Configurar certificados para dispositivos móveis e ChromeOS gerenciados

Dispositivos móveis:Edições compatíveis com este recurso: Frontline Standard e Frontline Plus, Enterprise Standard e Enterprise Plus, Education Standard, Education Plus e Endpoint Education Upgrade, Cloud Identity Premium. Comparar sua edição

Dispositivos ChromeOS: o Chrome Enterprise é necessário para certificados baseados em dispositivos.

Para controlar o acesso dos usuários às redes Wi-Fi e Ethernet, redes privadas virtuais (VPNs) e apps e sites internos da sua organização em dispositivos móveis e ChromeOS, distribua certificados da autoridade certificadora (CA) local. O Conector de Certificação do Google Cloud é um serviço do Windows que distribui com segurança certificados e chaves de autenticação do servidor de Protocolo de Inscrição de Certificado Simples (SCEP, na sigla em inglês) para os dispositivos móveis e ChromeOS dos usuários. Para mais detalhes, acesse Como funciona a autenticação de certificado pelo Conector de certificação do Google Cloud nesta página.

Nos dispositivos ChromeOS, você pode configurar certificados de usuário ou dispositivo. Um certificado de usuário é adicionado a um dispositivo para um usuário específico e pode ser acessado por essa pessoa. Um certificado de dispositivo é atribuído com base no dispositivo e pode ser acessado por qualquer usuário que tenha feito login nele. Para mais detalhes, acesse Gerenciar certificados do cliente em dispositivos Chrome.

Se você quiser controlar o acesso à rede Wi-Fi nos dispositivos móveis e ChromeOS, será necessário configurar perfis SCEP e redes Wi-Fi separados, porque os dispositivos móveis e os dispositivos ChromeOS são compatíveis com diferentes tipos de chave RSA.

Observações sobre o armazenamento de chaves:

  • Nos dispositivos móveis, as chaves privadas dos certificados são geradas nos servidores do Google. Elas são removidas dos servidores do Google depois da instalação do certificado no dispositivo ou em 24 horas, o que ocorrer primeiro.
  • Nos dispositivos ChromeOS, as chaves privadas dos certificados são geradas no dispositivo ChromeOS. A chave pública correspondente é armazenada temporariamente nos servidores do Google e limpa após a instalação do certificado.

Requisitos do sistema

  • Serviço de Certificado do Microsoft Active Directory para um servidor SCEP e o Serviço de Registro de Dispositivo de Rede (NDES, na sigla em inglês) da Microsoft para distribuir certificados.
  • Dispositivos móveis:dispositivos iOS e Android no gerenciamento avançado de dispositivos móveis. Saiba mais sobre os requisitos dos dispositivos.
  • Dispositivos ChromeOS:
    • Certificados dos dispositivos: ChromeOS versão 89 ou mais recente e gerenciados com o Chrome Enterprise
    • Certificados dos usuários: ChromeOS versão 86 ou mais recente.
      Observação:nas versões anteriores ao Chrome 87, os usuários precisam reiniciar o dispositivo ou aguardar algumas horas até o certificado de usuário ser implantado.

Antes de começar

  • Se você precisar do nome do assunto do certificado para usar nomes de usuário do Active Directory, será necessário sincronizar o Active Directory e o Google Directory com o Google Cloud Directory Sync (GCDS). Se necessário, configure o GCDS.
  • Se você ainda não tiver enviado um certificado de CA no Google Admin Console, adicione um certificado.
  • Analise os problemas conhecidos para evitar comportamentos inesperados.

Problemas conhecidos

  • Não é possível revogar os certificados após a instalação em um dispositivo.
  • Os perfis do SCEP não são compatíveis com desafios dinâmicos.
  • A herança de perfis do SCEP entre unidades organizacionais pode ser dividida em alguns casos. Por exemplo, se você definir um perfil do SCEP para uma unidade organizacional e mudar o perfil do SCEP de uma unidade organizacional filha, nenhum desses perfis na unidade organizacional mãe poderá ser herdado pela unidade organizacional filha.
  • Nos dispositivos móveis, não é possível aplicar perfis do SCEP a configurações de VPN ou Ethernet. Eles só podem ser aplicados à rede Wi-Fi.
  • Nos dispositivos ChromeOS, não é possível aplicar perfis do SCEP diretamente a configurações de VPN ou Ethernet. Se você quiser aplicar indiretamente um perfil do SCEP a configurações de VPN ou Ethernet, use padrões do emissor ou de assunto para selecionar um certificado de forma automática.
  • Para os usuários de dispositivos ChromeOS, os certificados só poderão ser implantados se o usuário tiver feito login em um dispositivo gerenciado. O usuário e o dispositivo precisam pertencer ao mesmo domínio.

