تنظیم گواهی‌ها برای دستگاه‌های تلفن همراه و ChromeOS مدیریت‌شده

دستگاه‌های تلفن همراه: نسخه‌های پشتیبانی‌شده برای این ویژگی: Frontline Standard و Frontline Plus؛ Enterprise Standard و Enterprise Plus؛ Education Standard، Education Plus و Endpoint Education Upgrade؛ Cloud Identity Premium. نسخه خود را مقایسه کنید

دستگاه‌های ChromeOS: برای گواهی‌های مبتنی بر دستگاه، Chrome Enterprise مورد نیاز است.

شما می‌توانید با توزیع گواهینامه‌ها از مرکز صدور گواهینامه (CA) داخلی خود، دسترسی کاربران به شبکه‌های Wi-Fi و اترنت، شبکه‌های خصوصی مجازی (VPN) و برنامه‌ها و وب‌سایت‌های داخلی سازمان خود را در دستگاه‌های تلفن همراه و ChromeOS کنترل کنید. رابط گواهینامه Google Cloud یک سرویس ویندوز است که گواهینامه‌ها و کلیدهای احراز هویت را به طور ایمن از سرور پروتکل ثبت گواهینامه ساده (SCEP) شما به دستگاه‌های تلفن همراه و ChromeOS کاربران توزیع می‌کند. برای جزئیات بیشتر، به نحوه عملکرد احراز هویت گواهینامه از طریق رابط گواهینامه Google Cloud در این صفحه مراجعه کنید.

برای دستگاه‌های ChromeOS، می‌توانید گواهی‌های مبتنی بر کاربر یا مبتنی بر دستگاه را تنظیم کنید. یک گواهی کاربر برای یک کاربر خاص به دستگاه اضافه می‌شود و توسط آن کاربر خاص قابل دسترسی است. یک گواهی دستگاه بر اساس دستگاه اختصاص داده می‌شود و توسط هر کاربری که به دستگاه وارد شده باشد قابل دسترسی است. برای جزئیات بیشتر، به مدیریت گواهی‌های کلاینت در دستگاه‌های Chrome بروید.

اگر می‌خواهید دسترسی به شبکه وای‌فای را هم برای دستگاه‌های موبایل و هم برای دستگاه‌های ChromeOS کنترل کنید، باید پروفایل‌های SCEP و شبکه‌های وای‌فای جداگانه‌ای تنظیم کنید، زیرا دستگاه‌های موبایل و دستگاه‌های ChromeOS از انواع مختلف کلید RSA پشتیبانی می‌کنند.

نکاتی در مورد ذخیره سازی کلید:

  • برای دستگاه‌های تلفن همراه، کلیدهای خصوصی برای گواهی‌ها در سرورهای گوگل تولید می‌شوند. این کلیدها پس از نصب گواهی روی دستگاه یا ۲۴ ساعت، هر کدام که زودتر اتفاق بیفتد، از سرورهای گوگل پاک می‌شوند.
  • برای دستگاه‌های ChromeOS، کلیدهای خصوصی برای گواهی‌ها در دستگاه ChromeOS تولید می‌شوند. کلید عمومی مربوطه به طور موقت در سرورهای گوگل ذخیره می‌شود و پس از نصب گواهی پاک می‌شود.

الزامات سیستم

  • سرویس گواهی اکتیو دایرکتوری مایکروسافت برای سرور SCEP و سرویس ثبت نام دستگاه‌های شبکه مایکروسافت (NDES) برای توزیع گواهی‌ها.
  • دستگاه‌های تلفن همراه: دستگاه‌های iOS و اندروید تحت مدیریت پیشرفته تلفن همراه . درباره الزامات دستگاه بیشتر بدانید.
  • دستگاه‌های ChromeOS:
    • گواهی‌های دستگاه: ChromeOS نسخه ۸۹ یا بالاتر و مدیریت‌شده با Chrome Enterprise
    • گواهینامه‌های کاربر: ChromeOS نسخه ۸۶ یا بالاتر.
      توجه: برای نسخه‌های قبل از ۸۷، کاربران باید دستگاه را مجدداً راه‌اندازی کنند یا چند ساعت صبر کنند تا گواهی کاربر مستقر شود.

