Configurer des certificats pour les appareils mobiles et ChromeOS gérés

Appareils mobiles : Éditions compatibles avec cette fonctionnalité : Frontline Standard et Frontline Plus ; Enterprise Standard et Enterprise Plus ; Education Standard, Education Plus et Endpoint Education Upgrade ; Cloud Identity Premium. Comparer votre édition

Appareils ChromeOS : Chrome Enterprise est requis pour les certificats basés sur les appareils.

Pour contrôler l'accès des utilisateurs depuis des appareils mobiles ou ChromeOS aux réseaux Wi-Fi et Ethernet, aux réseaux privés virtuels (VPN), ainsi qu'aux applications et sites Web internes de votre organisation, vous pouvez distribuer des certificats provenant de votre autorité de certification (CA) sur site. Le connecteur de certificat Google Cloud est un service Windows qui distribue, de manière sécurisée, les certificats et les clés d'authentification de votre serveur SCEP (Simple Certificate Enrollment Protocol) aux appareils mobiles et ChromeOS des utilisateurs. Pour en savoir plus, consultez Fonctionnement de l'authentification par certificat via le connecteur de certificat Google Cloud sur cette page.

Pour les appareils ChromeOS, vous pouvez configurer des certificats basés sur les utilisateurs ou sur les appareils. Un certificat utilisateur est ajouté à un appareil pour un utilisateur spécifique et est accessible par cet utilisateur. Un certificat appareil est attribué en fonction de l'appareil et est accessible à tout utilisateur connecté à l'appareil. Pour en savoir plus, consultez Gérer les certificats client sur les appareils Chrome.

Si vous souhaitez contrôler l'accès au réseau Wi-Fi à la fois pour les appareils mobiles et pour ChromeOS, vous devrez configurer des profils SCEP et des réseaux Wi-Fi distincts, car les appareils mobiles et ChromeOS ne prennent pas en charge les mêmes types de clés RSA.

Remarques concernant le stockage des clés :

  • Pour les appareils mobiles, les clés privées des certificats sont générées sur les serveurs Google. Les clés sont supprimées définitivement des serveurs Google après l'installation du certificat sur l'appareil ou au bout de 24 heures (selon la première échéance).
  • Pour les appareils ChromeOS, les clés privées des certificats sont générées sur l'appareil ChromeOS. La clé publique correspondante est stockée temporairement sur les serveurs Google et supprimée définitivement après l'installation du certificat.

Configuration requise

  • Le service de certificat Microsoft Active Directory pour un serveur SCEP, et le service NDES (Network Device Enrollment Service) de Microsoft pour distribuer les certificats.
  • Appareils mobiles : appareils iOS et Android soumis à la gestion avancée des appareils mobiles. En savoir plus sur la configuration requise pour l'appareil
  • Appareils ChromeOS :
    • Certificats d'appareil : ChromeOS version 89 ou ultérieure et appareils gérés avec Chrome Enterprise
    • Certificats utilisateur : ChromeOS version 86 ou ultérieure.
      Remarque : Pour les versions antérieures à 87, les utilisateurs doivent redémarrer l'appareil ou attendre quelques heures que le certificat utilisateur soit déployé.

Avant de commencer

  • S'il vous faut le nom de l'objet du certificat pour utiliser les noms d'utilisateur Active Directory, synchronisez votre répertoire Active Directory et Google Directory avec Google Cloud Directory Sync (GCDS). Si nécessaire, configurez GCDS.
  • Si vous n'avez pas encore importé de certificat CA dans la console d'administration Google, ajoutez un certificat.
  • Consultez les problèmes connus pour éviter tout comportement inattendu.

Problèmes connus

  • Une fois installés sur un appareil, les certificats ne peuvent pas être révoqués.
  • Les profils SCEP ne sont pas compatibles avec les questions dynamiques d'authentification.
  • L'héritage de profil SCEP entre les unités organisationnelles peut ne pas fonctionner dans certains cas. Par exemple, si vous définissez un profil SCEP pour une unité organisationnelle et modifiez le profil SCEP d'une unité organisationnelle enfant, aucun des profils SCEP de l'unité organisationnelle parente ne peut de nouveau être hérité par l'unité organisationnelle enfant.
  • Pour les appareils mobiles, les profils SCEP ne peuvent pas être appliqués aux configurations VPN ou Ethernet, mais uniquement aux configurations Wi-Fi.
  • Pour les appareils ChromeOS, les profils SCEP ne peuvent pas être appliqués directement aux configurations VPN ou Ethernet. Pour appliquer indirectement un profil SCEP aux configurations VPN ou Ethernet, utilisez des modèles d'émetteur ou d'objet pour sélectionner automatiquement le certificat à utiliser.
  • Pour les utilisateurs d'appareils ChromeOS, les certificats ne peuvent être déployés que pour les utilisateurs connectés à un appareil géré. L'utilisateur et l'appareil doivent appartenir au même domaine.

