Menyiapkan sertifikat untuk perangkat seluler dan ChromeOS terkelola

Perangkat seluler: Edisi yang didukung untuk fitur ini: Frontline Standard dan Frontline Plus; Enterprise Standard dan Enterprise Plus; Education Standard, Education Plus, dan Endpoint Education Upgrade; Cloud Identity Premium. Bandingkan edisi Anda

Perangkat ChromeOS: Chrome Enterprise diperlukan untuk sertifikat berbasis perangkat.

Anda dapat mengontrol akses pengguna ke jaringan Wi-Fi dan Ethernet, Virtual Private Network (VPN), serta aplikasi dan situs internal organisasi di perangkat seluler dan ChromeOS dengan mendistribusikan sertifikat dari Certificate Authority (CA) lokal. Google Cloud Certificate Connector adalah layanan Windows yang mendistribusikan sertifikat dan kunci autentikasi dengan aman dari server Simple Certificate Enrollment Protocol (SCEP) ke perangkat seluler dan ChromeOS pengguna. Untuk mengetahui detailnya, lihat Cara kerja autentikasi sertifikat melalui Google Cloud Certificate Connector di halaman ini.

Untuk perangkat ChromeOS, Anda dapat menyiapkan sertifikat berbasis pengguna atau berbasis perangkat. Sertifikat pengguna ditambahkan ke perangkat untuk pengguna tertentu dan dapat diakses oleh pengguna tertentu tersebut. Sertifikat perangkat ditetapkan berdasarkan perangkat dan dapat diakses oleh pengguna yang login ke perangkat. Untuk mengetahui detailnya, buka Mengelola sertifikat klien pada perangkat Chrome.

Jika ingin mengontrol akses jaringan Wi-Fi untuk perangkat seluler dan ChromeOS, Anda harus menyiapkan profil SCEP dan jaringan Wi-Fi yang terpisah karena perangkat seluler dan perangkat ChromeOS mendukung jenis kunci RSA yang berbeda.

Catatan tentang penyimpanan kunci:

  • Untuk perangkat seluler, kunci pribadi untuk sertifikat dibuat di server Google. Kunci dihapus dari server Google setelah sertifikat diinstal di perangkat atau setelah 24 jam, tergantung mana yang lebih dulu.
  • Untuk perangkat ChromeOS, kunci pribadi untuk sertifikat dibuat di perangkat ChromeOS. Kunci publik yang sesuai disimpan sementara di server Google dan dihapus permanen setelah sertifikat diinstal.

Persyaratan sistem

  • Microsoft Active Directory Certificate Service untuk server SCEP, dan Microsoft Network Device Enrollment Service (NDES) untuk mendistribusikan sertifikat.
  • Perangkat seluler: Perangkat iOS dan Android pada bagian pengelolaan seluler lanjutan. Pelajari persyaratan perangkat lebih lanjut.
  • Perangkat ChromeOS:
    • Sertifikat perangkat: ChromeOS versi 89 atau yang lebih baru dan dikelola dengan Chrome Enterprise
    • Sertifikat pengguna: ChromeOS versi 86 atau yang lebih baru.
      Catatan: Untuk versi yang lebih lama dari 87, pengguna harus memulai ulang perangkat atau menunggu beberapa jam agar sertifikat pengguna di-deploy.

Sebelum memulai

  • Jika memerlukan nama Subjek sertifikat untuk menggunakan nama pengguna Active Directory, Anda harus menyinkronkan Active Directory dan Google Directory dengan Google Cloud Directory Sync (GCDS). Jika perlu, siapkan GCDS.
  • Jika Anda belum mengupload sertifikat CA di konsol Google Admin, tambahkan sertifikat.
  • Tinjau masalah umum untuk menghindari perilaku tidak terduga.

