Configura certificados para dispositivos móviles y ChromeOS administrados

Dispositivos móviles: Ediciones compatibles con esta función: Frontline Standard y Frontline Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Cloud Identity Premium. Comparar tu edición

Dispositivos ChromeOS: Se requiere Chrome Enterprise para los certificados basados en dispositivos.

Puedes controlar el acceso de los usuarios a las redes Wi-Fi y Ethernet, las redes privadas virtuales (VPN) y las apps y los sitios web internos de tu organización en dispositivos móviles y ChromeOS distribuyendo certificados de tu autoridad certificadora (CA) local. Google Cloud Certificate Connector es un servicio de Windows que distribuye de manera segura los certificados y las claves de autenticación desde el servidor del Protocolo de inscripción de certificados simple (SCEP) a los dispositivos móviles y ChromeOS de los usuarios. Para obtener más información, consulta Cómo funciona la autenticación de certificados a través de Google Cloud Certificate Connector en esta página.

En el caso de los dispositivos ChromeOS, puedes configurar certificados basados en el usuario o en el dispositivo. Se agrega un certificado de usuario a un dispositivo para un usuario específico, y ese usuario específico puede acceder a él. Se asigna un certificado de dispositivo según el dispositivo, y cualquier usuario que acceda al dispositivo puede acceder a él. Para obtener más información, consulta Cómo administrar certificados de cliente en dispositivos Chrome.

Si deseas controlar el acceso a la red Wi-Fi para dispositivos móviles y ChromeOS, deberás configurar perfiles SCEP y redes Wi-Fi independientes, ya que los dispositivos móviles y los dispositivos ChromeOS admiten diferentes tipos de claves RSA.

Notas sobre el almacenamiento de claves:

  • En el caso de los dispositivos móviles, las claves privadas de los certificados se generan en los servidores de Google. Las claves se borran de los servidores de Google después de que se instala el certificado en el dispositivo o después de 24 horas, lo que ocurra primero.
  • En el caso de los dispositivos ChromeOS, las claves privadas de los certificados se generan en el mismo dispositivo. La clave pública correspondiente se almacena de forma temporal en los servidores de Google y se borra una vez que se instala el certificado.

Requisitos del sistema

  • Servicio de certificados de Active Directory de Microsoft para un servidor SCEP y el Servicio de inscripción de dispositivos de red (NDES) de Microsoft para distribuir certificados.
  • Dispositivos móviles: Dispositivos iOS y Android con administración avanzada de dispositivos móviles. Obtén más información sobre los requisitos del dispositivo.
  • Dispositivos ChromeOS:
    • Certificados de dispositivos: ChromeOS 89 o versiones posteriores y administrados con Chrome Enterprise
    • Certificados de usuario: ChromeOS 86 o versiones posteriores
      Nota: En el caso de las versiones anteriores a la 87, los usuarios deben reiniciar el dispositivo o esperar un par de horas para que se implemente el certificado de usuario.

Antes de comenzar

  • Si necesitas el nombre del asunto del certificado para usar los nombres de usuario de Active Directory, debes sincronizar Active Directory y el directorio de Google con Google Cloud Directory Sync (GCDS). Si es necesario, configura GCDS.
  • Si aún no subiste un certificado de CA a la Consola del administrador de Google, agrega uno.
  • Revisa los problemas conocidos para evitar comportamientos inesperados.

Problemas conocidos

  • Los certificados no se pueden revocar una vez que se instalan en un dispositivo.
  • Los perfiles de SCEP no admiten desafíos dinámicos.
  • En algunos casos, la herencia del perfil de SCEP entre unidades organizativas puede fallar. Por ejemplo, si estableces un perfil de SCEP para una unidad organizativa y cambias el perfil de SCEP de una unidad organizativa secundaria, la unidad organizativa secundaria no podrá heredar ninguno de los perfiles de SCEP de la unidad organizativa principal.
  • En el caso de los dispositivos móviles, los perfiles de SCEP no se pueden aplicar a las configuraciones de VPN o Ethernet, solo a las de Wi-Fi.
  • En el caso de los dispositivos ChromeOS, los perfiles de SCEP no se pueden aplicar directamente a las configuraciones de VPN o Ethernet. Para aplicar indirectamente un perfil de SCEP a las configuraciones de VPN o Ethernet, usa patrones de emisor o sujeto para seleccionar automáticamente qué certificado usar.
  • En el caso de los usuarios de dispositivos ChromeOS, los certificados solo se pueden implementar para los usuarios que accedieron a un dispositivo administrado. El usuario y el dispositivo deben pertenecer al mismo dominio.

