Zertifikate für verwaltete Mobilgeräte und ChromeOS-Geräte einrichten

Mobilgeräte:Unterstützte Versionen für diese Funktion: Frontline Standard und Frontline Plus; Enterprise Standard und Enterprise Plus; Education Standard, Education Plus und Endpoint Education Upgrade; Cloud Identity Premiumversion. Versionen vergleichen

ChromeOS-Geräte: Für gerätebasierte Zertifikate ist Chrome Enterprise erforderlich.

Sie können den Nutzerzugriff auf die WLAN- und Ethernet-Netzwerke, VPNs sowie internen Apps und Websites Ihrer Organisation auf Mobilgeräten und ChromeOS-Geräten steuern. Dazu verteilen Sie Zertifikate von Ihrer lokalen Zertifizierungsstelle. Google Cloud Certificate Connector ist ein Windows-Dienst, mit dem sich Zertifikate und Authentifizierungsschlüssel von Ihrem SCEP-Server (Simple Certificate Enrollment Protocol) sicher auf den Mobilgeräten und ChromeOS-Geräten der Nutzer aktivieren lassen. Weitere Informationen finden Sie auf dieser Seite unter Funktionsweise der Authentifizierung per Zertifikat über Google Cloud Certificate Connector.

Für ChromeOS-Geräte können Sie nutzer- oder gerätebasierte Zertifikate einrichten. Ein Nutzerzertifikat wird einem Gerät für einen bestimmten Nutzer hinzugefügt und ist für diesen Nutzer zugänglich. Ein Gerätezertifikat wird basierend auf dem Gerät zugewiesen und ist für jeden Nutzer zugänglich, der auf dem Gerät angemeldet ist. Weitere Informationen finden Sie im Hilfeartikel Clientzertifikate auf Chrome-Geräten verwalten.

Wenn Sie den WLAN-Zugriff sowohl auf Mobilgeräten als auch auf ChromeOS-Geräten steuern möchten, müssen Sie separate SCEP-Profile und WLANs einrichten, da Mobilgeräte und ChromeOS-Geräte unterschiedliche RSA-Schlüsseltypen unterstützen.

Hinweise zur Schlüsselspeicherung:

  • Bei Mobilgeräten werden private Schlüssel für die Zertifikate auf den Servern von Google generiert. Sie werden dort gelöscht, nachdem das Zertifikat auf dem Gerät installiert wurde oder spätestens nach 24 Stunden.
  • Bei ChromeOS-Geräten werden private Schlüssel für die Zertifikate auf dem ChromeOS-Gerät generiert. Der entsprechende öffentliche Schlüssel wird vorübergehend auf Google-Servern gespeichert und nach der Installation des Zertifikats gelöscht.

Systemanforderungen

  • Microsoft Active Directory Certificate Service für einen SCEP-Server und Microsoft Network Device Enrollment Service (NDES) zur Verteilung der Zertifikate verwendet.
  • Mobilgeräte:iOS- und Android-Geräte im Rahmen der erweiterten Mobilgeräteverwaltung. Weitere Informationen zu den Geräteanforderungen
  • ChromeOS-Geräte:
    • Gerätezertifikate: ChromeOS-Version 89 oder höher und mit Chrome Enterprise verwaltet
    • Nutzerzertifikate: ChromeOS-Version 86 oder höher.
      Hinweis:Bei Versionen vor 87 müssen Nutzer das Gerät neu starten oder einige Stunden warten, bis das Nutzerzertifikat bereitgestellt wird.

Hinweis

  • Wenn Sie für den Antragstellernamen des Zertifikats den Active Directory-Nutzernamen verwenden möchten, müssen Sie Ihr Active Directory-Verzeichnis und das Google-Verzeichnis mit Google Cloud Directory Sync (GCDS) synchronisieren. Gegebenenfalls müssen Sie hierfür GCDS einrichten.
  • Falls Sie noch kein CA-Zertifikat in die Google Admin-Konsole hochgeladen haben, fügen Sie eines hinzu.
  • Sehen Sie sich die bekannten Probleme an, um unerwartetes Verhalten zu vermeiden.