Masalah umum

  • Sertifikat tidak dapat dicabut setelah diinstal di perangkat.
  • Profil SCEP tidak mendukung verifikasi dinamis.
  • Dalam kasus tertentu, pewarisan profil SCEP di antara unit organisasi dapat dikelompokkan. Misalnya, jika Anda menetapkan profil SCEP untuk unit organisasi dan mengubah profil SCEP unit organisasi turunan, tidak ada profil SCEP unit organisasi induk yang dapat diwariskan oleh unit organisasi turunan lagi.
  • Untuk perangkat seluler, profil SCEP tidak dapat diterapkan untuk konfigurasi VPN atau Ethernet, hanya Wi-Fi.
  • Untuk perangkat ChromeOS, profil SCEP tidak dapat diterapkan langsung ke konfigurasi VPN atau Ethernet. Untuk menerapkan profil SCEP ke VPN atau konfigurasi Ethernet secara tidak langsung, gunakan penerbit atau pola subjek untuk otomatis memilih sertifikat yang akan digunakan.
  • Untuk pengguna perangkat ChromeOS, sertifikat hanya dapat di-deploy untuk pengguna yang login ke perangkat terkelola. Pengguna dan perangkat harus berasal dari domain yang sama.

Langkah 1: Download Google Cloud Certificate Connector

Lakukan langkah berikut di server SCEP atau komputer Windows dengan akun yang dapat login sebagai layanan di server SCEP. Sediakan kredensial akun.

Jika organisasi Anda memiliki beberapa server, Anda dapat menggunakan agen konektor sertifikat yang sama di semua server. Download dan instal file penginstalan, file konfigurasi, dan file kunci di satu komputer seperti yang dijelaskan pada langkah-langkah berikut. Kemudian, salin ketiga file tersebut ke komputer lain dan ikuti petunjuk penyiapan di komputer.

Catatan: Anda hanya perlu mendownload Google Cloud Certificate Connector beserta komponennya sekali saja, saat pertama kali menyiapkan sertifikat untuk organisasi Anda. Sertifikat dan profil SCEP Anda dapat berbagi satu konektor sertifikat.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluJaringan

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  2. Klik SCEP Aman laluDownload Konektor.
  3. Di bagian Instal Google Cloud certificate connector, klik Download.
  4. Di halaman Google Cloud Certificate Connector, klik Download untuk mendownload file connector_installer.exe.
  5. Tutup halaman Terima kasih telah mendownload Google Cloud Certificate Connector!.
  6. Di konsol Admin, di bagian Download file konfigurasi konektor, klik Download untuk mendownload file config.json.
  7. Di bagian Dapatkan kunci akun layanan, klik Buat kunci untuk mendownload file key.json.
  8. Jalankan connector_installer.exe sebagai administrator.
    Catatan: Penginstal akan mendaftarkan layanan konektor dengan kredensial default (LocalService). Pada lain waktu, Anda dapat mengubah layanan agar berjalan sebagai akun layanan yang berbeda. Untuk melakukannya, buka direktori penginstalan konektor, lalu jalankan configtool.exe untuk membuka ConfigTool.
  9. Pindahkan file konfigurasi dan kunci (config.json dan key.json) ke folder Google Cloud Certificate Connector yang dibuat saat penginstalan, biasanya: C:\Program Files\Google Cloud Certificate Connector.
  10. Buka layanan Google Cloud Certificate Connector:
    1. Buka Windows Services.
    2. Pilih Google Cloud Certificate Connector di daftar layanan.
    3. Klik Start untuk memulai layanan. Pastikan statusnya berubah menjadi Running. Layanan akan dimulai ulang secara otomatis jika komputer di-reboot.

Jika Anda mendownload kunci akun layanan baru di lain waktu, mulai ulang layanan untuk menerapkannya.