Paso 1: Descarga Google Cloud Certificate Connector

Realiza los siguientes pasos en el servidor SCEP o en una computadora con Windows que tenga una cuenta que pueda acceder como servicio al servidor SCEP. Ten a mano las credenciales de la cuenta.

Si tu organización tiene varios servidores, puedes usar el mismo agente del conector de certificados en todos ellos. Descarga y, luego, instala los archivos de instalación, de configuración y de claves en una computadora, tal como se describe en los pasos siguientes. Luego, copia esos tres archivos en otra computadora y sigue las instrucciones de configuración que se indiquen allí.

Nota: Debe descargar Google Cloud Certificate Connector y sus componentes solo cuando configure los certificados en su organización por primera vez. Los certificados y los perfiles de SCEP pueden compartir un único conector de certificados.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luegoRedes

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  2. Haz clic en Secure SCEP. y luegoDescargar conector.
  3. En la sección Instala el conector de certificado de Google Cloud, haz clic en Descargar.
  4. En la página Google Cloud Certificate Connector, haz clic en Descargar para descargar el archivo connector_installer.exe.
  5. Cierra la página Gracias por descargar Google Cloud Certificate Connector.
  6. En la Consola del administrador, en la sección Descargar el archivo de configuración del conector, haz clic en Descargar para descargar el archivo config.json.
  7. En la sección Obtener una clave de cuenta de servicio, haz clic en Generar clave para descargar el archivo key.json.
  8. Ejecuta connector_installer.exe como administrador.
    Nota: El instalador registra el servicio del conector con credenciales predeterminadas (LocalService). Más adelante, puedes cambiar el servicio para que se ejecute como una cuenta de servicio diferente. Para ello, ve al directorio de instalación del conector y ejecuta configtool.exe para abrir ConfigTool.
  9. Mueve los archivos de configuración y de claves (config.json y key.json) a la carpeta Google Cloud Certificate Connector que se creó durante la instalación, que suele estar en C:\Archivos de programa\Google Cloud Certificate Connector.
  10. Abre el servicio de Google Cloud Certificate Connector:
    1. Abre los servicios de Windows.
    2. Selecciona Google Cloud Certificate Connector en la lista de servicios.
    3. Haz clic en Iniciar para iniciar el servicio. Asegúrate de que el estado cambie a Running. Si la computadora se reinicia, el servicio se reinicia automáticamente.

Si más adelante descargas una nueva clave de cuenta de servicio, reinicia el servicio para aplicarla.

Paso 2: Agrega un perfil de SCEP

El perfil de SCEP define el certificado con el que los usuarios podrán acceder a tu red Wi-Fi o Ethernet, o a la VPN. Agrega el perfil a una unidad organizativa para asignarlo a usuarios específicos. Puedes configurar varios perfiles de SCEP para administrar el acceso por unidad organizativa y tipo de dispositivo. Te recomendamos que configures un perfil de SCEP independiente para cada unidad organizativa a la que desees que se aplique el perfil.

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luegoRedes

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  2. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  3. En Secure SCEP, haz clic en Create Secure SCEP Profile. Si ya creaste un perfil de SCEP, haz clic en Secure SCEP. y luegoAdd Secure SCEP Profile.

  4. Ingresa los detalles de configuración del perfil. Si tu CA emite una plantilla en particular, haz que los detalles del perfil coincidan con la plantilla.

    • Plataformas a las que se aplica este perfil: Son las plataformas de dispositivos que usan el perfil de SCEP. En el caso de los dispositivos ChromeOS, asegúrate de marcar Chromebook (usuario), Chromebook (dispositivo) o ambos, según el tipo de certificado que desees implementar.
    • Nombre del perfil de SCEP: Es el nombre descriptivo del perfil. El nombre aparece en la lista de perfiles y en el selector de perfiles de la configuración de la red Wi-Fi.
    • Formato del nombre del asunto: Elige cómo quieres identificar al propietario del certificado. Si seleccionas Nombre completamente distinguido, el nombre de pila del certificado será el nombre de usuario.