قبل از اینکه شروع کنی

  • اگر برای استفاده از نام‌های کاربری Active Directory به نام Subject گواهی نیاز دارید، باید Active Directory و Google Directory خود را با Google Cloud Directory Sync (GCDS) همگام‌سازی کنید. در صورت لزوم، GCDS را راه‌اندازی کنید .
  • اگر قبلاً گواهی CA را در کنسول مدیریت گوگل آپلود نکرده‌اید، یک گواهی اضافه کنید .
  • برای جلوگیری از رفتارهای غیرمنتظره، مشکلات شناخته‌شده را بررسی کنید.

مشکلات شناخته شده

  • گواهی‌ها پس از نصب روی دستگاه، قابل ابطال نیستند.
  • پروفایل‌های SCEP از چالش‌های پویا پشتیبانی نمی‌کنند.
  • وراثت پروفایل SCEP بین واحدهای سازمانی در برخی موارد می‌تواند با مشکل مواجه شود. برای مثال، اگر یک پروفایل SCEP برای یک واحد سازمانی تنظیم کنید و پروفایل SCEP یک واحد سازمانی فرزند را تغییر دهید، هیچ یک از پروفایل‌های SCEP واحد سازمانی والد نمی‌توانند دوباره توسط واحد سازمانی فرزند به ارث برده شوند.
  • برای دستگاه‌های تلفن همراه، پروفایل‌های SCEP را نمی‌توان روی پیکربندی‌های VPN یا اترنت اعمال کرد، فقط روی Wi-Fi قابل اعمال هستند.
  • برای دستگاه‌های ChromeOS، پروفایل‌های SCEP را نمی‌توان مستقیماً به پیکربندی‌های VPN یا اترنت اعمال کرد. برای اعمال غیرمستقیم یک پروفایل SCEP به پیکربندی‌های VPN یا اترنت، از الگوهای صادرکننده یا موضوع برای انتخاب خودکار گواهی مورد استفاده استفاده کنید.
  • برای کاربران دستگاه‌های ChromeOS، گواهینامه‌ها فقط برای کاربرانی که به یک دستگاه مدیریت‌شده وارد شده‌اند، قابل استفاده هستند. کاربر و دستگاه باید متعلق به یک دامنه باشند.

مرحله ۱: رابط گواهی گوگل کلود را دانلود کنید

مراحل زیر را روی سرور SCEP یا یک کامپیوتر ویندوزی با حسابی که می‌تواند به عنوان یک سرویس در سرور SCEP وارد شود، انجام دهید. اعتبارنامه‌های حساب را در دسترس داشته باشید.

اگر سازمان شما چندین سرور دارد، می‌توانید از یک عامل اتصال گواهی یکسان در همه آنها استفاده کنید. فایل نصب، فایل پیکربندی و فایل کلید را همانطور که در مراحل زیر توضیح داده شده است، روی یک کامپیوتر دانلود و نصب کنید. سپس، آن سه فایل را در کامپیوتر دیگر کپی کنید و دستورالعمل‌های راه‌اندازی را در آن کامپیوتر دنبال کنید.

توجه: شما رابط گواهی گوگل کلود و اجزای آن را فقط یک بار، زمانی که برای اولین بار گواهی‌ها را برای سازمان خود تنظیم می‌کنید، دانلود می‌کنید. گواهی‌ها و پروفایل‌های SCEP شما می‌توانند یک رابط گواهی واحد را به اشتراک بگذارند.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس شبکه‌ها .

    نیاز به داشتن امتیاز مدیر تنظیمات دستگاه مشترک دارد.

