Configurare i certificati per i dispositivi mobili e i dispositivi ChromeOS gestiti

Dispositivi mobili: Versioni supportate per questa funzionalità: Frontline Standard e Frontline Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Cloud Identity Premium. Confronta la tua versione

Dispositivi ChromeOS: è necessario Chrome Enterprise per i certificati basati sul dispositivo.

Puoi controllare gli accessi degli utenti alle reti Wi-Fi ed Ethernet, alle reti private virtuali (VPN) e alle app e ai siti web interni della tua organizzazione sui dispositivi mobili e ChromeOS distribuendo certificati rilasciati dall'autorità di certificazione (CA) on-premise. Google Cloud Certificate Connector è un servizio Windows che distribuisce in modo sicuro certificati e chiavi di autenticazione dal server Simple Certificate Enrollment Protocol (SCEP) ai dispositivi mobili e ChromeOS degli utenti. Per maggiori dettagli, vedi Funzionamento dell'autenticazione del certificato con Google Cloud Certificate Connector in questa pagina.

Per i dispositivi ChromeOS, puoi configurare certificati basati sull'utente o sul dispositivo. Un certificato utente viene aggiunto a un dispositivo per un utente specifico ed è accessibile a quest'ultimo. Un certificato del dispositivo viene assegnato in base al dispositivo ed è accessibile a qualsiasi utente che ha eseguito l'accesso al dispositivo. Per maggiori dettagli, vedi Gestire i certificati client sui dispositivi Chrome.

Se vuoi controllare l'accesso alla rete Wi-Fi per i dispositivi mobili e ChromeOS, dovrai configurare profili SCEP e reti Wi-Fi separati perché i dispositivi mobili e i dispositivi ChromeOS supportano diversi tipi di chiavi RSA.

Note sull'archiviazione delle chiavi:

  • Per i dispositivi mobili, le chiavi private per i certificati vengono generate sui server di Google. Le chiavi vengono eliminate dai server di Google dopo l'installazione dei certificati sui dispositivi o dopo che sono trascorse 24 ore dalla generazione, a seconda dell'evento che si verifica per primo.
  • Per i dispositivi ChromeOS, le chiavi private per i certificati vengono generate sul dispositivo ChromeOS. La chiave pubblica corrispondente viene archiviata temporaneamente sui server di Google ed eliminata definitivamente dopo l'installazione del certificato.

Requisiti di sistema

  • Servizio certificato Microsoft Active Directory per un server SCEP e servizio Registrazione dispositivi di rete (NDES) di Microsoft per la distribuzione dei certificati.
  • Dispositivi mobili:dispositivi iOS e Android soggetti alla gestione dispositivi mobili avanzata. Scopri di più sui requisiti dei dispositivi.
  • Dispositivi ChromeOS:
    • Certificati dei dispositivi: dispositivi ChromeOS 89 o versioni successive e gestiti con Chrome Enterprise
    • Certificati utente: ChromeOS 86 o versioni successive.
      Nota:per le versioni precedenti alla 87, gli utenti devono riavviare il dispositivo o attendere un paio d'ore perché venga eseguito il deployment del certificato.

Prima di iniziare

  • Se necessiti del certificato Nome soggetto per utilizzare i nomi utente di Active Directory, devi sincronizzare Active Directory e Google Directory tramite Google Cloud Directory Sync (GCDS). Se necessario, configura GCDS.
  • Se non hai già caricato un certificato CA nella Console di amministrazione Google, aggiungine uno.
  • Esamina i problemi noti per evitare comportamenti imprevisti.

Problemi noti

  • I certificati non possono essere revocati dopo essere stati installati su un dispositivo.
  • I profili SCEP non supportano le verifiche dinamiche.
  • In alcuni casi, l'ereditarietà del profilo SCEP tra le unità organizzative può interrompersi. Ad esempio, se imposti un profilo SCEP per un'unità organizzativa e modifichi il profilo SCEP di un'unità organizzativa secondaria, nessuno dei profili SCEP dell'unità organizzativa principale può essere ereditato di nuovo dall'unità organizzativa secondaria.
  • Per i dispositivi mobili, i profili SCEP non possono essere applicati a configurazioni di reti VPN o Ethernet, ma solo a reti Wi-Fi.
  • Per i dispositivi ChromeOS, i profili SCEP non possono essere applicati direttamente a configurazioni di reti VPN o Ethernet. Per applicare indirettamente un profilo SCEP a configurazioni VPN o Ethernet, utilizza i pattern dell'emittente o del soggetto per selezionare automaticamente il certificato da utilizzare.
  • Per gli utenti di dispositivi ChromeOS, il deployment dei certificati può essere eseguito solo per gli utenti che hanno eseguito l'accesso a un dispositivo gestito. L'utente e il dispositivo devono appartenere allo stesso dominio.