Langkah 2: Tambahkan profil SCEP

Profil SCEP menentukan sertifikat yang memungkinkan pengguna mengakses jaringan Wi-Fi atau Ethernet atau VPN Anda. Anda dapat menetapkan profil untuk pengguna tertentu dengan menambahkannya ke unit organisasi. Anda dapat menyiapkan beberapa profil SCEP untuk mengelola akses berdasarkan unit organisasi dan jenis perangkat. Sebaiknya tetapkan profil SCEP terpisah untuk setiap unit organisasi yang ingin Anda terapkan profilnya.

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluJaringan

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  2. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  3. Untuk SCEP Aman, klik Buat Profil SCEP Aman. Jika Anda sudah membuat profil SCEP, klik SCEP Aman laluTambahkan Profil SCEP Aman.

  4. Masukkan detail konfigurasi untuk profil. Jika CA Anda menerbitkan template tertentu, cocokkan detail profil dengan template.

    • Platform tempat profil ini diterapkan—Platform perangkat yang menggunakan profil SCEP. Untuk perangkat ChromeOS, pastikan untuk mencentang Chromebook (pengguna), Chromebook (perangkat), atau keduanya, bergantung pada jenis sertifikat yang ingin di-deploy.
    • Nama profil SCEP—Nama deskriptif untuk profil. Nama ini ditampilkan dalam daftar profil dan di pemilih profil pada konfigurasi jaringan Wi-Fi.
    • Format nama subjek—Pilih cara Anda ingin mengidentifikasi pemilik sertifikat. Jika Anda memilih Nama yang Benar-Benar Berbeda, Nama Umum sertifikat akan berupa nama pengguna milik pengguna.

    • Nama alternatif subjek—Masukkan SAN. Default-nya adalah Tidak ada. Untuk perangkat ChromeOS, Anda dapat menentukan nama alternatif subjek berdasarkan atribut pengguna dan perangkat. Untuk menggunakan permintaan penandatanganan sertifikat (CSR) kustom, konfigurasikan template sertifikat pada CA untuk meminta dan membuat sertifikat dengan nilai subjek yang ditentukan dalam permintaan itu sendiri. Anda setidaknya perlu memasukkan nilai untuk CommonName subjek.
      Anda dapat menggunakan placeholder berikut. Semua nilai bersifat opsional.

      • ${DEVICE_DIRECTORY_ID}—ID direktori perangkat
      • ${USER_EMAIL}—Alamat email pengguna yang login
      • ${USER_EMAIL_DOMAIN}—Nama domain pengguna yang login
      • ${DEVICE_SERIAL_NUMBER}—Nomor seri perangkat
      • ${DEVICE_ASSET_ID}—ID aset yang ditetapkan ke perangkat oleh administrator
      • ${DEVICE_ANNOTATED_LOCATION}—Lokasi yang ditetapkan ke perangkat oleh administrator
      • ${USER_EMAIL_NAME}—Bagian awal alamat email pengguna yang login (sebelum tanda @)

      Jika nilai placeholder tidak tersedia, nilai tersebut akan diganti dengan string kosong.

    • Algoritma penandatanganan—Fungsi hash yang digunakan untuk mengenkripsi kunci otorisasi. Hanya SHA256 dengan RSA yang tersedia.

    • Penggunaan kunci—Opsi tentang cara menggunakan kunci, enkripsi, dan penandatanganan kunci. Anda dapat memilih lebih dari satu.

    • Key size (bit)—Ukuran kunci RSA. Untuk perangkat ChromeOS, pilih 2048.

    • Untuk Keamanan, pilih jenis pengesahan yang akan diperlukan untuk perangkat terhubung. Setelan ini tidak berlaku untuk perangkat seluler.

    • Di bagian Atribut server SCEP, konfigurasi nilai dan preferensi untuk server SCEP.