Étape 1 : Téléchargez le connecteur de certificat Google Cloud

Procédez comme suit sur le serveur SCEP ou sur un ordinateur Windows, à l'aide d'un compte de service sur le serveur SCEP. Gardez les identifiants du compte à disposition.

Si votre organisation dispose de plusieurs serveurs, vous pouvez utiliser le même agent de connecteur de certificat sur chacun d'entre eux. Téléchargez et installez les fichiers d'installation, de configuration et de clé sur un ordinateur, comme décrit dans les étapes suivantes. Ensuite, copiez ces trois fichiers sur l'autre ordinateur et suivez les instructions de configuration.

Remarque : Vous ne téléchargez le connecteur de certificat Google Cloud et ses composants qu'une seule fois, lors de la première configuration des certificats pour votre organisation. Vos certificats et profils SCEP peuvent partager un même connecteur de certificat.

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisRéseaux

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  2. Cliquez sur Profil SCEP sécurisé. puis Télécharger un connecteur.
  3. Dans la section Installer le connecteur de certificat Google Cloud, cliquez sur Télécharger.
  4. Sur la page Connecteur de certificat Google Cloud, cliquez sur Télécharger pour télécharger le fichier connector_installer.exe.
  5. Fermez la page Merci d'avoir téléchargé le connecteur de certificat Google Cloud !.
  6. Dans la console d'administration, dans la section Télécharger le fichier de configuration du connecteur, cliquez sur Télécharger pour télécharger le fichier config.json.
  7. Dans la section Obtenir une clé de compte de service, cliquez sur Générer la clé pour télécharger le fichier key.json.
  8. Exécutez connector_installer.exe en tant qu'administrateur.
    Remarque : Le programme d'installation enregistre le service de connecteur avec les identifiants par défaut (LocalService). Vous pourrez ensuite modifier le compte de service sous lequel le service s'exécute. Pour ce faire, accédez au répertoire d'installation du connecteur et exécutez configtool.exe pour ouvrir ConfigTool.
  9. Déplacez les fichiers de configuration et de clé (config.json et key.json) dans le dossier du connecteur de certificat Google Cloud créé lors de l'installation, généralement C:\Program Files\Google Cloud Certificate Connector.
  10. Ouvrez le service "Connecteur de certificat Google Cloud" :
    1. Ouvrez les services Windows.
    2. Sélectionnez Connecteur de certificat Google Cloud dans la liste des services.
    3. Cliquez sur Démarrer pour lancer le service. Vérifiez que l'état passe à En cours d'exécution. Le service redémarre automatiquement si l'ordinateur redémarre.

Si vous téléchargez une nouvelle clé de compte de service ultérieurement, redémarrez le service pour l'appliquer.

Étape 2 : Ajoutez un profil SCEP

Le profil SCEP définit le certificat qui permet aux utilisateurs d'accéder à votre réseau Wi-Fi ou Ethernet, ou à votre VPN. Vous attribuez le profil à des utilisateurs spécifiques en l'ajoutant à une unité organisationnelle. Vous pouvez configurer plusieurs profils SCEP pour gérer l'accès par unité organisationnelle et par type d'appareil. Nous vous recommandons de définir un profil SCEP distinct pour chaque unité organisationnelle à laquelle vous souhaitez appliquer le profil.

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisRéseaux

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  2. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
  3. Pour SCEP sécurisé, cliquez sur Créer un profil SCEP sécurisé. Si vous avez déjà créé un profil SCEP, cliquez sur SCEP sécurisé > puis Ajouter un profil SCEP sécurisé.

  4. Saisissez les informations de configuration du profil. Si votre autorité de certification émet un modèle spécifique, faites correspondre les détails du profil au modèle.