    • Nombre alternativo del sujeto: Proporciona un SAN. El valor predeterminado es None. En el caso de los dispositivos ChromeOS, puedes definir nombres alternativos del asunto según los atributos del usuario y del dispositivo. Para usar una solicitud de firma de certificado (CSR) personalizada, configura la plantilla de certificado en la CA para esperar y generar un certificado con los valores de asunto definidos en la solicitud. Como mínimo, debes proporcionar un valor para el CommonName del asunto.
      Puedes usar los siguientes marcadores de posición. Todos los valores son opcionales.

      • ${DEVICE_DIRECTORY_ID}: Es el ID del directorio del dispositivo.
      • ${USER_EMAIL}: Dirección de correo electrónico del usuario que accedió
      • ${USER_EMAIL_DOMAIN}: Es el nombre de dominio del usuario que accedió.
      • ${DEVICE_SERIAL_NUMBER}: Es el número de serie del dispositivo.
      • ${DEVICE_ASSET_ID}: Es el ID del activo que el administrador asignó al dispositivo.
      • ${DEVICE_ANNOTATED_LOCATION}: Es la ubicación que el administrador asignó al dispositivo.
      • ${USER_EMAIL_NAME}: La primera parte (antes del símbolo @) de la dirección de correo electrónico del usuario que accedió

      Si no hay disponible un valor de marcador de posición, se reemplaza por una cadena vacía.

    • Algoritmo de firma: Es la función de hash que se usa para encriptar la clave de autorización. Solo está disponible SHA256 con RSA.

    • Uso de la clave: Son las opciones sobre el modo de usar la clave, el cifrado de clave y la firma. Puedes seleccionar más de uno.

    • Tamaño de la clave (bits): Es el tamaño de la clave RSA. En el caso de los dispositivos ChromeOS, selecciona 2048.

    • En Seguridad, selecciona el tipo de certificación que se requerirá para los dispositivos conectados. Este parámetro de configuración no se aplica a los dispositivos móviles.

    • En la sección Atributos del servidor de SCEP, configura los valores y las preferencias del servidor de SCEP.

      • URL del servidor SCEP: Es la URL del servidor SCEP.
      • Período de validez del certificado (años): Es el tiempo que dura la validez del certificado del dispositivo. Ingresa un número.
      • Cantidad de días para la renovación: Se refiere al tiempo que falta para que venza el certificado del dispositivo y se intente renovarlo.
      • Uso extendido de la clave: Cómo se puede usar la clave. Puedes elegir más de un valor.
      • Tipo de desafío: Para solicitarle a Google que proporcione una frase de desafío específica cuando solicite un certificado del servidor SCEP, selecciona Estático y, luego, ingresa la frase. Si seleccionas Ninguno, el servidor no solicitará esta verificación.
      • Nombre de la plantilla: Es el nombre de la plantilla que utiliza tu servidor NDES.
      • Autoridad certificadora: Es el nombre de un certificado que subiste para usar como autoridad certificadora.
      • Tipo de red a la que se aplica este perfil: Es el tipo de redes que usa el perfil de SCEP.
  5. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

    Para restablecer después el valor heredado, haz clic en Heredar.

Cada perfil que agregues aparecerá con su nombre y las plataformas en las que está habilitado. En la columna Plataforma, se muestra un ícono azul si el perfil está habilitado y uno gris si no lo está. Para editar un perfil, coloca el cursor sobre la fila correspondiente y haz clic en Editar .

El perfil de SCEP se distribuye automáticamente entre los usuarios de la unidad organizativa.

Paso 3: Configura el almacén de claves de Google Cloud Certificate Connector

Si tu certificado lo emitió una CA de confianza o la URL de tu servidor SCEP comienza con HTTP, omite este paso.

Si tu certificado no lo emitió una AC de confianza, como un certificado autofirmado, debes importarlo al almacén de claves de Google Cloud Certificate Connector. De lo contrario, no se podrá aprovisionar el certificado del dispositivo y este no se podrá conectar.

