat på enheten och är tillgängligt för alla användare som är inloggade på enheten. Mer information finns i Hantera klientcertifikat på Chrome-enheter .

Om du vill kontrollera Wi-Fi-nätverksåtkomst för både mobila enheter och ChromeOS-enheter måste du konfigurera separata SCEP-profiler och Wi-Fi-nätverk eftersom mobila enheter och ChromeOS-enheter stöder olika RSA-nyckeltyper.

Anmärkningar om nyckelförvaring:

  • För mobila enheter genereras privata nycklar för certifikaten på Googles servrar. Nycklarna rensas från Googles servrar efter att certifikatet har installerats på enheten eller inom 24 timmar, beroende på vilket som inträffar först.
  • För ChromeOS-enheter genereras privata nycklar för certifikaten på ChromeOS-enheten. Motsvarande offentliga nyckel lagras tillfälligt på Googles servrar och rensas efter att certifikatet har installerats.

Systemkrav

  • Microsoft Active Directory-certifikattjänsten för en SCEP-server och Microsoft Network Device Enrollment Service (NDES) för att distribuera certifikat.
  • Mobila enheter: iOS- och Android-enheter under avancerad mobilhantering . Läs mer om enhetskrav .

  • ChromeOS-enheter:

    • Enhetscertifikat: ChromeOS version 89 eller senare och hanteras med Chrome Enterprise

    • Användarcertifikat: ChromeOS version 86 eller senare.

      Obs! För versioner tidigare än 87 måste användare starta om enheten eller vänta ett par timmar på att användarcertifikatet ska distribueras.

Innan du börjar

  • Om du behöver certifikatets ämnesnamn för att använda Active Directory-användarnamn måste du synkronisera din Active Directory och Google Directory med Google Cloud Directory Sync (GCDS). Konfigurera GCDS om det behövs.
  • Om du inte redan har laddat upp ett CA-certifikat i Googles administratörskonsol lägger du till ett certifikat .
  • Granska kända problem för att undvika oväntat beteende.

Kända problem

  • Certifikat kan inte återkallas efter att de har installerats på en enhet.
  • SCEP-profiler stöder inte dynamiska utmaningar.
  • Arv av SCEP-profiler mellan organisationsenheter kan i vissa fall gå sönder. Om du till exempel anger en SCEP-profil för en organisationsenhet och ändrar en underordnad organisationsenhets SCEP-profil, kan ingen av den överordnade organisationsenhetens SCEP-profiler ärvas av den underordnade organisationsenheten igen.
  • För mobila enheter kan SCEP-profiler inte tillämpas på VPN- eller Ethernet-konfigurationer, endast Wi-Fi.
  • För ChromeOS-enheter kan SCEP-profiler inte tillämpas direkt på VPN- eller Ethernet-konfigurationer. För att indirekt tillämpa en SCEP-profil på VPN- eller Ethernet-konfigurationer, använd utfärdar- eller ämnesmönster för att automatiskt välja vilket certifikat som ska användas.
  • För användare av ChromeOS-enheter kan certifikat endast distribueras för användare som är inloggade på en hanterad enhet. Användaren och enheten måste tillhöra samma domän.

Steg 1: Ladda ner Google Cloud Certificate Connector

Utför följande steg på SCEP-servern eller en Windows-dator med ett konto som kan logga in som en tjänst på SCEP-servern. Ha kontouppgifterna tillgängliga.

Om din organisation har flera servrar kan du använda samma certifikatanslutningsagent på alla. Ladda ner och installera installationsfilen, konfigurationsfilen och nyckelfilen på en dator enligt beskrivningen i följande steg. Kopiera sedan dessa tre filer till den andra datorn och följ installationsanvisningarna på den datorn.

Obs! Du laddar bara ner Google Cloud Certificate Connector och dess komponenter en gång, när du först konfigurerar certifikat för din organisation. Dina certifikat och SCEP-profiler kan dela en enda certifikatanslutning.

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Nätverk .

    Kräver administratörsbehörighet för inställningar för delade enheter .