    • Plates-formes auxquelles s'applique ce profil : plates-formes utilisant le profil SCEP. Pour les appareils ChromeOS, cochez la case Chromebook (utilisateur), Chromebook (appareil) ou les deux, en fonction du type de certificat que vous souhaitez déployer.
    • Nom du profil SCEP : nom descriptif du profil. Le nom apparaît dans la liste des profils et dans le sélecteur de profils de la configuration du réseau Wi-Fi.
    • Format du nom de l'objet : choisissez la manière dont vous souhaitez identifier le propriétaire du certificat. Si vous sélectionnez Nom distinctif complet, le nom commun du certificat correspond alors au nom d'utilisateur.

    • Autre nom de l'objet : indiquez un SAN. La valeur par défaut est Aucun. Pour les appareils ChromeOS, vous pouvez définir d'autres noms d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil. Pour utiliser une demande de signature de certificat (CSR) personnalisée, configurez le modèle de certificat sur l'autorité de certification de façon à obtenir et générer un certificat avec les valeurs d'objet définies dans la demande elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet.
      Vous pouvez utiliser les espaces réservés ci-dessous. Toutes les valeurs sont facultatives.

      • ${DEVICE_DIRECTORY_ID} : ID de l'annuaire de l'appareil
      • ${USER_EMAIL} : adresse e-mail de l'utilisateur connecté
      • ${USER_EMAIL_DOMAIN} : nom de domaine de l'utilisateur connecté
      • ${DEVICE_SERIAL_NUMBER} : numéro de série de l'appareil
      • ${DEVICE_ASSET_ID} : ID d'élément attribué à l'appareil par l'administrateur
      • ${DEVICE_ANNOTATED_LOCATION} : emplacement attribué à l'appareil par l'administrateur
      • ${USER_EMAIL_NAME} : première partie de l'adresse e-mail de l'utilisateur connecté (avant le signe "@")

      Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide.

    • Algorithme de signature : fonction de hachage utilisée pour chiffrer la clé d'autorisation. Seul l'algorithme de signature SHA256 avec RSA est disponible.

    • Utilisation de la clé : options d'utilisation, de chiffrement et de signature de la clé. Vous pouvez en sélectionner plusieurs.

    • Taille de la clé (bits) : taille de la clé RSA. Pour les appareils ChromeOS, sélectionnez "2048".

    • Sous Sécurité, sélectionnez le type d'attestation qui sera requis pour les appareils connectés. Ce paramètre ne s'applique pas aux appareils mobiles.

    • Dans la section Attributs du serveur SCEP, configurez les valeurs et les préférences du serveur SCEP.

      • URL du serveur SCEP : URL du serveur SCEP.
      • Durée de validité du certificat (années) : période pendant laquelle le certificat de l'appareil est valide. Saisissez un nombre.
      • Délai avant renouvellement (en jours) : délai pour renouveler le certificat de l'appareil avant son expiration.
      • Utilisation étendue de la clé : manière dont la clé peut être utilisée. Vous pouvez choisir plusieurs valeurs.
      • Type de question d'authentification : pour exiger que Google pose une question d'authentification spécifique lorsque le service demande un certificat au serveur SCEP, sélectionnez Statique, puis saisissez la question. Si vous sélectionnez Aucune, le serveur n'effectue pas cette vérification.
      • Nom du modèle : nom du modèle utilisé par votre serveur NDES.
      • Autorité de certification : nom d'un certificat que vous avez importé pour l'utiliser comme autorité de certification.
      • Type de réseau auquel s'applique ce profil : type de réseaux utilisant le profil SCEP.
  5. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.

Une fois que vous avez ajouté le profil, il est répertorié avec son nom et les plates-formes sur lesquelles il est activé. Dans la colonne Plate-forme, le profil est activé pour les plates-formes marquées d'une icône bleue et désactivé pour les plates-formes marquées d'une icône grise. Pour modifier un profil, pointez sur la ligne et cliquez sur Modifier .

Le profil SCEP est automatiquement distribué aux utilisateurs de l'unité organisationnelle.

Étape 3 : Configurez le keystore du connecteur de certificat Google Cloud

Si votre certificat est émis par une autorité de certification de confiance ou si l'URL de votre serveur SCEP commence par "HTTP", ignorez cette étape.

Si votre certificat n'a pas été émis par une autorité de certification de confiance (par exemple, s'il s'agit d'un certificat autosigné), vous devez l'importer dans le keystore du connecteur de certificat Google Cloud. Sinon, le certificat de l'appareil ne peut pas être provisionné et l'appareil ne peut pas se connecter.

  1. Connectez-vous à votre compte client.
  2. Si aucun JRE Java n'est installé, installez-en un pour pouvoir utiliser keytool.exe.
  3. Ouvrez une invite de commande.