Bekannte Probleme

  • Zertifikate können nicht widerrufen werden, nachdem sie auf einem Gerät installiert wurden.
  • SCEP-Profile unterstützen keine dynamischen Identitätsbestätigungen.
  • Die Übernahme von SCEP-Profilen zwischen Organisationseinheiten kann in einigen Fällen fehlschlagen. Wenn Sie beispielsweise ein SCEP-Profil für eine Organisationseinheit festlegen und das SCEP-Profil einer untergeordneten Organisationseinheit ändern, kann keines der SCEP-Profile der übergeordneten Organisationseinheit mehr von der untergeordneten Organisationseinheit übernommen werden.
  • Bei Mobilgeräten können SCEP-Profile nicht auf VPN- oder Ethernet-Konfigurationen angewendet werden, sondern nur auf WLAN.
  • Bei ChromeOS-Geräten können SCEP-Profile nicht direkt auf VPN- oder Ethernet-Konfigurationen angewendet werden. Wenn Sie ein SCEP-Profil indirekt auf VPN- oder Ethernet-Konfigurationen anwenden möchten, verwenden Sie Aussteller- oder Betreffmuster, um automatisch auszuwählen, welches Zertifikat verwendet werden soll.
  • Für Nutzer von ChromeOS-Geräten können Zertifikate nur für Nutzer bereitgestellt werden, die auf einem verwalteten Gerät angemeldet sind. Der Nutzer und das Gerät müssen derselben Domain angehören.

Schritt 1: Google Cloud Certificate Connector herunterladen

Führen Sie auf dem SCEP-Server oder auf einem Windows-Computer die folgenden Schritte aus. Verwenden Sie dazu ein Konto, mit dem die Anmeldung als Dienstkonto auf dem SCEP-Server möglich ist. Halten Sie die Anmeldedaten für das Konto bereit.

Wenn Sie in Ihrer Organisation mehrere Server nutzen, können Sie auf allen denselben Zertifikat-Connector verwenden. Laden Sie die Installationsdatei, die Konfigurationsdatei und die Schlüsseldatei auf einen Computer herunter und führen Sie die Installation nach der folgenden Anleitung aus. Kopieren Sie die drei Dateien dann auf den nächsten Computer und folgen Sie der Einrichtungsanleitung.

Hinweis:Sie müssen Google Cloud Certificate Connector und die zugehörigen Komponenten nur einmal herunterladen, wenn Sie die Zertifikate für Ihre Organisation einrichten. Ein Zertifikat-Connector kann für alle Zertifikate und SCEP-Profile genutzt werden.

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Geräte und dannNetzwerke

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Klicken Sie auf Sichere SCEP-Profile und dannConnector herunterladen.
  3. Klicken Sie im Abschnitt Connector für Google Cloud-Zertifikate auf Herunterladen.
  4. Klicken Sie auf der Seite Google Cloud Certificate Connector auf Herunterladen, um die Datei „connector_installer.exe“ herunterzuladen.
  5. Schließen Sie die Seite Vielen Dank für den Download des Google Cloud Certificate Connector!.
  6. Klicken Sie in der Admin-Konsole im Abschnitt Konfigurationsdatei für Connector herunterladen auf Herunterladen, um die Datei „config.json“ herunterzuladen.
  7. Klicken Sie im Abschnitt Schlüssel für Dienstkonto abrufen auf Schlüssel generieren, um die Datei „key.json“ herunterzuladen.
  8. Führen Sie connector_installer.exe als Administrator aus.
    Hinweis: Das Installationsprogramm registriert den Connector-Dienst mit Standardanmeldedaten (LocalService). Sie können den Dienst später so ändern, dass er als anderes Dienstkonto ausgeführt wird. Rufen Sie dazu das Installationsverzeichnis für den Connector auf und führen Sie configtool.exe aus, um das ConfigTool zu öffnen.
  9. Verschieben Sie die Konfigurations- und die Schlüsseldatei (config.json und key.json) in den während der Installation erstellten Ordner. Er befindet sich normalerweise unter C:\Programme\Google Cloud Certificate Connector.
  10. Öffnen Sie den Dienst „Google Cloud Certificate Connector“:
    1. Öffnen Sie die Windows-Dienste.
    2. Wählen Sie Google Cloud Certificate Connector aus der Liste aus.
    3. Klicken Sie auf Starten, um den Dienst zu starten. Der Status ändert sich in Aktiv. Der Dienst wird automatisch neu gestartet, wenn der Computer neu gestartet wird.

Wenn Sie später einen neuen Dienstkontoschlüssel herunterladen, müssen Sie den Dienst neu starten, um den Schlüssel zu aktivieren.