Etapa 1: fazer o download do Conector de Certificação do Google Cloud

Siga as etapas abaixo no servidor SCEP ou em um computador Windows com uma conta que possa fazer login como um serviço no servidor SCEP. Tenha as credenciais da conta disponíveis.

Caso sua organização tenha vários servidores, você poderá usar o mesmo agente do conector de certificação em todos eles. Faça o download e a instalação do arquivo de instalação, do arquivo de configuração e do arquivo de chave em um computador seguindo as etapas abaixo. Em seguida, copie esses três arquivos para o outro computador e siga as instruções de configuração nele.

Observação:você faz o download do Conector de Certificação do Google Cloud e dos respectivos componentes apenas quando configura os certificados para sua organização. Seus certificados e perfis SCEP podem compartilhar um único conector de certificação.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisRedes

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  2. Clique em SCEP seguro e depoisFazer o download do conector.
  3. Na seção Instalar o Conector de Certificação do Google Cloud, clique em Fazer o download.
  4. Na página Conector de Certificação do Google Cloud, clique em Fazer o download para baixar o arquivo connector_installer.exe.
  5. Feche a página Agradecemos por fazer o download do Conector de Certificação do Google Cloud!.
  6. No Admin Console, na seção Fazer download do arquivo de configuração do conector, clique em Fazer download para baixar o arquivo config.json.
  7. Na seção Gerar uma chave da conta de serviço, clique em Gerar chave para baixar o arquivo key.json.
  8. Execute connector_installer.exe como administrador.
    Observação: o instalador registra o serviço do conector com credenciais padrão (LocalService). Depois, você pode mudar o serviço para ser executado como uma conta de serviço diferente. Para isso, acesse o diretório de instalação do conector e execute configtool.exe para abrir a ConfigTool.
  9. Mova os arquivos de configuração e de chave (config.json e key.json) para a pasta "Google Cloud Certificate Connector" criada durante a instalação. Essa pasta geralmente fica em: C:\Arquivos de Programas\Google Cloud Certificate Connector.
  10. Abra o serviço do Conector de Certificação do Google Cloud:
    1. Abra os Serviços do Windows.
    2. Selecione Conector de Certificação do Google Cloud na lista de serviços.
    3. Clique em Iniciar para iniciar o serviço. Confirme que o status mudou para Em execução. O serviço será reiniciado automaticamente se o computador for reinicializado.

Se você fizer o download de uma nova chave de conta de serviço mais tarde, reinicie o serviço para aplicá-la.

Etapa 2: adicionar um perfil do SCEP

O perfil do SCEP define o certificado que permite aos usuários acessar a rede Wi-Fi ou Ethernet ou a VPN. Para atribuir o perfil a usuários, você o adiciona a uma unidade organizacional. Você pode configurar vários perfis do SCEP para gerenciar o acesso por unidade organizacional e tipo de dispositivo. Recomendamos que você defina um perfil do SCEP separado para cada unidade organizacional em que o perfil será aplicado.

Antes de começar:se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisRedes

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  2. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  3. Em SCEP seguro, clique em Criar perfil seguro do SCEP. Se você já tiver criado um perfil do SCEP, clique em SCEP seguro e depoisAdicionar perfil seguro do SCEP.

  4. Digite os detalhes de configuração do perfil. Se a AC emitir um modelo específico, use os mesmos detalhes do perfil no modelo.

    • Plataformas que usam este perfil: as plataformas de dispositivos que usam o perfil do SCEP. Nos dispositivos ChromeOS, marque Chromebook (usuário), Chromebook (dispositivo) ou essa duas opções (dependendo do tipo de certificado que você quer implantar).
    • Nome do perfil do SCEP: um nome descritivo para o perfil. O nome é mostrado na lista de perfis e no seletor de perfil na configuração de rede Wi-Fi.
    • Formato do nome do assunto: escolha uma forma de identificar o proprietário do certificado. Se você selecionar Nome distinto completo, o nome comum do certificado será o nome de usuário.

    • Nome alternativo do assunto: informe um nome alternativo. O padrão é Nenhum. Nos dispositivos ChromeOS, você pode definir nomes alternativos do assunto com base nos atributos do usuário e do dispositivo. Para usar uma solicitação de assinatura de certificado (CSR) personalizada, configure o modelo de certificado na CA para receber e gerar um certificado com os valores do assunto definidos na solicitação. É necessário adicionar pelo menos um valor ao campo "CommonName".
      É possível usar os marcadores a seguir. Todos os valores são opcionais.