  2. Klicka på Säker SCEP och sedan Ladda ner kontakten .
  3. I avsnittet Installera Google Cloud-certifikatanslutning klickar du på Ladda ner .
  4. På sidan Google Cloud Certificate Connector klickar du på Ladda ner för att ladda ner filen connector_installer.exe.
  5. Stäng sidan Tack för att du laddade ner Google Cloud Certificate Connector!
  6. I administratörskonsolen, i avsnittet Ladda ner konfigurationsfilen för anslutningen , klicka på Ladda ner för att ladda ner config.json-filen.
  7. I avsnittet Hämta en servicekontonyckel klickar du på Generera nyckel för att ladda ner key.json-filen.

  8. Kör connector_installer.exe som administratör.

    Obs ! Installationsprogrammet registrerar anslutningstjänsten med standardinloggningsuppgifter (LocalService). Senare kan du ändra tjänsten så att den körs som ett annat tjänstkonto. För att göra det, gå till installationskatalogen för anslutningen och kör configtool.exe för att öppna ConfigTool.

  9. Flytta konfigurations- och nyckelfilerna (config.json och key.json) till mappen Google Cloud Certificate Connector som skapades under installationen, vanligtvis: C:\Program Files\Google Cloud Certificate Connector.

  10. Öppna Google Cloud Certificate Connector-tjänsten:

    1. Öppna Windows-tjänster.
    2. Välj Google Cloud Certificate Connector i listan över tjänster.
    3. Klicka på Start för att starta tjänsten. Se till att statusen ändras till Körs . Tjänsten startas om automatiskt om datorn startar om.

Om du laddar ner en ny tjänstkontonyckel senare, starta om tjänsten för att tillämpa den.

Steg 2: Lägg till en SCEP-profil

SCEP-profilen definierar certifikatet som låter användare komma åt ditt Wi-Fi- eller Ethernet-nätverk eller VPN. Du tilldelar profilen till specifika användare genom att lägga till den i en organisationsenhet. Du kan konfigurera flera SCEP-profiler för att hantera åtkomst efter organisationsenhet och enhetstyp. Vi rekommenderar att du anger en separat SCEP-profil för varje organisationsenhet som du vill att profilen ska gälla för.

Innan du börjar: Om du behöver konfigurera en avdelning eller ett team för den här inställningen går du till Lägg till en organisationsenhet .

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Nätverk .

    Kräver administratörsbehörighet för inställningar för delade enheter .

  2. (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
  3. För Säker SCEP klickar du på Skapa säker SCEP-profil . Om du redan har skapat en SCEP-profil klickar du på Säker SCEP. och sedan Lägg till säker SCEP-profil .

  4. Ange konfigurationsuppgifterna för profilen. Om din CA utfärdar en viss mall, matcha profiluppgifterna med mallen.

    • Plattformar som den här profilen gäller för — De enhetsplattformar som använder SCEP-profilen. För ChromeOS-enheter, se till att markera Chromebook (användare) , Chromebook (enhet) eller båda, beroende på vilken typ av certifikat du vill distribuera.
    • SCEP-profilnamn — Ett beskrivande namn för profilen. Namnet visas i listan över profiler och i profilväljaren i Wi-Fi-nätverkskonfigurationen.
    • Ämnesnamnsformat — Välj hur du vill identifiera certifikatägaren. Om du väljer Fullständigt unikt namn är certifikatets vanliga namn användarens användarnamn.

    • Alternativt ämnesnamn — Ange ett SAN. Standardvärdet är Inget . För ChromeOS-enheter kan du definiera alternativa ämnesnamn baserat på användar- och enhetsattribut. Om du vill använda en anpassad certifikatsigneringsbegäran (CSR) konfigurerar du certifikatmallen på certifikatutfärdaren så att den förväntar sig och genererar ett certifikat med de ämnesvärden som definieras i själva begäran. Du måste som minimum ange ett värde för ämnets CommonName.

      Du kan använda följande platshållare. Alla värden är valfria.