  2. روی SCEP امن کلیک کنید و سپس دانلود کانکتور .
  3. در بخش نصب رابط گواهی Google Cloud ، روی دانلود کلیک کنید.
  4. در صفحه اتصال‌دهنده گواهی گوگل کلود ، روی دانلود کلیک کنید تا فایل connector_installer.exe دانلود شود.
  5. صفحه « تشکر از دانلود رابط گواهی ابری گوگل!» را ببندید.
  6. در کنسول مدیریت، در بخش دانلود فایل پیکربندی کانکتور ، روی دانلود کلیک کنید تا فایل config.json دانلود شود.
  7. در بخش «دریافت کلید حساب سرویس» ، روی «ایجاد کلید» کلیک کنید تا فایل key.json دانلود شود.
  8. connector_installer.exe را به عنوان مدیر اجرا کنید.
    نکته : نصب‌کننده، سرویس کانکتور را با اعتبارنامه‌های پیش‌فرض (LocalService) ثبت می‌کند. بعداً می‌توانید سرویس را طوری تغییر دهید که به عنوان یک حساب سرویس متفاوت اجرا شود. برای انجام این کار، به پوشه نصب کانکتور بروید و configtool.exe را اجرا کنید تا ConfigTool باز شود.
  9. فایل‌های پیکربندی و کلید (config.json و key.json) را به پوشه‌ی Google Cloud Certificate Connector که هنگام نصب ایجاد شده است، منتقل کنید. این پوشه معمولاً در مسیر C:\Program Files\Google Cloud Certificate Connector قرار دارد.
  10. سرویس اتصال گواهی ابری گوگل (Google Cloud Certificate Connector) را باز کنید:
    1. سرویس‌های ویندوز را باز کنید.
    2. در فهرست سرویس‌ها ، Google Cloud Certificate Connector را انتخاب کنید.
    3. برای شروع سرویس، روی «شروع» کلیک کنید. مطمئن شوید که وضعیت به «در حال اجرا» تغییر کرده است. در صورت راه‌اندازی مجدد رایانه، سرویس به‌طور خودکار مجدداً راه‌اندازی می‌شود.

اگر بعداً یک کلید حساب سرویس جدید دانلود کردید، سرویس را مجدداً راه‌اندازی کنید تا آن را اعمال کنید.

مرحله ۲: اضافه کردن پروفایل SCEP

پروفایل SCEP، گواهی‌نامه‌ای را تعریف می‌کند که به کاربران اجازه می‌دهد به شبکه Wi-Fi یا Ethernet یا VPN شما دسترسی داشته باشند. شما می‌توانید با اضافه کردن پروفایل به یک واحد سازمانی، آن را به کاربران خاص اختصاص دهید. می‌توانید چندین پروفایل SCEP برای مدیریت دسترسی بر اساس واحد سازمانی و نوع دستگاه تنظیم کنید. توصیه می‌کنیم برای هر واحد سازمانی که می‌خواهید این پروفایل به آن اعمال شود، یک پروفایل SCEP جداگانه تنظیم کنید.

قبل از شروع: اگر نیاز به ایجاد یک دپارتمان یا تیم برای این تنظیمات دارید، به بخش افزودن واحد سازمانی بروید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس شبکه‌ها .

    نیاز به داشتن امتیاز مدیر تنظیمات دستگاه مشترک دارد.

  2. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
  3. برای Secure SCEP ، روی Create Secure SCEP Profile کلیک کنید. اگر قبلاً یک پروفایل SCEP ایجاد کرده‌اید، روی Secure SCEP کلیک کنید. و سپس نمایه SCEP امن را اضافه کنید .

  4. جزئیات پیکربندی پروفایل را وارد کنید. اگر CA شما الگوی خاصی را صادر می‌کند، جزئیات پروفایل را با الگو مطابقت دهید.

    • پلتفرم‌هایی که این پروفایل روی آنها اعمال می‌شود — پلتفرم‌های دستگاهی که از پروفایل SCEP استفاده می‌کنند. برای دستگاه‌های ChromeOS، بسته به نوع گواهی که می‌خواهید مستقر کنید، حتماً Chromebook (کاربر) ، Chromebook (دستگاه) یا هر دو را انتخاب کنید.
    • نام پروفایل SCEP — یک نام توصیفی برای پروفایل. این نام در لیست پروفایل‌ها و در انتخابگر پروفایل در پیکربندی شبکه Wi-Fi نمایش داده می‌شود.
    • قالب نام موضوع — نحوه شناسایی مالک گواهی را انتخاب کنید. اگر نام کاملاً متمایز را انتخاب کنید، نام مشترک گواهی، نام کاربری کاربر است.

    • نام جایگزین موضوع — یک SAN ارائه دهید. پیش‌فرض None است. برای دستگاه‌های ChromeOS، می‌توانید نام‌های جایگزین موضوع را بر اساس ویژگی‌های کاربر و دستگاه تعریف کنید. برای استفاده از یک درخواست امضای گواهی سفارشی (CSR)، الگوی گواهی را در CA پیکربندی کنید تا یک گواهی با مقادیر موضوع تعریف شده در خود درخواست را انتظار داشته و تولید کند. حداقل، باید مقداری برای CommonName موضوع ارائه دهید.
      می‌توانید از متغیرهای زیر استفاده کنید. همه مقادیر اختیاری هستند.