      • ${DEVICE_DIRECTORY_ID}: ID de diretório do dispositivo
      • ${USER_EMAIL}: endereço de e-mail do usuário que fez login
      • ${USER_EMAIL_DOMAIN}: nome de domínio do usuário que fez login
      • ${DEVICE_SERIAL_NUMBER}: número de série do dispositivo
      • ${DEVICE_ASSET_ID}: ID do recurso atribuído ao dispositivo pelo administrador
      • ${DEVICE_ANNOTATED_LOCATION}: local atribuído ao dispositivo pelo administrador
      • ${USER_EMAIL_NAME}: primeira parte (antes de @) do endereço de e-mail do usuário que fez login

      Se um marcador não estiver disponível, ele será substituído por uma string vazia.

    • Algoritmo de assinatura: a função hash usada para criptografar a chave de autorização. Somente SHA256 com RSA está disponível.

    • Uso da chave: opções de como usar a chave, a codificação e a assinatura. Você pode selecionar mais de uma.

    • Tamanho da chave (bits): o tamanho da chave RSA. Nos dispositivos ChromeOS, selecione 2048.

    • Em Segurança, selecione o tipo de comprovação que será exigido para dispositivos conectados. Essa configuração não se aplica a dispositivos móveis.

    • Na seção Atributos do servidor SCEP, configure valores e preferências para o servidor SCEP.

      • URL do servidor SCEP: o URL do servidor SCEP.
      • Período de validade do certificado (anos): por quanto tempo o certificado do dispositivo é válido. Digite um número.
      • Renovar em alguns dias: quanto tempo antes da expiração deve ocorrer a tentativa de renovação do certificado.
      • Uso estendido de chave: como a chave pode ser usada. Você pode escolher mais de um valor.
      • Tipo de desafio: para exigir que o Google apresente uma frase de desafio ao solicitar um certificado do servidor SCEP, selecione Estático e digite a frase. Se você selecionar Nenhum, o servidor não exigirá essa verificação.
      • Nome do modelo: o nome do modelo usado pelo servidor NDES.
      • Autoridade de certificação: o nome de um certificado que você enviou para usar como autoridade de certificação.
      • Tipo de rede que usa este perfil: o tipo de rede que usa o perfil SCEP.
  5. Clique em Salvar. Ou clique em Substituir em uma unidade organizacional.

    Para restaurar depois o valor herdado, clique em Herdar.

Depois que você adiciona um perfil, ele é listado com o nome e as plataformas em que está ativado. Na coluna Plataforma, o perfil é ativado para plataformas com ícones azuis e desativado para plataformas com ícones cinza. Para editar um perfil, passe o cursor sobre a linha e clique em Editar .

O perfil do SCEP é distribuído automaticamente para os usuários na unidade organizacional.

Etapa 3: configurar o keystore do Conector de Certificação do Google Cloud

Se o certificado for emitido por uma CA confiável ou o URL do servidor SCEP começar com HTTP, pule esta etapa.

Se o certificado não for emitido por uma CA confiável, como um certificado autoassinado, será necessário importá-lo para o keystore do Conector de certificação do Google Cloud. Caso contrário, o certificado não poderá ser provisionado, e o dispositivo não poderá se conectar.

  1. Faça login na CA.
  2. Se um JRE Java ainda não estiver instalado, instale um para usar o keytool.exe.
  3. Abra um prompt de comando.

  4. Exporte e converta o certificado de CA em um arquivo PEM executando estes comandos:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Importe o certificado de CA para o keystore. No subdiretório da pasta do Conector de certificação do Google Cloud criado durante a instalação, normalmente C:\Arquivos de Programas\Google Cloud Certificate Connector, execute este comando e substitua java-home-dir pelo caminho para o JRE na pasta do Conector de certificação do Google Cloud e cert-export-dir pelo caminho do certificado exportado na etapa 4: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

Etapa 4: configurar redes para exigir o perfil do SCEP (opcional)

Dependendo do tipo de rede, é possível configurar para exigir o perfil do SCEP.

Exigir perfil do SCEP para redes Wi-Fi

Para controlar o acesso à rede Wi-Fi nos dispositivos móveis e Chrome OS, configure redes Wi-Fi separadas para cada um deles. Por exemplo, configure uma rede Wi-Fi para dispositivos móveis e atribua um perfil SCEP a esses dispositivos. Em seguida, configure outra rede Wi-Fi para dispositivos ChromeOS e atribua um perfil SCEP a esses dispositivos.