      • ${DEVICE_DIRECTORY_ID}—Enhetens katalog-ID
      • ${USER_EMAIL}—Inloggad användares e-postadress
      • ${USER_EMAIL_DOMAIN}—Domännamn för inloggad användare
      • ${DEVICE_SERIAL_NUMBER}—Enhetens serienummer
      • ${DEVICE_ASSET_ID}—Tillgångs-ID tilldelat enheten av administratören
      • ${DEVICE_ANNOTATED_LOCATION}—Plats tilldelad enhet av administratören
      • ${USER_EMAIL_NAME}—Första delen (delen före @) av den inloggade användarens e-postadress

      Om ett platshållarvärde inte är tillgängligt ersätts det med en tom sträng.

    • Signeringsalgoritm — Hashfunktionen som används för att kryptera auktoriseringsnyckeln. Endast SHA256 med RSA är tillgänglig.

    • Nyckelanvändning — Alternativ för hur nyckeln ska användas, nyckelkryptering och signering. Du kan välja mer än ett alternativ.

    • Nyckelstorlek (bitar) — Storleken på RSA-nyckeln. För ChromeOS-enheter, välj 2048.

    • För Säkerhet väljer du den typ av attestering som krävs för anslutna enheter. Den här inställningen gäller inte mobila enheter.

    • I avsnittet SCEP-serverattribut konfigurerar du värden och inställningar för SCEP-servern.

      • SCEP-serverns URL — URL:en för SCEP-servern.
      • Certifikatets giltighetsperiod (år) — Hur länge enhetscertifikatet är giltigt. Ange som ett nummer.
      • Förnya inom dagar — Hur lång tid innan enhetscertifikatet löper ut för att försöka förnya certifikatet.
      • Utökad nyckelanvändning — Hur nyckeln kan användas. Du kan välja mer än ett värde.
      • Utmaningstyp – Om du vill kräva att Google anger en specifik utmaningsfras när ett certifikat begärs från SCEP-servern väljer du Statisk och anger frasen. Om du väljer Ingen kräver servern inte denna kontroll.
      • Mallnamn — Namnet på mallen som används av din NDES-server.
      • Certifikatutfärdare — Namnet på ett certifikat som du har laddat upp för att använda som certifikatutfärdare.
      • Nätverkstyp som denna profil gäller för — Den typ av nätverk som använder SCEP-profilen.
  5. Klicka på Spara. Eller så kan du klicka på Åsidosätt för en organisationsenhet.

    För att senare återställa det ärvda värdet klickar du på Ärv .

När du har lagt till en profil listas den med sitt namn och de plattformar den är aktiverad på. I kolumnen Plattform är profilen aktiverad för plattformar med blå ikoner och inaktiverad för plattformar med grå ikoner. För att redigera en profil, peka på raden och klicka på Redigera. .

SCEP-profilen distribueras automatiskt till användare i organisationsenheten.

Steg 3: Konfigurera Google Cloud Certificate Connectors nyckellager

Om ditt certifikat är utfärdat av en betrodd certifikatutfärdare eller om din SCEP-server-URL börjar med HTTP, hoppa över det här steget.

Om ditt certifikat inte är utfärdat av en betrodd certifikatutfärdare, till exempel ett självsignerat certifikat, måste du importera certifikatet till Google Cloud Certificate Connector-nyckellagret. Annars kan inte enhetscertifikatet etableras och enheten kan inte ansluta.

  1. Logga in på din CA.
  2. Om en Java JRE inte redan är installerad, installera en så att du kan använda keytool.exe.
  3. Öppna en kommandotolk.

  4. Exportera ditt CA-certifikat och konvertera det till en PEM-fil genom att köra följande kommandon:

    certutil-ca.cert C:\root.cer
    certutil-koda cacert.cer cacert.pem

  5. Importera CA-certifikatet till nyckellagret. Från underkatalogen till Google Cloud Certificate Connector-mappen som skapades under installationen, vanligtvis C:\Program Files\Google Cloud Certificate Connector, kör följande kommando och ersätt java-home-dir med sökvägen till JRE i Google Cloud Certificate Connector-mappen och cert-export-dir med sökvägen till certifikatet du exporterade i steg 4: java-home-dir \bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir \cacert.pem ‑storepass changeit

Steg 4: Konfigurera nätverk för att kräva SCEP-profilen (valfritt)

Beroende på nätverkstyp kan du ställa in det så att SCEP-profilen krävs.