      • ${DEVICE_DIRECTORY_ID}—شناسه دایرکتوری دستگاه
      • ${USER_EMAIL}—آدرس ایمیل کاربر وارد شده
      • ${USER_EMAIL_DOMAIN}—نام دامنه کاربر وارد شده
      • ${DEVICE_SERIAL_NUMBER}—شماره سریال دستگاه
      • ${DEVICE_ASSET_ID}—شناسه دارایی که توسط مدیر به دستگاه اختصاص داده شده است
      • ${DEVICE_ANNOTATED_LOCATION}—مکان اختصاص داده شده به دستگاه توسط مدیر
      • ‎${USER_EMAIL_NAME}—بخش اول (بخش قبل از @) آدرس ایمیل کاربر وارد شده

      اگر مقدار placeholder در دسترس نباشد، با یک رشته خالی جایگزین می‌شود.

    • الگوریتم امضا - تابع هش مورد استفاده برای رمزگذاری کلید مجوز. فقط SHA256 با RSA در دسترس است.

    • استفاده از کلید — گزینه‌هایی برای نحوه استفاده از کلید، رمزگذاری کلید و امضا. می‌توانید بیش از یکی را انتخاب کنید.

    • اندازه کلید (بیت) — اندازه کلید RSA. برای دستگاه‌های ChromeOS، عدد ۲۰۴۸ را انتخاب کنید.

    • برای امنیت ، نوع گواهی مورد نیاز برای دستگاه‌های متصل را انتخاب کنید. این تنظیم برای دستگاه‌های تلفن همراه اعمال نمی‌شود.

    • در بخش ویژگی‌های سرور SCEP ، مقادیر و تنظیمات برگزیده را برای سرور SCEP پیکربندی کنید.

      • URL سرور SCEP — URL سرور SCEP.
      • مدت اعتبار گواهی (سال) — مدت اعتبار گواهی دستگاه. به صورت عدد وارد کنید.
      • تمدید ظرف چند روز — چه مدت قبل از انقضای گواهی دستگاه می‌توان برای تمدید گواهی اقدام کرد.
      • کاربرد گسترده کلید — نحوه استفاده از کلید. می‌توانید بیش از یک مقدار انتخاب کنید.
      • نوع چالش — برای اینکه گوگل هنگام درخواست گواهی از سرور SCEP، عبارت چالش مشخصی را ارائه دهد، گزینه Static را انتخاب کرده و عبارت را وارد کنید. اگر None را انتخاب کنید، سرور نیازی به این بررسی ندارد.
      • نام الگو — نام الگویی که توسط سرور NDES شما استفاده می‌شود.
      • مرجع صدور گواهی — نام گواهی‌ای که برای استفاده به عنوان مرجع صدور گواهی آپلود کرده‌اید.
      • نوع شبکه‌ای که این پروفایل برای آن اعمال می‌شود — نوع شبکه‌هایی که از پروفایل SCEP استفاده می‌کنند.
  5. روی ذخیره کلیک کنید. یا می‌توانید برای یک واحد سازمانی روی لغو کلیک کنید.

    برای بازیابی مقدار ارث‌بری شده در آینده، روی «به ارث بردن» کلیک کنید.

بعد از اینکه یک پروفایل اضافه کردید، نام آن و پلتفرم‌هایی که روی آنها فعال است، فهرست می‌شوند. در ستون پلتفرم ، پروفایل برای پلتفرم‌هایی با آیکون آبی فعال و برای پلتفرم‌هایی با آیکون خاکستری غیرفعال است. برای ویرایش یک پروفایل، به ردیف مورد نظر اشاره کرده و روی ویرایش کلیک کنید. .

پروفایل SCEP به طور خودکار بین کاربران واحد سازمانی توزیع می‌شود.

مرحله 3: پیکربندی حافظه اصلی رابط گواهی گوگل کلود

اگر گواهی شما توسط یک CA معتبر صادر شده است یا آدرس اینترنتی سرور SCEP شما با HTTP شروع می‌شود، از این مرحله صرف نظر کنید.

اگر گواهی شما توسط یک CA معتبر، مانند یک گواهی خودامضا، صادر نشده باشد، باید گواهی را به فروشگاه کلید Google Cloud Certificate Connector وارد کنید. در غیر این صورت، گواهی دستگاه قابل ارائه نیست و دستگاه نمی‌تواند متصل شود.