Schritt 2: SCEP-Profil hinzufügen

Mit dem SCEP-Profil wird das Zertifikat definiert, über das Nutzer auf Ihr WLAN- oder Ethernet-Netzwerk oder VPN zugreifen können. Sie weisen das Profil bestimmten Nutzern zu, indem Sie es einer Organisationseinheit hinzufügen. Sie können mehrere SCEP-Profile einrichten, um den Zugriff nach Organisationseinheit und Gerätetyp zu verwalten. Wir empfehlen Ihnen, für jede Organisationseinheit, für die Sie das Profil anwenden möchten, ein separates SCEP-Profil festzulegen.

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Geräte und dannNetzwerke

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  3. Klicken Sie unter Sicheres SCEP auf Sicheres SCEP-Profil erstellen. Wenn Sie bereits ein SCEP-Profil erstellt haben, klicken Sie auf Sicheres SCEP und dannSicheres SCEP-Profil hinzufügen.

  4. Geben Sie die Details zur Konfiguration des Profils ein. Wenn Ihre Zertifizierungsstelle eine bestimmte Vorlage ausgibt, sollten die Informationen damit übereinstimmen.

    • Plattformen, für die dieses Profil gilt: Die Geräteplattformen, für die das SCEP-Profil verwendet wird. Klicken Sie für ChromeOS-Geräte je nach bereitzustellendem Zertifikatstyp das Kästchen Chromebook (Nutzer), Chromebook (Gerät) oder beide an.
    • SCEP-Profilname: Ein aussagekräftiger Name für das Profil. Er wird bei der Konfiguration des WLAN-Netzwerks in der Profilliste und in der Profilauswahl angezeigt.
    • Format des Antragstellernamens: Das Format für den Namen des Zertifikatsinhabers. Wenn Sie Vollständig definierter Name auswählen, entspricht der allgemeine Name des Zertifikats dem Nutzernamen.

    • Alternativer Antragstellername: Hier können Sie einen alternativen Namen angeben. Standardmäßig ist keine Option ausgewählt. Für ChromeOS-Geräte können Sie auf Grundlage von Nutzer- und Geräteattributen alternative Antragstellernamen festlegen. Wenn Sie eine benutzerdefinierte Zertifikatsignierungsanfrage verwenden möchten, konfigurieren Sie die Zertifikatsvorlage in der Zertifizierungsstelle so, dass ein Zertifikat mit den in der Anfrage definierten Werten erwartet und erstellt wird. Dafür müssen Sie mindestens einen Wert für den CommonName angeben.
      Sie können die folgenden Platzhalter verwenden. Alle Werte sind optional.

      • ${DEVICE_DIRECTORY_ID}: Verzeichnis-ID des Geräts
      • ${USER_EMAIL}: E-Mail-Adresse des angemeldeten Nutzers
      • ${USER_EMAIL_DOMAIN}: Domain des angemeldeten Nutzers
      • ${DEVICE_SERIAL_NUMBER}: Seriennummer des Geräts
      • ${DEVICE_ASSET_ID}: Asset-ID, die dem Gerät vom Administrator zugewiesen wurde
      • ${DEVICE_ANNOTATED_LOCATION}: Standort, der dem Gerät vom Administrator zugewiesen wurde
      • ${USER_EMAIL_NAME}: erster Teil der E-Mail-Adresse des angemeldeten Nutzers (vor dem @)

      Wenn kein Platzhalterwert verfügbar ist, wird ein leerer String eingefügt.

    • Signaturalgorithmus: Die Hash-Funktion zur Verschlüsselung des Autorisierungsschlüssels. "SHA256 mit RSA" ist hier die einzige Option.

    • Schlüsselverwendung: Optionen zur Verwendung des Schlüssels, der Schlüsselverschlüsselung und ‑signatur. Sie können auch mehrere auswählen.

    • Schlüsselgröße (Bits): Die Größe des RSA-Schlüssels. Wählen Sie für ChromeOS-Geräte 2048 aus.

    • Wählen Sie unter Sicherheit den Attestierungstyp aus, der für verbundene Geräte erforderlich ist. Diese Einstellung gilt nicht für Mobilgeräte.

    • Konfigurieren Sie im Abschnitt SCEP-Serverattribute Werte und Einstellungen für den SCEP-Server.