Passaggio 1: scarica Google Cloud Certificate Connector

Segui i passaggi illustrati di seguito sul server SCEP oppure su un computer Windows con un account autorizzato ad accedere al server SCEP come servizio. Tieni le credenziali dell'account a portata di mano.

Se la tua organizzazione ha diversi server, puoi utilizzare su tutti lo stesso agente di Certificate Connector. Scarica e installa il file di installazione, il file di configurazione e il file della chiave su un computer, come illustrato nei passaggi riportati di seguito. Successivamente, copia i tre file sull'altro computer e segui le istruzioni di configurazione su quel computer.

Nota:il download di Google Cloud Certificate Connector e dei relativi componenti deve essere effettuato soltanto una volta, al momento della configurazione iniziale dei certificati per l'organizzazione. I certificati e i profili SCEP possono condividere un singolo connettore di certificati.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiReti

    È necessario disporre del privilegio di amministratore Impostazioni dispositivi condivisi.

  2. Fai clic su SCEP sicuri e poiScarica connettore.
  3. Nella sezione Installa Google Cloud Certificate Connector, fai clic su Scarica.
  4. Nella pagina Google Cloud Certificate Connector, fai clic su Scarica per scaricare il file connector_installer.exe.
  5. Chiudi la pagina Grazie per aver scaricato Google Cloud Certificate Connector.
  6. Nella Console di amministrazione, nella sezione Scarica il file di configurazione del connettore, fai clic su Scarica per scaricare il file config.json.
  7. Nella sezione Genera una chiave service account, fai clic su Genera chiave per scaricare il file key.json.
  8. Esegui connector_installer.exe come amministratore.
    Nota: il programma di installazione registra il servizio del connettore con le credenziali predefinite (LocalService). In un secondo momento, puoi modificare il servizio in modo che venga eseguito come un service account diverso. Per farlo, vai alla directory di installazione del connettore ed esegui configtool.exe per aprire ConfigTool.
  9. Sposta il file di configurazione e quello della chiave (config.json e key.json) nella cartella di Google Cloud Certificate Connector creata durante l'installazione, che di solito si trova nel seguente percorso: C:\Programmi\Google Cloud Certificate Connector.
  10. Apri il servizio Google Cloud Certificate Connector:
    1. Apri Servizi di Windows.
    2. Seleziona Google Cloud Certificate Connector nell'elenco dei servizi.
    3. Fai clic su Avvia per avviare il servizio. Assicurati che lo stato passi a In esecuzione. Il servizio si riavvia automaticamente al riavvio del computer.

Se, in un secondo momento, scarichi una nuova chiave dell'account di servizio, riavvia il servizio per applicarla.

Passaggio 2: aggiungi un profilo SCEP

Un profilo SCEP definisce il certificato che consente agli utenti di accedere alla rete Wi-Fi o Ethernet o alla VPN. Puoi assegnare il profilo a utenti specifici aggiungendolo a un'unità organizzativa. Puoi configurare diversi profili SCEP per gestire gli accessi in base all'unità organizzativa e al tipo di dispositivo. Ti consigliamo di impostare un profilo SCEP separato per ogni unità organizzativa a cui vuoi applicare il profilo.

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiReti

    È necessario disporre del privilegio di amministratore Impostazioni dispositivi condivisi.

  2. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  3. Per SCEP sicuri, fai clic su Crea profilo SCEP sicuro. Se hai già creato un profilo SCEP, fai clic su SCEP sicuri e poiAggiungi profilo sicuro SCEP.

  4. Inserisci i dettagli di configurazione per il profilo. Se la CA pubblica un modello specifico, accertati che i dettagli del profilo corrispondano al modello.

    • Piattaforme a cui si applica questo profilo: le piattaforme dei dispositivi che utilizzano il profilo SCEP. Per i dispositivi ChromeOS, assicurati di selezionare Chromebook (utente), Chromebook (dispositivo) o entrambi, a seconda del tipo di certificato che vuoi implementare.
    • Nome del profilo SCEP: il nome che descrive il profilo. Il nome viene visualizzato nell'elenco dei profili e nel selettore dei profili della configurazione della rete Wi-Fi.
    • Formato del nome del soggetto: scegli come identificare il proprietario del certificato. Se selezioni Nome distinto completo, il nome comune (CN) del certificato corrisponde al nome utente.