  1. وارد حساب CA خود شوید.
  2. اگر Java JRE از قبل نصب نشده است، یکی نصب کنید تا بتوانید از keytool.exe استفاده کنید.
  3. یک خط فرمان (command prompt) باز کنید.

  4. گواهی CA خود را صادر کنید و با اجرای دستورات زیر آن را به یک فایل PEM تبدیل کنید:

    certutil -ca.cert C:\root.cer
    certutil - رمزگذاری cacert.cer cacert.pem

  5. گواهی CA را به keystore وارد کنید. از زیرشاخه پوشه Google Cloud Certificate Connector که هنگام نصب ایجاد شده است، که معمولاً C:\Program Files\Google Cloud Certificate Connector است، دستور زیر را اجرا کنید و java-home-dir را با مسیر JRE در پوشه Google Cloud Certificate Connector و cert-export-dir را با مسیر گواهی که در مرحله ۴ صادر کرده‌اید، جایگزین کنید: java-home-dir \bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir \cacert.pem ‑storepass changeit

مرحله ۴: پیکربندی شبکه‌ها برای نیاز به پروفایل SCEP (اختیاری)

بسته به نوع شبکه، می‌توانید آن را طوری تنظیم کنید که به پروفایل SCEP نیاز داشته باشد.

برای شبکه‌های Wi-Fi به پروفایل SCEP نیاز است

برای کنترل دسترسی به شبکه وای‌فای برای دستگاه‌های موبایل و ChromeOS، برای هر کدام شبکه‌های وای‌فای جداگانه‌ای راه‌اندازی کنید. برای مثال، یک شبکه وای‌فای برای دستگاه‌های موبایل راه‌اندازی کنید و یک پروفایل SCEP برای دستگاه‌های موبایل به آن اختصاص دهید. سپس، یک شبکه وای‌فای دیگر برای دستگاه‌های ChromeOS راه‌اندازی کنید و یک پروفایل SCEP برای دستگاه‌های ChromeOS اختصاص دهید.

قبل از شروع: اگر نیاز به ایجاد یک دپارتمان یا تیم برای این تنظیمات دارید، به بخش افزودن واحد سازمانی بروید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس شبکه‌ها .

    نیاز به داشتن امتیاز مدیر تنظیمات دستگاه مشترک دارد.

  2. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
  3. برای Wi-Fi ، روی ایجاد شبکه Wi-Fi کلیک کنید. اگر قبلاً یک شبکه Wi-Fi راه‌اندازی کرده‌اید، روی Wi‑Fi کلیک کنید. و سپس وای فای اضافه کنید .
  4. در بخش دسترسی به پلتفرم ، در صورت نیاز کادرهای زیر را علامت بزنید: اندروید ، iOS ، کروم‌بوک‌ها (بر اساس کاربر) ، کروم‌بوک‌ها (بر اساس دستگاه) یا سخت‌افزار گوگل میت .
  5. در بخش جزئیات :
    1. یک نام و SSID برای شبکه Wi-Fi وارد کنید.
    2. برای تنظیمات امنیتی ، WPA/WPA2 Enterprise (802.1X) یا Dynamic WEP (802.1X) را انتخاب کنید.
    3. برای پروتکل احراز هویت توسعه‌پذیر ، EAP-TLS یا EAP-TTLS را انتخاب کنید.
    4. اگر EAP-TLS را انتخاب کرده‌اید، برای Provisioning Type ، SCEP profile یا Certificate pattern را انتخاب کنید و سپس یکی از گزینه‌ها را انتخاب کنید:
      • برای پروفایل SCEP ، پروفایل SCEP که در مرحله 2 اضافه کردید را انتخاب کنید.
      • برای الگوی گواهی (Certificate pattern )، یک مقدار برای آدرس‌های اینترنتی ثبت‌نام مشتری (Client registration URLs) و یک یا چند مقدار برای الگوی صادرکننده (Former pattern) یا الگوی موضوع (Subject pattern) وارد کنید.
    5. مقادیر را وارد کنید یا گزینه‌های مربوط به سایر جزئیات Wi-Fi مورد نیاز خود را انتخاب کنید.
  6. روی ذخیره کلیک کنید.
  7. اطلاعات مربوط به اتصال به شبکه را با کاربران خود به اشتراک بگذارید:
    • دستگاه آنها باید هر بار که سعی در اتصال به شبکه Wi-Fi دارند، گواهی را ارائه دهد.
    • برای دستگاه‌های اندروید و ChromeOS، گواهی مربوط به پروفایل SCEP کاربر و شبکه به طور خودکار وارد می‌شود، بنابراین آنها فقط روی Connect کلیک می‌کنند.
    • برای دستگاه‌های iOS، کاربر گواهی مورد نظر خود را انتخاب کرده و سپس روی «اتصال» کلیک می‌کند.