      • SCEP-Server-URL: Die URL des SCEP-Servers.
      • Gültigkeit des Zertifikats (in Jahren): Die Gültigkeitsdauer des Gerätezertifikats. Diese muss als Zahl eingegeben werden.
      • Verlängerung innerhalb von (Angabe in Tagen): Gibt an, wie lange vor Ablauf das Zertifikat verlängert werden kann.
      • Erweiterte Schlüsselverwendung: Weitere Optionen zur Verwendung des Schlüssels. Sie können mehrere Werte auswählen.
      • Art der Identitätsbestätigung: Wenn Sie möchten, dass Google bei der Anforderung eines Zertifikats vom SCEP-Server eine bestimmte Wortgruppe zur Identitätsbestätigung angibt, wählen Sie Statisch aus und geben Sie die Wortgruppe ein. Wählen Sie Keine aus, falls Sie die Bestätigung nicht möchten.
      • Name der Vorlage: Der Name der vom NDES-Server verwendeten Vorlage.
      • Zertifizierungsstelle: Der Name des Zertifikats, das Sie zur Verwendung als Zertifizierungsstelle hochgeladen haben.
      • Netzwerktyp, für den dieses Profil gilt: Der Typ der Netzwerke, für die das SCEP-Profil verwendet wird.
  5. Klicken Sie auf Speichern. Alternativ können Sie für eine Organisationseinheit auf Überschreiben klicken.

    Wenn Sie den übernommenen Wert später wiederherstellen möchten, klicken Sie auf Übernehmen.

Nachdem Sie ein Profil hinzugefügt haben, wird es zusammen mit seinem Namen und den Plattformen, auf denen es aktiviert wurde, in der Liste angezeigt. In der Spalte Plattform sehen Sie ein blaues Symbol hinter den Plattformen, für die das Profil aktiviert ist. Bei den anderen Plattformen ist das Symbol grau. Wenn Sie ein Profil bearbeiten möchten, bewegen Sie den Mauszeiger auf die entsprechende Zeile und klicken Sie auf „Bearbeiten“ .

Das SCEP-Profil wird automatisch für die Nutzer in der Organisationseinheit aktiviert.

Schritt 3: Schlüsselspeicher für Google Cloud Certificate Connector konfigurieren

Wenn Ihr Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde oder Ihre SCEP-Server-URL mit HTTP beginnt, überspringen Sie diesen Schritt.

Wenn Ihr Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, z. B. ein selbst signiertes Zertifikat, müssen Sie das Zertifikat in den Keystore von Google Cloud Certificate Connector importieren. Andernfalls kann das Gerätezertifikat nicht bereitgestellt werden und das Gerät kann keine Verbindung herstellen.

  1. Melden Sie sich bei Ihrer Zertifizierungsstelle an.
  2. Wenn noch keine Java JRE installiert ist, installieren Sie eine, damit Sie keytool.exe verwenden können.
  3. Öffnen Sie die Eingabeaufforderung.

  4. Exportieren Sie Ihr CA-Zertifikat und konvertieren Sie es in eine PEM-Datei, indem Sie die folgenden Befehle ausführen:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Importieren Sie das CA-Zertifikat in den Schlüsselspeicher. Führen Sie im Unterverzeichnis des während der Installation erstellten Google Cloud Certificate Connector-Ordners (normalerweise C:\Programme\Google Cloud Certificate Connector) den folgenden Befehl aus und ersetzen Sie java-home-dir durch den Pfad zur JRE im Google Cloud Certificate Connector-Ordner und cert-export-dir durch den Pfad zum Zertifikat, das Sie in Schritt 4 exportiert haben: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Schritt 4: Netzwerke so konfigurieren, dass das SCEP-Profil erforderlich ist (optional)

Je nach Art des Netzwerks können Sie es so einrichten, dass das SCEP-Profil erforderlich ist.

SCEP-Profil für WLANs erforderlich machen

Wenn Sie den WLAN-Zugriff sowohl auf Mobilgeräten als auch auf ChromeOS-Geräten steuern möchten, richten Sie für beide ein separates WLAN ein. Sie können beispielsweise ein WLAN für Mobilgeräte einrichten und ihm ein SCEP-Profil für Mobilgeräte zuweisen. Richten Sie dann ein weiteres WLAN für ChromeOS-Geräte ein und weisen Sie ein SCEP-Profil für ChromeOS-Geräte zu.