      • URL server SCEP—URL server SCEP.
      • Periode validitas sertifikat (tahun)—Berapa lama sertifikat perangkat berlaku. Masukkan sebagai angka.
      • Perpanjang dalam hari—Durasi sebelum masa berlaku sertifikat perangkat berakhir untuk mencoba memperpanjang sertifikat.
      • Penggunaan kunci yang diperpanjang—Cara kunci dapat digunakan. Anda dapat memilih lebih dari satu nilai.
      • Jenis verifikasi—Untuk mewajibkan Google memberikan frasa verifikasi tertentu saat Google meminta sertifikat dari server SCEP, pilih Statis dan masukkan frasa tersebut. Jika Anda memilih Tidak ada, server tidak mewajibkan pemeriksaan ini.
      • Nama template—Nama template yang digunakan oleh server NDES.
      • Certificate authority—Nama sertifikat yang Anda upload untuk digunakan sebagai Certificate Authority.
      • Jenis jaringan tempat profil ini diterapkan—Jenis jaringan yang menggunakan profil SCEP.
  5. Klik Simpan. Atau, Anda dapat mengklik Ganti untuk unit organisasi.

    Untuk memulihkan nilai yang diwarisi pada lain waktu, klik Warisi.

Setelah Anda menambahkan profil, profil tersebut akan dicantumkan dengan namanya beserta platform tempat profil diaktifkan. Di kolom Platform, profil diaktifkan untuk platform dengan ikon berwarna biru dan dinonaktifkan untuk platform dengan ikon berwarna abu-abu. Untuk mengedit profil, arahkan kursor ke baris, lalu klik Edit .

Profil SCEP otomatis didistribusikan ke pengguna di unit organisasi.

Langkah 3: Konfigurasikan keystore Google Cloud Certificate Connector

Jika sertifikat Anda diterbitkan oleh CA tepercaya atau URL server SCEP Anda dimulai dengan HTTP, lewati langkah ini.

Jika sertifikat Anda tidak dikeluarkan oleh CA tepercaya, seperti sertifikat yang ditandatangani sendiri, Anda perlu mengimpor sertifikat ke keystore Google Cloud Certificate Connector. Jika tidak, sertifikat perangkat tidak dapat disediakan dan perangkat tidak dapat terhubung.

  1. Login ke CA Anda.
  2. Jika belum, instal Java JRE agar Anda bisa menggunakan keytool.exe.
  3. Buka command prompt.

  4. Ekspor sertifikat CA Anda dan konversikan ke file PEM dengan menjalankan perintah berikut:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Impor sertifikat CA ke keystore. Dari subdirektori folder Google Cloud Certificate Connector yang dibuat selama penginstalan, biasanya C:\Program Files\Google Cloud Certificate Connector, jalankan perintah berikut dan ganti java-home-dir dengan jalur ke JRE di folder Google Cloud Certificate Connector, dan cert-export-dir dengan jalur ke sertifikat yang Anda ekspor di langkah 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Langkah 4: Konfigurasi jaringan untuk mewajibkan profil SCEP (Opsional)

Bergantung pada jenis jaringan, Anda dapat menyiapkannya untuk mewajibkan profil SCEP.

Mewajibkan profil SCEP untuk jaringan Wi-Fi

Untuk mengontrol akses jaringan Wi-Fi bagi perangkat seluler dan ChromeOS, siapkan jaringan Wi-Fi terpisah untuk masing-masing perangkat. Misalnya, siapkan satu jaringan Wi-Fi untuk perangkat seluler dan tetapkan profil SCEP untuk perangkat seluler ke jaringan tersebut. Kemudian, siapkan jaringan Wi-Fi lain untuk perangkat ChromeOS dan tetapkan profil SCEP untuk perangkat ChromeOS.