الزام به پروفایل SCEP برای شبکه‌های اترنت

شما می‌توانید دسترسی به شبکه اترنت را برای دستگاه‌های ChromeOS کنترل کنید. شما شبکه را برای دستگاه‌ها راه‌اندازی می‌کنید و سپس یک پروفایل SCEP به آن اختصاص می‌دهید.

قبل از شروع: اگر نیاز به ایجاد یک دپارتمان یا تیم برای این تنظیمات دارید، به بخش افزودن واحد سازمانی بروید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس شبکه‌ها .

    نیاز به داشتن امتیاز مدیر تنظیمات دستگاه مشترک دارد.

  2. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
  3. برای اترنت ، روی ایجاد شبکه اترنت کلیک کنید. اگر از قبل یک شبکه اترنت راه‌اندازی کرده‌اید، روی اترنت کلیک کنید. و سپس اترنت را اضافه کنید .
  4. در بخش دسترسی به پلتفرم ، در صورت نیاز کادرهای زیر را علامت بزنید: کروم‌بوک‌ها (بر اساس کاربر) ، کروم‌بوک‌ها (بر اساس دستگاه) یا سخت‌افزار گوگل میت .
  5. در بخش جزئیات :
    1. یک نام برای شبکه اترنت وارد کنید.
    2. برای احراز هویت ، Enterprise (802.1X) را انتخاب کنید.
    3. برای پروتکل احراز هویت توسعه‌پذیر ، EAP-TLS یا EAP-TTLS را انتخاب کنید.
    4. اگر EAP-TLS را انتخاب کرده‌اید، برای Provisioning Type ، SCEP profile یا Certificate pattern را انتخاب کنید و سپس یکی از گزینه‌ها را انتخاب کنید:
      • برای پروفایل SCEP ، پروفایل SCEP که در مرحله 2 اضافه کردید را انتخاب کنید.
      • برای الگوی گواهی (Certificate pattern )، یک مقدار برای آدرس‌های اینترنتی ثبت‌نام مشتری (Client registration URLs) و یک یا چند مقدار برای الگوی صادرکننده (Former pattern) یا الگوی موضوع (Subject pattern) وارد کنید.
    5. مقادیر را وارد کنید یا گزینه‌های مربوط به سایر جزئیات اترنت مورد نیاز خود را انتخاب کنید.
  6. روی ذخیره کلیک کنید.
  7. اطلاعات مربوط به اتصال به شبکه را با کاربران خود به اشتراک بگذارید:
    • دستگاه آنها باید هر بار که سعی در اتصال به شبکه اترنت دارد، گواهی را ارائه دهد.
    • گواهی مربوط به پروفایل SCEP و شبکه آنها به طور خودکار در دستگاه ChromeOS آنها وارد می‌شود، بنابراین فقط کافیست روی Connect کلیک کنند.

برای VPN ها به پروفایل SCEP نیاز است

شما می‌توانید دسترسی VPN را برای دستگاه‌های ChromeOS کنترل کنید. شما شبکه را برای دستگاه‌ها راه‌اندازی می‌کنید و سپس یک پروفایل SCEP به آن اختصاص می‌دهید.

قبل از شروع: اگر نیاز به ایجاد یک دپارتمان یا تیم برای این تنظیمات دارید، به بخش افزودن واحد سازمانی بروید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس دستگاه‌ها و سپس شبکه‌ها .

    نیاز به داشتن امتیاز مدیر تنظیمات دستگاه مشترک دارد.