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Geräte und dannNetzwerke

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  3. Klicken Sie unter WLAN auf WLAN erstellen. Wenn Sie bereits eines eingerichtet haben, klicken Sie auf WLAN und dannWLAN hinzufügen.
  4. Wählen Sie im Bereich Plattformzugriff nach Bedarf die folgenden Kästchen aus: Android, iOS, Chromebooks (nach Nutzer), Chromebooks (nach Gerät) oder Google Meet-Hardware.
  5. Im Abschnitt Details:
    1. Geben Sie einen Namen und eine SSID für das WLAN ein.
    2. Wählen Sie unter Sicherheitseinstellungen die Option WPA/WPA2 Enterprise (802.1X) oder Dynamic WEP (802.1X) aus.
    3. Wählen Sie unter Erweitertes Authentifizierungsprotokoll die Option EAP-TLS oder EAP-TTLS aus.
    4. Wenn Sie EAP-TLS ausgewählt haben, wählen Sie für Bereitstellungstyp die Option SCEP-Profil oder Zertifikatmuster aus und wählen Sie dann eine Option aus:
      • Wählen Sie unter SCEP-Profil das SCEP-Profil aus, das Sie in Schritt 2 hinzugefügt haben.
      • Geben Sie für Zertifikatmuster einen Wert für URLs für die Clientregistrierung und einen oder mehrere Werte für Ausstellermuster oder Betreffmuster ein.
    5. Geben Sie Werte für alle anderen erforderlichen WLAN-Details ein oder wählen Sie Optionen aus.
  6. Klicken Sie auf Speichern.
  7. Geben Sie Ihren Nutzern Informationen zum Herstellen einer Verbindung zum Netzwerk:
    • Das Gerät muss das Zertifikat jedes Mal bereitstellen, wenn versucht wird, eine Verbindung zum WLAN herzustellen.
    • Bei Android- und ChromeOS-Geräten werden das Zertifikat für das jeweilige SCEP-Profil und das Netzwerk automatisch eingegeben und der Nutzer klickt einfach auf Verbinden.
    • Bei iOS-Geräten wählt der Nutzer das zu verwendende Zertifikat aus und klickt dann auf Verbinden.

SCEP-Profil für Ethernet-Netzwerke erforderlich machen

Sie können den Zugriff auf Ethernet-Netzwerke für ChromeOS-Geräte steuern. Sie richten das Netzwerk für die Geräte ein und weisen ihm dann ein SCEP-Profil zu.

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Geräte und dannNetzwerke

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  3. Ethernet: Klicken Sie auf Ethernetnetzwerk erstellen. Wenn Sie bereits ein Ethernet-Netzwerk eingerichtet haben, klicken Sie auf Ethernet und dannEthernet hinzufügen.
  4. Klicken Sie im Bereich Plattformzugriff nach Bedarf die folgenden Kästchen an: Chromebooks (nach Nutzer), Chromebooks (nach Gerät) oder Google Meet-Hardware.
  5. Im Abschnitt Details:
    1. Geben Sie einen Namen für das Ethernet-Netzwerk ein.
    2. Wählen Sie unter Authentifizierung die Option Enterprise (802.1X) aus.
    3. Wählen Sie unter Erweitertes Authentifizierungsprotokoll die Option EAP-TLS oder EAP-TTLS aus.
    4. Wenn Sie EAP-TLS ausgewählt haben, wählen Sie für Bereitstellungstyp die Option SCEP-Profil oder Zertifikatmuster aus und wählen Sie dann eine Option aus:
      • Wählen Sie unter SCEP-Profil das SCEP-Profil aus, das Sie in Schritt 2 hinzugefügt haben.
      • Geben Sie für Zertifikatmuster einen Wert für URLs für die Clientregistrierung und einen oder mehrere Werte für Ausstellermuster oder Betreffmuster ein.
    5. Geben Sie Werte ein oder wählen Sie Optionen für alle anderen erforderlichen Ethernet-Details aus.
  6. Klicken Sie auf Speichern.
  7. Geben Sie Ihren Nutzern Informationen zum Herstellen einer Verbindung zum Netzwerk:
    • Das Gerät muss das Zertifikat jedes Mal bereitstellen, wenn der Nutzer versucht, eine Verbindung zum Ethernet-Netzwerk herzustellen.
    • Das Zertifikat für das jeweilige SCEP-Profil und das Netzwerk werden auf dem ChromeOS-Gerät automatisch eingegeben. Der Nutzer muss nur noch auf Verbinden klicken.

SCEP-Profil für VPNs erforderlich

Sie können den VPN-Zugriff für ChromeOS-Geräte steuern. Sie richten das Netzwerk für die Geräte ein und weisen ihm dann ein SCEP-Profil zu.