  4. Exportez votre certificat CA et convertissez-le en fichier PEM à l'aide des commandes suivantes :

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Importez le certificat CA dans le keystore. Dans le sous-répertoire du dossier du connecteur de certificat Google Cloud créé lors de l'installation, généralement C:\Program Files\Google Cloud Certificate Connector, exécutez la commande suivante et remplacez java-home-dir par le chemin d'accès à l'environnement JRE dans le dossier du connecteur de certificat Google Cloud et cert-export-dir par le chemin d'accès au certificat que vous avez exporté à l'étape 4 : java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Étape 4 : Configurez les réseaux de façon à exiger le profil SCEP (facultatif)

En fonction du type de réseau, vous pouvez le configurer de façon qu'il exige le profil SCEP.

Exiger le profil SCEP pour les réseaux Wi-Fi

Pour contrôler l'accès au réseau Wi-Fi à la fois pour les appareils mobiles et pour ChromeOS, configurez des réseaux Wi-Fi distincts pour chacun. Par exemple, configurez un réseau Wi-Fi pour les appareils mobiles et attribuez-leur un profil SCEP pour les appareils mobiles. Ensuite, configurez un autre réseau Wi-Fi pour les appareils ChromeOS et attribuez-leur un profil SCEP.

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisRéseaux

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  2. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
  3. Pour Wi-Fi, cliquez sur Créer un réseau Wi-Fi. Si vous avez déjà configuré un réseau Wi-Fi, cliquez sur Wi-Fi puisAjouter un réseau Wi-Fi.
  4. Dans la section Accès aux plates-formes, cochez les cases suivantes selon vos besoins : Android, iOS, Chromebooks (par utilisateur), Chromebooks (par appareil) ou Matériel Google Meet.
  5. Dans la section Détails :
    1. Saisissez un nom et un SSID pour le réseau Wi-Fi.
    2. Pour les Paramètres de sécurité, sélectionnez WPA/WPA2 Enterprise (802.1X) ou WEP dynamique (802.1X).
    3. Pour le Protocole EAP (Extensible Authentication Protocol), sélectionnez EAP-TLS ou EAP-TTLS.
    4. Si vous avez sélectionné EAP-TLS, pour Type de provisionnement, sélectionnez Profil SCEP ou Modèle de certificat, puis choisissez une option :
      • Pour le Profil SCEP, sélectionnez le profil SCEP que vous avez ajouté à l'étape 2.
      • Pour le Modèle de certificat, saisissez une valeur pour URL d'inscription client, ainsi qu'une ou plusieurs valeurs pour Modèle d'émetteur ou Modèle d'objet.
    5. Saisissez les valeurs ou sélectionnez les options pour les autres informations Wi-Fi dont vous avez besoin.
  6. Cliquez sur Enregistrer.
  7. Partagez des informations avec vos utilisateurs sur la connexion au réseau :
    • Leur appareil doit fournir le certificat chaque fois qu'ils essaient de se connecter au réseau Wi-Fi.
    • Pour les appareils Android et ChromeOS, le certificat correspondant au profil SCEP de l'utilisateur et au réseau est automatiquement saisi. Il leur suffit donc de cliquer sur Se connecter.
    • Pour les appareils iOS, l'utilisateur choisit le certificat à utiliser, puis clique sur Se connecter.

Exiger le profil SCEP pour les réseaux Ethernet

Vous pouvez contrôler l'accès au réseau Ethernet pour les appareils ChromeOS. Vous configurez le réseau pour les appareils, puis vous lui attribuez un profil SCEP.