    • Nome alternativo del soggetto: inserisci un SAN (Subject Alternative Name). Il valore predefinito è Nessuno. Per i dispositivi ChromeOS, puoi definire nomi alternativi dei soggetti in base agli attributi degli utenti e dei dispositivi. Per utilizzare una richiesta di firma del certificato (CSR) personalizzata, configura il modello di certificato nella CA in modo che sia richiesto e generato un certificato con i valori del soggetto definiti nella richiesta stessa. Come requisito minimo sarà necessario fornire un valore per il CommonName del soggetto.
      Puoi utilizzare i seguenti segnaposto. Tutti i valori sono facoltativi.

      • ${DEVICE_DIRECTORY_ID}: l'ID directory del dispositivo.
      • ${USER_EMAIL}: l'indirizzo email dell'utente che ha effettuato l'accesso.
      • ${USER_EMAIL_DOMAIN}: il nome di dominio dell'utente che ha effettuato l'accesso.
      • ${DEVICE_SERIAL_NUMBER}: il numero di serie del dispositivo.
      • ${DEVICE_ASSET_ID}: l'ID risorsa assegnato al dispositivo dall'amministratore.
      • ${DEVICE_ANNOTATED_LOCATION}: la posizione assegnata al dispositivo dall'amministratore.
      • ${USER_EMAIL_NAME}: la parte che precede il carattere "@" dell'indirizzo email dell'utente che ha eseguito l'accesso.

      Se un valore segnaposto non è disponibile, viene sostituito da una stringa vuota.

    • Algoritmo di firma: la funzione hash utilizzata per criptare la chiave di autorizzazione. L'unica opzione disponibile è SHA256 con RSA.

    • Utilizzo della chiave: opzioni relative alla modalità di utilizzo della chiave, della crittografia della chiave e della firma. Puoi selezionarne più di uno.

    • Dimensioni della chiave (bit): le dimensioni della chiave RSA. Per i dispositivi ChromeOS, seleziona 2048.

    • Per Sicurezza, seleziona il tipo di attestazione che verrà richiesto per i dispositivi connessi. Questa impostazione non si applica ai dispositivi mobili.

    • Nella sezione Attributi del server SCEP, configura i valori e le preferenze per il server SCEP.

      • URL del server SCEP: l'URL del server SCEP.
      • Periodo di validità del certificato (anni): periodo di tempo durante il quale il certificato del dispositivo è valido. Inserisci un numero.
      • Numero di giorni per il rinnovo: quanto tempo prima della scadenza del certificato del dispositivo è possibile effettuare un tentativo di rinnovo del certificato.
      • Utilizzo esteso della chiave: modalità di utilizzo della chiave. Puoi scegliere più di un valore.
      • Tipo di verifica: per richiedere a Google di fornire una frase di verifica specifica quando richiede un certificato al server SCEP, seleziona Statico e inserisci la frase. Se selezioni Nessuno, il server non richiederà questa verifica.
      • Nome modello: il nome del modello utilizzato dal server NDES.
      • Autorità di certificazione: il nome di un certificato che hai caricato per essere utilizzato come autorità di certificazione.
      • Tipo di rete a cui si applica questo profilo: il tipo di reti che utilizzano il profilo SCEP.
  5. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.

Una volta aggiunto, il profilo viene inserito nell'elenco insieme al nome e alle piattaforme per le quali è abilitato. Nella colonna Piattaforma, un'icona blu contrassegna le piattaforme per le quali il profilo è abilitato e un'icona grigia indica quelle per le quali non lo è. Per modificare un profilo, posiziona il puntatore del mouse sulla riga corrispondente e fai clic su Modifica .

Il profilo SCEP viene automaticamente distribuito agli utenti che appartengono all'unità organizzativa cui è associato.

Passaggio 3: configura l'archivio chiavi di Google Cloud Certificate Connector

Se il certificato è emesso da una CA attendibile o l'URL del server SCEP inizia con HTTP, salta questo passaggio.

Se il certificato non è stato emesso da un'autorità di certificazione attendibile, ad esempio un certificato autofirmato, devi importarlo nell'archivio chiavi di Google Cloud Certificate Connector. In caso contrario, il provisioning del certificato del dispositivo non potrà essere eseguito e il dispositivo non riuscirà a connettersi.