Hinweis:Wenn Sie für diese Einstellung eine Abteilung oder ein Team einrichten möchten, lesen Sie den Hilfeartikel Organisationseinheit hinzufügen.

  1. Gehen Sie in der Admin-Konsole zu „Menü“  und dann Geräte und dannNetzwerke

    Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

  2. Optional: Wenn Sie die Einstellung auf eine Abteilung oder ein Team anwenden möchten, wählen Sie an der Seite eine Organisationseinheit aus.
  3. Klicken Sie für VPN auf VPN-Netzwerk erstellen. Wenn Sie bereits ein VPN eingerichtet haben, klicken Sie auf VPN und dannVPN hinzufügen.
  4. Klicken Sie im Bereich Plattformzugriff nach Bedarf auf die Kästchen Chromebooks (nach Nutzer) oder Chromebooks (nach Gerät).
  5. Im Abschnitt Details:
    1. Geben Sie einen Namen und einen Remote-Host für das VPN ein.
    2. Wählen Sie für VPN-Typ den gewünschten VPN-Typ aus und geben Sie die entsprechenden Details ein.
    3. Wenn Sie OpenVPN ausgewählt und das Kästchen Clientzertifikat verwenden angekreuzt haben, wählen Sie für Bereitstellungstyp die Option SCEP-Profil oder Zertifikatmuster aus und wählen Sie dann eine Option aus:
      • Wählen Sie unter SCEP-Profil das SCEP-Profil aus, das Sie in Schritt 2 hinzugefügt haben.
      • Geben Sie für Zertifikatmuster einen Wert für URLs für die Clientregistrierung und einen oder mehrere Werte für Ausstellermuster oder Betreffmuster ein.
    4. Geben Sie Werte ein oder wählen Sie Optionen für alle anderen VPN-Details aus, die Sie benötigen.
  6. Klicken Sie auf Speichern.
  7. Geben Sie Ihren Nutzern Informationen zum Herstellen einer Verbindung zum Netzwerk:
    • Das Gerät muss das Zertifikat jedes Mal bereitstellen, wenn der Nutzer versucht, eine Verbindung zum VPN herzustellen.
    • Das Zertifikat für das jeweilige SCEP-Profil und das Netzwerk werden auf dem ChromeOS-Gerät automatisch eingegeben. Der Nutzer muss nur noch auf Verbinden klicken.

Funktionsweise der Authentifizierung per Zertifikat über Google Cloud Certificate Connector

Google Cloud Certificate Connector ist ein Windows-Dienst, der eine exklusive Verbindung zwischen Ihrem SCEP-Server und Google herstellt. Der Zertifikat-Connector wird durch eine Konfigurationsdatei und eine Schlüsseldatei konfiguriert und gesichert. Beide Dateien sind nur für Ihre Organisation vorgesehen.

Sie weisen Geräten und Nutzern mit SCEP-Profilen Zertifikate zu. Sie fügen das Profil einfach einer Organisationseinheit hinzu, um es den Nutzern darin zuzuordnen. Im Profil ist die Zertifizierungsstelle für Gerätezertifikate enthalten. Wenn ein Nutzer sein Mobilgerät oder ChromeOS-Gerät für die Verwaltung registriert, ruft die Google-Endpunktverwaltung das SCEP-Profil des Nutzers ab und installiert das Zertifikat auf dem Gerät. Bei ChromeOS-Geräten wird ein Gerätezertifikat installiert, bevor sich der Nutzer anmeldet, während ein Nutzerzertifikat nach der Anmeldung des Nutzers installiert wird. Wenn das Gerät bereits registriert ist, erfolgt dies bei der nächsten Synchronisierung.

Wenn ein Nutzer versucht, eine Verbindung zu Ihrem Netzwerk herzustellen, wird er aufgefordert, das Zertifikat anzugeben. Auf Android-Geräten wird das Zertifikat automatisch ausgewählt und der Nutzer klickt auf Verbinden. Auf iOS-Geräten muss der Nutzer das Zertifikat auswählen und kann dann die Verbindung herstellen. Der Zugriff des Geräts auf das Netzwerk Ihrer Organisation erfolgt mit einem Schlüssel, der von Google über den Zertifikat-Connector ausgehandelt wird. Der Schlüssel wird während der Aushandlung temporär gespeichert und nach der Installation oder spätestens nach 24 Stunden gelöscht.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.