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluJaringan

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  2. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  3. Untuk Wi-Fi, klik Buat jaringan Wi-Fi. Jika Anda sudah menyiapkan jaringan Wi-Fi, klik Wi‑Fi laluTambahkan Wi-Fi.
  4. Di bagian Akses platform, centang kotak berikut sesuai kebutuhan: Android, iOS, Chromebook (menurut pengguna), Chromebook (menurut perangkat), atau Google Meet hardware.
  5. Di bagian Detail:
    1. Masukkan nama dan SSID untuk jaringan Wi-Fi.
    2. Untuk Setelan keamanan, pilih WPA/WPA2 Enterprise (802.1X) atau Dynamic WEP (802.1X).
    3. Untuk Protokol Autentikasi yang Dapat Diperluas, pilih EAP-TLS atau EAP-TTLS.
    4. Jika Anda memilih EAP-TLS, untuk Jenis Penyediaan, pilih Profil SCEP atau Pola sertifikat, lalu pilih salah satu opsi:
      • Untuk Profil SCEP, pilih profil SCEP yang Anda tambahkan di Langkah 2.
      • Untuk Pola sertifikat, masukkan nilai untuk URL pendaftaran klien dan satu atau beberapa nilai untuk Pola penerbit atau Pola subjek.
    5. Masukkan nilai atau pilih opsi untuk detail Wi-Fi lainnya yang Anda butuhkan.
  6. Klik Simpan.
  7. Bagikan informasi kepada pengguna Anda tentang cara terhubung ke jaringan:
    • Perangkat mereka harus memberikan sertifikat setiap kali mereka mencoba terhubung ke jaringan Wi-Fi.
    • Untuk perangkat Android dan ChromeOS, sertifikat yang sesuai dengan profil SCEP pengguna dan jaringan akan otomatis dimasukkan sehingga pengguna hanya perlu mengklik Hubungkan.
    • Untuk perangkat iOS, pengguna memilih sertifikat yang akan digunakan, lalu mengklik Hubungkan.

Mewajibkan profil SCEP untuk jaringan Ethernet

Anda dapat mengontrol akses jaringan Ethernet untuk perangkat ChromeOS. Anda menyiapkan jaringan untuk perangkat, lalu menetapkan profil SCEP ke jaringan tersebut.

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluJaringan

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  2. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  3. Untuk Ethernet, klik Buat Jaringan Ethernet. Jika sudah menyiapkan jaringan Ethernet, klik Ethernet laluTambahkan Ethernet.
  4. Di bagian Akses platform, centang kotak berikut sesuai kebutuhan: Chromebook (menurut pengguna), Chromebook (menurut perangkat), atau Google Meet hardware.
  5. Di bagian Detail:
    1. Masukkan nama untuk jaringan Ethernet.
    2. Untuk Autentikasi, pilih Enterprise (802.1X).
    3. Untuk Protokol Autentikasi yang Dapat Diperluas, pilih EAP-TLS atau EAP-TTLS.
    4. Jika Anda memilih EAP-TLS, untuk Jenis Penyediaan, pilih Profil SCEP atau Pola sertifikat, lalu pilih salah satu opsi:
      • Untuk Profil SCEP, pilih profil SCEP yang Anda tambahkan di Langkah 2.
      • Untuk Pola sertifikat, masukkan nilai untuk URL pendaftaran klien dan satu atau beberapa nilai untuk Pola penerbit atau Pola subjek.
    5. Masukkan nilai atau pilih opsi untuk detail Ethernet lainnya yang Anda butuhkan.
  6. Klik Simpan.
  7. Bagikan informasi kepada pengguna Anda tentang cara terhubung ke jaringan:
    • Perangkat mereka harus memberikan sertifikat setiap kali mereka mencoba terhubung ke jaringan Ethernet.
    • Sertifikat yang sesuai dengan profil SCEP dan jaringan mereka akan otomatis dimasukkan di perangkat ChromeOS mereka sehingga mereka hanya perlu mengklik Hubungkan.

Mewajibkan profil SCEP untuk VPN

Anda dapat mengontrol akses VPN untuk perangkat ChromeOS. Anda menyiapkan jaringan untuk perangkat, lalu menetapkan profil SCEP ke jaringan tersebut.

Sebelum memulai: Jika Anda perlu menyiapkan departemen atau tim untuk setelan ini, buka Menambahkan unit organisasi.