  1. Accedi alla tua CA.
  2. Se non è già installato, installa un ambiente Java JRE in modo da poter utilizzare keytool.exe.
  3. Apri un prompt dei comandi.

  4. Esporta il certificato CA e convertilo in un file PEM eseguendo questi comandi:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Importa il certificato CA nell'archivio chiavi. Dalla sottodirectory della cartella di Google Cloud Certificate Connector creata durante l'installazione, in genere C:\Programmi\Google Cloud Certificate Connector, esegui il seguente comando e sostituisci java-home-dir con il percorso al JRE nella cartella di Google Cloud Certificate Connector e cert-export-dir con il percorso del certificato che hai esportato nel passaggio 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

(Facoltativo) Passaggio 4: configura le reti in modo che richiedano il profilo SCEP

A seconda del tipo di rete, puoi configurarla in modo che richieda il profilo SCEP.

Richiedi il profilo SCEP per le reti Wi-Fi

Per controllare l'accesso alla rete Wi-Fi per i dispositivi mobili e ChromeOS, configura reti Wi-Fi separate per ciascuno. Ad esempio, configura una rete Wi-Fi per i dispositivi mobili e assegna un profilo SCEP per i dispositivi mobili. Poi, configura un'altra rete Wi-Fi per i dispositivi ChromeOS e assegna un profilo SCEP per i dispositivi ChromeOS.

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiReti

    È necessario disporre del privilegio di amministratore Impostazioni dispositivi condivisi.

  2. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  3. Per Wi-Fi, fai clic su Crea rete Wi-Fi. Se hai già configurato una rete Wi-Fi, fai clic su Wi-Fi e poiAggiungi Wi-Fi.
  4. Nella sezione Accesso piattaforme, seleziona le seguenti caselle in base alle esigenze: Android, iOS, Chromebook (per utente), Chromebook (per dispositivo) o Hardware Google Meet.
  5. Nella sezione Dettagli:
    1. Inserisci un nome e un SSID per la rete Wi-Fi.
    2. In Impostazioni di sicurezza, seleziona WPA/WPA2 Enterprise (802.1X) o WEP dinamico (802.1X).
    3. In Protocollo EAP, seleziona EAP-TLS o EAP-TTLS.
    4. Se hai selezionato EAP-TLS, in Tipo di provisioning, seleziona Profilo SCEP o Pattern certificato e poi scegli un'opzione:
      • In Profilo SCEP, seleziona il profilo SCEP che hai aggiunto nel passaggio 2.
      • Per Pattern certificato, inserisci un valore per URL di registrazione client e uno o più valori per Modello Emittente o Modello Oggetto.
    5. Inserisci i valori o seleziona le opzioni per gli altri dettagli del Wi-Fi di cui hai bisogno.
  6. Fai clic su Salva.
  7. Condividi con i tuoi utenti informazioni sulla connessione alla rete:
    • Il dispositivo deve fornire il certificato ogni volta che tenta di connettersi alla rete Wi-Fi.
    • Per i dispositivi Android e ChromeOS, il certificato corrispondente al profilo SCEP dell'utente e la rete vengono inseriti automaticamente, quindi l'utente deve solo fare clic su Connetti.
    • Sui dispositivi iOS, l'utente sceglie il certificato da utilizzare e poi fa clic su Connetti.

Richiedi il profilo SCEP per le reti Ethernet

Puoi controllare l'accesso alla rete Ethernet per i dispositivi ChromeOS. Configura la rete per i dispositivi e poi assegna un profilo SCEP.

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiReti

    È necessario disporre del privilegio di amministratore Impostazioni dispositivi condivisi.