  1. Accede a tu CA.
  2. Si aún no está instalado un JRE de Java, instala uno para poder usar keytool.exe.
  3. Abre un símbolo del sistema.

  4. Ejecuta los siguientes comandos para exportar tu certificado de CA y convertirlo en un archivo PEM:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Importa el certificado de la CA al almacén de claves. Desde el subdirectorio de la carpeta Google Cloud Certificate Connector que se creó durante la instalación, que suele ser C:\Archivos de programa\Google Cloud Certificate Connector, ejecuta el siguiente comando y reemplaza java-home-dir por la ruta de acceso al JRE en la carpeta Google Cloud Certificate Connector y cert-export-dir por la ruta de acceso al certificado que exportaste en el paso 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Paso 4: Configura las redes para que requieran el perfil de SCEP (opcional)

Según el tipo de red, puedes configurarla para que requiera el perfil de SCEP.

Se requiere un perfil de SCEP para las redes Wi-Fi

Para controlar el acceso a la red Wi-Fi tanto en dispositivos móviles como en dispositivos ChromeOS, configura redes Wi-Fi independientes para cada uno. Por ejemplo, configura una red Wi-Fi para dispositivos móviles y asígnale un perfil de SCEP para dispositivos móviles. Luego, configura otra red Wi-Fi para los dispositivos ChromeOS y asígnale un perfil SCEP.

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luegoRedes

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  2. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  3. En Wi-Fi, haz clic en Crear red Wi-Fi. Si ya configuraste una red Wi-Fi, haz clic en Wi-Fi y luegoAgregar Wi-Fi.
  4. En la sección Acceso a la plataforma, marca las siguientes casillas según sea necesario: Android, iOS, Chromebooks (por usuario), Chromebooks (por dispositivo) o Hardware de Google Meet.
  5. En la sección Detalles, haz lo siguiente:
    1. Ingresa un nombre y un SSID para la red Wi-Fi.
    2. En Configuración de seguridad, selecciona WPA/WPA2 Enterprise (802.1X) o WEP dinámico (802.1X).
    3. En Extensible Authentication Protocol, selecciona EAP-TLS o EAP-TTLS.
    4. Si seleccionaste EAP-TLS, en Tipo de aprovisionamiento, selecciona Perfil de SCEP o Patrón de certificado y, luego, elige una opción:
      • En Perfil de SCEP, selecciona el perfil de SCEP que agregaste en el paso 2.
      • En Patrón de certificado, ingresa un valor para URLs de inscripción de clientes y uno o más valores para Patrón de la entidad emisora o Patrón de asunto.
    5. Ingresa valores o selecciona opciones para cualquier otro detalle de Wi-Fi que necesites.
  6. Haz clic en Guardar.
  7. Comparte información con tus usuarios sobre cómo conectarse a la red:
    • El dispositivo debe proporcionar el certificado cada vez que intente conectarse a la red Wi-Fi.
    • En el caso de los dispositivos Android y ChromeOS, el certificado correspondiente al perfil SCEP del usuario y la red se ingresan automáticamente, por lo que solo deben hacer clic en Conectar.
    • En el caso de los dispositivos iOS, el usuario elige el certificado que desea usar y, luego, hace clic en Conectar.

Se requiere un perfil de SCEP para las redes Ethernet

Puedes controlar el acceso a la red Ethernet para dispositivos ChromeOS. Configuras la red para los dispositivos y, luego, le asignas un perfil de SCEP.

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luegoRedes

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  2. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  3. En Ethernet, haz clic en Crear red de Ethernet. Si ya configuraste una red Ethernet, haz clic en Ethernet y luegoAgregar Ethernet.
  4. En la sección Acceso a la plataforma, marca las siguientes casillas según sea necesario: Chromebooks (por usuario), Chromebooks (por dispositivo) o Hardware de Google Meet.
  5. En la sección Detalles, haz lo siguiente:
    1. Ingresa un nombre para la red Ethernet.
    2. En Autenticación, selecciona Enterprise (802.1X).
    3. En Extensible Authentication Protocol, selecciona EAP-TLS o EAP-TTLS.
    4. Si seleccionaste EAP-TLS, en Tipo de aprovisionamiento, selecciona Perfil de SCEP o Patrón de certificado y, luego, elige una opción:
      • En Perfil de SCEP, selecciona el perfil de SCEP que agregaste en el paso 2.
      • En Patrón de certificado, ingresa un valor para URLs de inscripción de clientes y uno o más valores para Patrón de la entidad emisora o Patrón de asunto.
    5. Ingresa valores o selecciona opciones para cualquier otro detalle de Ethernet que necesites.
  6. Haz clic en Guardar.
  7. Comparte información con tus usuarios sobre cómo conectarse a la red:
    • Su dispositivo debe proporcionar el certificado cada vez que intente conectarse a la red Ethernet.
    • El certificado correspondiente a su perfil de SCEP y la red se ingresan automáticamente en su dispositivo ChromeOS, por lo que solo deben hacer clic en Conectar.