Kräv SCEP-profil för Wi-Fi-nätverk

För att styra Wi-Fi-nätverksåtkomst för både mobila enheter och ChromeOS-enheter, konfigurera separata Wi-Fi-nätverk för varje. Konfigurera till exempel ett Wi-Fi-nätverk för mobila enheter och tilldela en SCEP-profil för mobila enheter till det. Konfigurera sedan ett annat Wi-Fi-nätverk för ChromeOS-enheter och tilldela en SCEP-profil för ChromeOS-enheter.

Innan du börjar: Om du behöver konfigurera en avdelning eller ett team för den här inställningen går du till Lägg till en organisationsenhet .

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Nätverk .

    Kräver administratörsbehörighet för inställningar för delade enheter .

  2. (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
  3. För Wi-Fi klickar du på Skapa Wi-Fi-nätverk . Om du redan har konfigurerat ett Wi-Fi-nätverk klickar du på Wi-Fi. och sedan Lägg till Wi-Fi .
  4. I avsnittet Plattformsåtkomst markerar du följande rutor efter behov: Android , iOS , Chromebooks (efter användare) , Chromebooks (efter enhet) eller Google Meet-hårdvara .
  5. I avsnittet Detaljer :
    1. Ange ett namn och SSID för Wi-Fi-nätverket.
    2. För säkerhetsinställningar väljer du WPA/WPA2 Enterprise (802.1X) eller Dynamisk WEP (802.1X) .
    3. För Extensible Authentication Protocol väljer du EAP-TLS eller EAP-TTLS .
    4. Om du valde EAP-TLS , välj SCEP-profil eller Certifikatmönster för Provisioneringstyp och välj sedan ett alternativ:
      • För SCEP-profil väljer du den SCEP-profil som du lade till i steg 2.
      • För Certifikatmönster anger du ett värde för Klientregistrerings-URL:er och ett eller flera värden för Utfärdarmönster eller Ämnesmönster .
    5. Ange värden eller välj alternativ för annan Wi-Fi-information som du behöver.
  6. Klicka på Spara .
  7. Dela information med dina användare om att ansluta till nätverket:
    • Deras enhet måste tillhandahålla certifikatet varje gång de försöker ansluta till Wi-Fi-nätverket.
    • För Android- och ChromeOS-enheter anges certifikatet som motsvarar användarens SCEP-profil och nätverket automatiskt, så de klickar bara på Anslut .
    • För iOS-enheter väljer användaren vilket certifikat som ska användas och klickar sedan på Anslut .

Kräv SCEP-profil för Ethernet-nätverk

Du kan styra Ethernet-nätverksåtkomst för ChromeOS-enheter. Du konfigurerar nätverket för enheterna och tilldelar sedan en SCEP-profil till det.

Innan du börjar: Om du behöver konfigurera en avdelning eller ett team för den här inställningen går du till Lägg till en organisationsenhet .

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Nätverk .

    Kräver administratörsbehörighet för inställningar för delade enheter .

  2. (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
  3. För Ethernet klickar du på Skapa Ethernet-nätverk . Om du redan har konfigurerat ett Ethernet-nätverk klickar du på Ethernet. och sedan Lägg till Ethernet .
  4. I avsnittet Plattformsåtkomst markerar du följande rutor efter behov: Chromebooks (efter användare) , Chromebooks (efter enhet) eller Google Meet-hårdvara .
  5. I avsnittet Detaljer :
    1. Ange ett namn för Ethernet-nätverket.
    2. För Autentisering väljer du Företag (802.1X) .
    3. För Extensible Authentication Protocol väljer du EAP-TLS eller EAP-TTLS .
    4. Om du valde EAP-TLS , välj SCEP-profil eller Certifikatmönster för Provisioneringstyp och välj sedan ett alternativ:
      • För SCEP-profil väljer du den SCEP-profil som du lade till i steg 2.
      • För Certifikatmönster anger du ett värde för Klientregistrerings-URL:er och ett eller flera värden för Utfärdarmönster eller Ämnesmönster .
    5. Ange värden eller välj alternativ för andra Ethernet-detaljer som du behöver.
  6. Klicka på Spara .
  7. Dela information med dina användare om att ansluta till nätverket:
    • Deras enhet måste tillhandahålla certifikatet varje gång de försöker ansluta till Ethernet-nätverket.
    • Certifikatet som motsvarar deras SCEP-profil och nätverket anges automatiskt på deras ChromeOS-enhet så de klickar bara på Anslut .