  1. Di konsol Google Admin, buka Menu lalu Perangkat laluJaringan

    Memerlukan hak istimewa administrator Setelan perangkat bersama.

  2. (Opsional) Untuk menerapkan setelan ke departemen atau tim, di bagian samping, pilih unit organisasi.
  3. Untuk VPN, klik Buat Jaringan VPN. Jika Anda sudah menyiapkan VPN, klik VPN laluTambahkan VPN.
  4. Di bagian Akses platform, centang kotak berikut sesuai kebutuhan: Chromebook (menurut pengguna) atau Chromebook (menurut perangkat).
  5. Di bagian Detail:
    1. Masukkan nama dan host jarak jauh untuk VPN.
    2. Untuk Jenis VPN, pilih jenis VPN yang Anda inginkan dan masukkan detail untuk jenis tersebut.
    3. Jika Anda memilih OpenVPN dan mencentang kotak Gunakan sertifikat klien, untuk Jenis Penyediaan, pilih Profil SCEP atau Pola sertifikat, lalu pilih salah satu opsi:
      • Untuk Profil SCEP, pilih profil SCEP yang Anda tambahkan di Langkah 2.
      • Untuk Pola sertifikat, masukkan nilai untuk URL pendaftaran klien dan satu atau beberapa nilai untuk Pola penerbit atau Pola subjek.
    4. Masukkan nilai atau pilih opsi untuk detail VPN lainnya yang Anda butuhkan.
  6. Klik Simpan.
  7. Bagikan informasi kepada pengguna Anda tentang cara terhubung ke jaringan:
    • Perangkat mereka harus memberikan sertifikat setiap kali mereka mencoba terhubung ke VPN.
    • Sertifikat yang sesuai dengan profil SCEP dan jaringan mereka akan otomatis dimasukkan di perangkat ChromeOS mereka sehingga mereka hanya perlu mengklik Hubungkan.

Cara kerja autentikasi sertifikat melalui Google Cloud Certificate Connector

Google Cloud Certificate Connector adalah layanan Windows yang membuat sambungan khusus antara server SCEP dan Google. Konektor sertifikat dikonfigurasi dan diamankan oleh file konfigurasi dan file kunci, keduanya dikhususkan untuk organisasi Anda.

Anda menetapkan sertifikat perangkat untuk perangkat dan pengguna yang memiliki Profil SCEP. Untuk menetapkan profil, Anda perlu memilih unit organisasi dan menambahkan profil ke unit organisasi tersebut. Profil mencakup Certificate Authority yang menerbitkan sertifikat perangkat. Saat pengguna mendaftarkan perangkat seluler atau ChromeOS mereka untuk dikelola, pengelolaan endpoint Google akan mengambil profil SCEP pengguna dan menginstal sertifikat di perangkat. Untuk perangkat ChromeOS, sertifikat perangkat diinstal sebelum pengguna login, sedangkan sertifikat pengguna diinstal setelah pengguna login. Jika perangkat sudah didaftarkan, sertifikat akan diinstal sebagai bagian dari siklus sinkronisasi reguler.

Saat pengguna mencoba terhubung ke jaringan Anda, mereka akan diminta untuk memberikan sertifikat. Di perangkat Android, sertifikat dipilih secara otomatis dan pengguna mengklik Hubungkan. Di perangkat iOS, pengguna harus memilih sertifikat secara manual, lalu menghubungkan. Perangkat mengakses jaringan organisasi Anda menggunakan kunci yang dinegosiasikan oleh Google melalui konektor sertifikat. Google menyimpan kunci untuk sementara selama negosiasi keamanan, tetapi menghapus kunci setelah diinstal di perangkat (atau setelah 24 jam).


Google, Google Workspace, serta merek dan logo terkait adalah merek dagang Google LLC. Semua nama perusahaan dan produk lainnya adalah merek dagang dari masing-masing perusahaan yang bersangkutan.