Se requiere un perfil de SCEP para las VPNs

Puedes controlar el acceso a la VPN para dispositivos ChromeOS. Configuras la red para los dispositivos y, luego, le asignas un perfil de SCEP.

Antes de comenzar: Si necesitas establecer un departamento o equipo para este parámetro de configuración, consulta Cómo agregar una unidad organizativa.

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luegoRedes

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  2. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
  3. En VPN, haz clic en Crear red de VPN. Si ya configuraste una VPN, haz clic en VPN y luegoAgregar VPN.
  4. En la sección Acceso a la plataforma, marca las siguientes casillas según sea necesario: Chromebooks (por usuario) o Chromebooks (por dispositivo).
  5. En la sección Detalles, haz lo siguiente:
    1. Ingresa un nombre y un host remoto para la VPN.
    2. En Tipo de VPN, selecciona el tipo de VPN que desees y, luego, ingresa los detalles correspondientes.
    3. Si seleccionaste OpenVPN y marcaste la casilla Usar certificado de cliente, en Tipo de aprovisionamiento, selecciona Perfil de SCEP o Patrón de certificado y, luego, elige una opción:
      • En Perfil de SCEP, selecciona el perfil de SCEP que agregaste en el paso 2.
      • En Patrón de certificado, ingresa un valor para URLs de inscripción de clientes y uno o más valores para Patrón de la entidad emisora o Patrón de asunto.
    4. Ingresa valores o selecciona opciones para cualquier otro detalle de la VPN que necesites.
  6. Haz clic en Guardar.
  7. Comparte información con tus usuarios sobre cómo conectarse a la red:
    • Su dispositivo debe proporcionar el certificado cada vez que intente conectarse a la VPN.
    • El certificado correspondiente a su perfil de SCEP y la red se ingresan automáticamente en su dispositivo ChromeOS, por lo que solo deben hacer clic en Conectar.

Cómo funciona la autenticación de certificados a través de Google Cloud Certificate Connector

Google Cloud Certificate Connector es un servicio de Windows que establece una conexión exclusiva entre tu servidor SCEP y Google. El conector de certificados está configurado y protegido por un archivo de configuración y uno de claves, ambos exclusivos de tu organización.

Puedes asignar certificados de dispositivo a dispositivos y usuarios con perfiles SCEP. Para asignar un perfil, elige una unidad organizativa y agrega el perfil a esa unidad organizativa. El perfil incluye la autoridad certificada que emite los certificados de dispositivo. Cuando un usuario inscribe su dispositivo móvil o ChromeOS para la administración, la administración de extremos de Google recupera el perfil SCEP del usuario y, luego, instala el certificado en el dispositivo. En el caso de los dispositivos ChromeOS, se instala un certificado de dispositivo antes de que el usuario acceda, mientras que se instala un certificado de usuario después de que el usuario accede. Si el dispositivo ya está inscrito, el certificado se instala como parte de un ciclo de sincronización normal.

Cuando un usuario intenta conectarse a tu red, se le solicita que proporcione el certificado. En los dispositivos Android, el certificado se selecciona automáticamente y el usuario hace clic en Conectar. En los dispositivos iOS, el usuario debe seleccionar el certificado de forma manual y, luego, conectarse. El dispositivo accede a la red de tu organización con una clave que Google negocia a través del conector de certificados. Google almacena temporalmente la clave durante la negociación de seguridad, pero la borra una vez que se instala en el dispositivo (o después de 24 horas).


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.