  2. (اختیاری) برای اعمال تنظیمات به یک بخش یا تیم، در کنار آن، یک واحد سازمانی را انتخاب کنید.
  3. برای VPN ، روی ایجاد شبکه VPN کلیک کنید. اگر قبلاً VPN راه‌اندازی کرده‌اید، روی VPN کلیک کنید. و سپس وی پی ان اضافه کنید .
  4. در بخش دسترسی به پلتفرم ، در صورت نیاز، کادرهای زیر را علامت بزنید: کروم‌بوک‌ها (بر اساس کاربر) یا کروم‌بوک‌ها (بر اساس دستگاه) .
  5. در بخش جزئیات :
    1. یک نام و یک میزبان از راه دور برای VPN وارد کنید.
    2. برای نوع VPN ، نوع VPN مورد نظر خود را انتخاب کرده و جزئیات مربوط به آن نوع را وارد کنید.
    3. اگر OpenVPN را انتخاب کرده و کادر Use client certificate را علامت زده‌اید، برای Provisioning Type ، SCEP profile یا Certificate pattern را انتخاب کنید و سپس یکی از گزینه‌ها را انتخاب کنید:
      • برای پروفایل SCEP ، پروفایل SCEP که در مرحله 2 اضافه کردید را انتخاب کنید.
      • برای الگوی گواهی (Certificate pattern )، یک مقدار برای آدرس‌های اینترنتی ثبت‌نام مشتری (Client registration URLs) و یک یا چند مقدار برای الگوی صادرکننده (Former pattern) یا الگوی موضوع (Subject pattern) وارد کنید.
    4. مقادیر را وارد کنید یا گزینه‌های مربوط به سایر جزئیات VPN مورد نیاز خود را انتخاب کنید.
  6. روی ذخیره کلیک کنید.
  7. اطلاعات مربوط به اتصال به شبکه را با کاربران خود به اشتراک بگذارید:
    • دستگاه آنها باید هر بار که سعی در اتصال به VPN دارند، گواهی را ارائه دهد.
    • گواهی مربوط به پروفایل SCEP و شبکه آنها به طور خودکار در دستگاه ChromeOS آنها وارد می‌شود، بنابراین فقط کافیست روی Connect کلیک کنند.

نحوه‌ی احراز هویت گواهی از طریق رابط گواهی گوگل کلود

رابط گواهی ابری گوگل (Google Cloud Certificate Connector) یک سرویس ویندوزی است که یک اتصال انحصاری بین سرور SCEP شما و گوگل برقرار می‌کند. رابط گواهی توسط یک فایل پیکربندی و یک فایل کلید پیکربندی و ایمن می‌شود که هر دو فقط به سازمان شما اختصاص داده شده‌اند.

شما گواهی‌های دستگاه را به دستگاه‌ها و کاربرانی که دارای پروفایل‌های SCEP هستند، اختصاص می‌دهید. برای اختصاص یک پروفایل، یک واحد سازمانی را انتخاب کرده و پروفایل را به آن واحد سازمانی اضافه می‌کنید. این پروفایل شامل مرجع صدور گواهی است که گواهی‌های دستگاه را صادر می‌کند. وقتی کاربری دستگاه موبایل یا ChromeOS خود را برای مدیریت ثبت می‌کند، مدیریت نقطه پایانی گوگل، نمایه SCEP کاربر را دریافت کرده و گواهی را روی دستگاه نصب می‌کند. برای دستگاه‌های ChromeOS، گواهی دستگاه قبل از ورود کاربر نصب می‌شود، در حالی که گواهی کاربر پس از ورود کاربر نصب می‌شود. اگر دستگاه از قبل ثبت شده باشد، گواهی به عنوان بخشی از یک چرخه همگام‌سازی منظم نصب می‌شود.

وقتی کاربری سعی می‌کند به شبکه شما متصل شود، از او خواسته می‌شود که گواهی‌نامه را ارائه دهد. در دستگاه‌های اندروید، گواهی‌نامه به‌طور خودکار انتخاب می‌شود و کاربر روی «اتصال» کلیک می‌کند. در دستگاه‌های iOS، کاربر باید گواهی‌نامه را به‌صورت دستی انتخاب کرده و سپس متصل شود. دستگاه با استفاده از کلیدی که توسط گوگل از طریق رابط گواهی‌نامه مذاکره می‌شود، به شبکه سازمان شما دسترسی پیدا می‌کند. گوگل به‌طور موقت کلید را در طول مذاکره امنیتی ذخیره می‌کند، اما پس از نصب آن روی دستگاه (یا پس از ۲۴ ساعت) آن را پاک می‌کند.


گوگل، گوگل ورک‌اسپیس و علامت‌ها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نام‌های شرکت‌ها و محصولات، علائم تجاری شرکت‌هایی هستند که با آنها مرتبط هستند.