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisRéseaux

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  2. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
  3. Pour Ethernet, cliquez sur Créer un réseau Ethernet. Si vous avez déjà configuré un réseau Ethernet, cliquez sur Ethernet puisAjouter un réseau Ethernet.
  4. Dans la section Accès aux plates-formes, cochez les cases suivantes selon vos besoins : Chromebooks (par utilisateur), Chromebooks (par appareil) ou Matériel Google Meet.
  5. Dans la section Détails :
    1. Saisissez un nom pour le réseau Ethernet.
    2. Pour Authentification, sélectionnez Enterprise (802.1X).
    3. Pour le Protocole EAP (Extensible Authentication Protocol), sélectionnez EAP-TLS ou EAP-TTLS.
    4. Si vous avez sélectionné EAP-TLS, pour Type de provisionnement, sélectionnez Profil SCEP ou Modèle de certificat, puis choisissez une option :
      • Pour le Profil SCEP, sélectionnez le profil SCEP que vous avez ajouté à l'étape 2.
      • Pour le Modèle de certificat, saisissez une valeur pour URL d'inscription client, ainsi qu'une ou plusieurs valeurs pour Modèle d'émetteur ou Modèle d'objet.
    5. Saisissez des valeurs ou sélectionnez des options pour les autres détails Ethernet dont vous avez besoin.
  6. Cliquez sur Enregistrer.
  7. Partagez des informations avec vos utilisateurs sur la connexion au réseau :
    • Leur appareil doit fournir le certificat chaque fois qu'ils essaient de se connecter au réseau Ethernet.
    • Le certificat correspondant à leur profil SCEP et au réseau est automatiquement saisi sur leur appareil ChromeOS. Il leur suffit donc de cliquer sur Se connecter.

Exiger le profil SCEP pour les VPN

Vous pouvez contrôler l'accès au VPN pour les appareils ChromeOS. Vous configurez le réseau pour les appareils, puis vous lui attribuez un profil SCEP.

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisRéseaux

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  2. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
  3. Pour VPN, cliquez sur Créer un réseau VPN. Si vous avez déjà configuré un VPN, cliquez sur VPN puisAjouter un VPN.
  4. Dans la section Accès aux plates-formes, cochez les cases Chromebooks (par utilisateur) ou Chromebooks (par appareil), selon vos besoins.
  5. Dans la section Détails :
    1. Saisissez un nom et un hôte distant pour le VPN.
    2. Pour Type de VPN, sélectionnez le type de VPN souhaité et saisissez les informations correspondantes.
    3. Si vous avez sélectionné OpenVPN et coché la case Utiliser un certificat client, sélectionnez Profil SCEP ou Modèle de certificat pour Type de provisionnement, puis choisissez une option :
      • Pour le Profil SCEP, sélectionnez le profil SCEP que vous avez ajouté à l'étape 2.
      • Pour le Modèle de certificat, saisissez une valeur pour URL d'inscription client, ainsi qu'une ou plusieurs valeurs pour Modèle d'émetteur ou Modèle d'objet.
    4. Saisissez les valeurs ou sélectionnez les options pour les autres détails du VPN dont vous avez besoin.
  6. Cliquez sur Enregistrer.
  7. Partagez des informations avec vos utilisateurs sur la connexion au réseau :
    • Leur appareil doit fournir le certificat chaque fois qu'ils essaient de se connecter au VPN.
    • Le certificat correspondant à leur profil SCEP et au réseau est automatiquement saisi sur leur appareil ChromeOS. Il leur suffit donc de cliquer sur Se connecter.

Fonctionnement de l'authentification par certificat via le connecteur de certificat Google Cloud

Le connecteur de certificat Google Cloud est un service Windows qui établit une connexion exclusive entre votre serveur SCEP et Google. Il est configuré et sécurisé par un fichier de configuration et un fichier de clé, tous deux dédiés uniquement à votre organisation.

Vous devez attribuer des certificats d'appareil aux appareils et aux utilisateurs disposant d'un profil SCEP. Pour attribuer un profil, ajoutez-le à l'unité organisationnelle de votre choix. Le profil comprend l'autorité de certification qui émet les certificats d'appareil. Lorsqu'un utilisateur enregistre son appareil mobile ou ChromeOS, la gestion des points de terminaison Google récupère le profil SCEP de l'utilisateur et installe le certificat sur l'appareil. Pour les appareils ChromeOS, un certificat appareil est installé avant la connexion de l'utilisateur, tandis qu'un certificat utilisateur est installé après la connexion de l'utilisateur. Si l'appareil est déjà enregistré, le certificat est installé lors d'un cycle de synchronisation standard.

Lorsqu'un utilisateur tente de se connecter à votre réseau, il est invité à fournir le certificat. Sur les appareils Android, le certificat est automatiquement sélectionné et l'utilisateur doit cliquer sur Se connecter. Sur les appareils iOS, l'utilisateur doit d'abord sélectionner le certificat manuellement, puis se connecter. L'appareil accède au réseau de votre organisation à l'aide d'une clé négociée par Google via le connecteur de certificat. Pendant la négociation de sécurité, Google stocke la clé. En revanche, une fois la clé installée sur l'appareil (ou au bout de 24 heures), Google la supprime définitivement.


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.