Kräv SCEP-profil för VPN-nätverk

Du kan styra VPN-åtkomst för ChromeOS-enheter. Du konfigurerar nätverket för enheterna och tilldelar sedan en SCEP-profil till det.

Innan du börjar: Om du behöver konfigurera en avdelning eller ett team för den här inställningen går du till Lägg till en organisationsenhet .

  1. I Googles administratörskonsol, gå till Meny och sedan Enheter och sedan Nätverk .

    Kräver administratörsbehörighet för inställningar för delade enheter .

  2. (Valfritt) För att tillämpa inställningen på en avdelning eller ett team, välj en organisationsenhet till sidan.
  3. För VPN klickar du på Skapa VPN-nätverk . Om du redan har konfigurerat ett VPN klickar du på VPN. och sedan Lägg till VPN .
  4. I avsnittet Plattformsåtkomst markerar du följande rutor efter behov: Chromebooks (efter användare) eller Chromebooks (efter enhet) .
  5. I avsnittet Detaljer :
    1. Ange ett namn och en fjärrvärd för VPN-tjänsten.
    2. För VPN-typ väljer du önskad typ av VPN och anger information om den typen.
    3. Om du valde OpenVPN och markerade rutan Använd klientcertifikat , välj SCEP-profil eller Certifikatmönster för Provisioneringstyp och välj sedan ett alternativ:
      • För SCEP-profil väljer du den SCEP-profil som du lade till i steg 2.
      • För Certifikatmönster anger du ett värde för Klientregistrerings-URL:er och ett eller flera värden för Utfärdarmönster eller Ämnesmönster .
    4. Ange värden eller välj alternativ för annan VPN-information som du behöver.
  6. Klicka på Spara .
  7. Dela information med dina användare om att ansluta till nätverket:
    • Deras enhet måste tillhandahålla certifikatet varje gång de försöker ansluta till VPN-nätverket.
    • Certifikatet som motsvarar deras SCEP-profil och nätverket anges automatiskt på deras ChromeOS-enhet så de klickar bara på Anslut .

Så här fungerar certifikatautentisering via Google Cloud Certificate Connector

Google Cloud Certificate Connector är en Windows-tjänst som upprättar en exklusiv anslutning mellan din SCEP-server och Google. Certifikatkopplingen konfigureras och skyddas av en konfigurationsfil och en nyckelfil, båda dedikerade till din organisation.

Du tilldelar enhetscertifikat till enheter och användare med SCEP-profiler. För att tilldela en profil väljer du en organisationsenhet och lägger till profilen i den organisationsenheten. Profilen inkluderar certifikatutfärdaren som utfärdar enhetscertifikat. När en användare registrerar sin mobila enhet eller ChromeOS-enhet för hantering hämtar Googles slutpunktshantering användarens SCEP-profil och installerar certifikatet på enheten. För ChromeOS-enheter installeras ett enhetscertifikat innan användaren loggar in, medan ett användarcertifikat installeras efter att användaren har loggat in. Om enheten redan är registrerad installeras certifikatet som en del av en vanlig synkroniseringscykel.

När en användare försöker ansluta till ditt nätverk uppmanas de att ange certifikatet. På Android-enheter väljs certifikatet automatiskt och användaren klickar på Anslut . På iOS-enheter måste användaren välja certifikatet manuellt och sedan ansluta. Enheten ansluter till din organisations nätverk med hjälp av en nyckel som förhandlats fram av Google via certifikatanslutningen. Google lagrar tillfälligt nyckeln under säkerhetsförhandlingen, men rensar nyckeln när den har installerats på enheten (eller efter 24 timmar).


Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.