  2. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  3. Per Ethernet, fai clic su Crea rete Ethernet. Se hai già configurato una rete Ethernet, fai clic su Ethernet e poiAggiungi Ethernet.
  4. Nella sezione Accesso piattaforme, seleziona le seguenti caselle in base alle tue esigenze: Chromebook (per utente), Chromebook (per dispositivo) o Hardware Google Meet.
  5. Nella sezione Dettagli:
    1. Inserisci un nome per la rete Ethernet.
    2. In Autenticazione, seleziona Enterprise (802.1X).
    3. In Protocollo EAP, seleziona EAP-TLS o EAP-TTLS.
    4. Se hai selezionato EAP-TLS, in Tipo di provisioning, seleziona Profilo SCEP o Pattern certificato e poi scegli un'opzione:
      • In Profilo SCEP, seleziona il profilo SCEP che hai aggiunto nel passaggio 2.
      • Per Pattern certificato, inserisci un valore per URL di registrazione client e uno o più valori per Modello Emittente o Modello Oggetto.
    5. Inserisci i valori o seleziona le opzioni per gli altri dettagli Ethernet che ti servono.
  6. Fai clic su Salva.
  7. Condividi con i tuoi utenti informazioni sulla connessione alla rete:
    • Il dispositivo deve fornire il certificato ogni volta che tenta di connettersi alla rete Ethernet.
    • Il certificato corrispondente al profilo SCEP e la rete vengono inseriti automaticamente sul dispositivo ChromeOS, quindi l'utente deve solo fare clic su Connetti.

Richiedi il profilo SCEP per le VPN

Puoi controllare l'accesso VPN per i dispositivi ChromeOS. Configura la rete per i dispositivi e poi assegna un profilo SCEP.

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiReti

    È necessario disporre del privilegio di amministratore Impostazioni dispositivi condivisi.

  2. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  3. Per VPN, fai clic su Crea rete VPN. Se hai già configurato una VPN, fai clic su VPN e poiAggiungi VPN.
  4. Nella sezione Accesso piattaforme, seleziona le seguenti caselle in base alle esigenze: Chromebook (per utente) o Chromebook (per dispositivo).
  5. Nella sezione Dettagli:
    1. Inserisci un nome e un host remoto per la VPN.
    2. Per Tipo VPN, seleziona il tipo di VPN che preferisci e inserisci i dettagli per quel tipo.
    3. Se hai selezionato OpenVPN e hai selezionato la casella Usa certificato client, per Tipo di provisioning, seleziona Profilo SCEP o Pattern certificato e poi scegli un'opzione:
      • In Profilo SCEP, seleziona il profilo SCEP che hai aggiunto nel passaggio 2.
      • Per Pattern certificato, inserisci un valore per URL di registrazione client e uno o più valori per Modello Emittente o Modello Oggetto.
    4. Inserisci i valori o seleziona le opzioni per gli altri dettagli della VPN di cui hai bisogno.
  6. Fai clic su Salva.
  7. Condividi con i tuoi utenti informazioni sulla connessione alla rete:
    • Il dispositivo deve fornire il certificato ogni volta che tenta di connettersi alla VPN.
    • Il certificato corrispondente al profilo SCEP e la rete vengono inseriti automaticamente sul dispositivo ChromeOS, quindi l'utente deve solo fare clic su Connetti.

Come funziona l'autenticazione mediante certificato con Google Cloud Certificate Connector

Google Cloud Certificate Connector è un servizio Windows che stabilisce una connessione esclusiva tra il server SCEP e Google. Il connettore di certificati è configurato e reso sicuro mediante un file di configurazione e un file della chiave, entrambi riservati esclusivamente alla tua organizzazione.

Per assegnare certificati dei dispositivi ai dispositivi e agli utenti, devi utilizzare i profili SCEP. Per assegnare un profilo, scegli un'unità organizzativa e aggiungi il profilo a quell'unità. Il profilo include l'autorità di certificazione che emette i certificati dei dispositivi. Quando un utente registra il suo dispositivo mobile o ChromeOS per la gestione, la gestione degli endpoint Google recupera il profilo SCEP dell'utente e installa il certificato sul suo dispositivo. Per i dispositivi ChromeOS, il certificato del dispositivo viene installato prima dell'accesso dell'utente, mentre il certificato dell'utente viene installato dopo l'accesso. Se il dispositivo è già registrato, il certificato viene installato nell'ambito di un normale ciclo di sincronizzazione.

Quando un utente tenta di connettersi alla rete, gli viene richiesto di fornire il certificato. Sui dispositivi Android, il certificato viene selezionato automaticamente e l'utente può fare semplicemente clic su Connetti. Sui dispositivi iOS, l'utente deve selezionare il certificato manualmente e poi connettersi. Il dispositivo accede alla rete dell'organizzazione utilizzando una chiave negoziata da Google tramite il connettore dei certificati. Google memorizza temporaneamente la chiave durante la negoziazione di sicurezza, ma la elimina una volta che è stata installata sul dispositivo (o trascorse 24 ore dalla sua generazione).


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.