Antes de começar:se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisRedes

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  2. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  3. Para Wi-Fi, clique em Criar rede Wi-Fi. Se você já tiver configurado uma rede Wi-Fi, clique em Wi-Fi e depoisAdicionar Wi-Fi.
  4. Na seção Acesso à plataforma, marque as seguintes caixas conforme necessário: Android, iOS, Chromebooks (por usuário), Chromebooks (por dispositivo) ou dispositivos do Google Meet.
  5. Na seção Detalhes:
    1. Insira um nome e um SSID para a rede Wi-Fi.
    2. Em Configurações de segurança, selecione WPA/WPA2 Enterprise (802.1X) ou Dynamic WEP (802.1X).
    3. Em Protocolo de autenticação extensível, selecione EAP-TLS ou EAP-TTLS.
    4. Se você selecionou EAP-TLS, em Tipo de provisionamento, selecione Perfil do SCEP ou Padrão de certificado e escolha uma opção:
      • Em Perfil do SCEP, selecione o perfil que você adicionou na etapa 2.
      • Em Padrão de certificado, insira um valor para URLs de registro de cliente e um ou mais valores para Padrão de emissor ou Padrão de assunto.
    5. Insira valores ou selecione opções para outros detalhes de Wi-Fi necessários.
  6. Clique em Salvar.
  7. Compartilhe informações com seus usuários sobre como se conectar à rede:
    • O dispositivo precisa fornecer o certificado sempre que o usuário tentar se conectar à rede Wi-Fi.
    • Nos dispositivos Android e ChromeOS, o certificado correspondente ao perfil do SCEP e à rede do usuário é inserido automaticamente. Basta clicar em Conectar.
    • Nos dispositivos iOS, o usuário escolhe o certificado e clica em Conectar.

Exigir perfil do SCEP para redes Ethernet

Você pode controlar o acesso à rede Ethernet para dispositivos ChromeOS. Você configura a rede para os dispositivos e atribui um perfil do SCEP a ela.

Antes de começar:se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisRedes

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  2. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  3. Em Ethernet, clique em Criar rede Ethernet. Se você já tiver configurado uma rede Ethernet, clique em Ethernet e depoisAdicionar Ethernet.
  4. Na seção Acesso à plataforma, marque as seguintes caixas conforme necessário: Chromebooks (por usuário), Chromebooks (por dispositivo) ou dispositivos do Google Meet.
  5. Na seção Detalhes:
    1. Digite um nome para a rede Ethernet.
    2. Em Autenticação, selecione Enterprise (802.1X).
    3. Em Protocolo de autenticação extensível, selecione EAP-TLS ou EAP-TTLS.
    4. Se você selecionou EAP-TLS, em Tipo de provisionamento, selecione Perfil do SCEP ou Padrão de certificado e escolha uma opção:
      • Em Perfil do SCEP, selecione o perfil que você adicionou na etapa 2.
      • Em Padrão de certificado, insira um valor para URLs de registro de cliente e um ou mais valores para Padrão de emissor ou Padrão de assunto.
    5. Insira valores ou selecione opções para outros detalhes de Ethernet que você precisa.
  6. Clique em Salvar.
  7. Compartilhe informações com seus usuários sobre como se conectar à rede:
    • O dispositivo precisa fornecer o certificado sempre que tentar se conectar à rede Ethernet.
    • O certificado correspondente ao perfil do SCEP e à rede é inserido automaticamente no dispositivo ChromeOS. Basta clicar em Conectar.

Exigir perfil do SCEP para VPNs

Você pode controlar o acesso à VPN para dispositivos ChromeOS. Você configura a rede para os dispositivos e atribui um perfil do SCEP a ela.

Antes de começar:se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisRedes

    Exige o privilégio de administrador Configurações do dispositivo compartilhado.

  2. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  3. Para VPN, clique em Criar rede VPN. Se você já tiver configurado uma VPN, clique em VPN e depoisAdicionar VPN.
  4. Na seção Acesso à plataforma, marque as caixas necessárias: Chromebooks (por usuário) ou Chromebooks (por dispositivo).
  5. Na seção Detalhes:
    1. Insira um nome e um host remoto para a VPN.
    2. Em Tipo de VPN, selecione o tipo de VPN desejado e insira os detalhes dele.
    3. Se você selecionou OpenVPN e marcou a caixa Usar certificado do cliente, em Tipo de provisionamento, selecione Perfil do SCEP ou Padrão de certificado e escolha uma opção:
      • Em Perfil do SCEP, selecione o perfil que você adicionou na etapa 2.
      • Em Padrão de certificado, insira um valor para URLs de registro de cliente e um ou mais valores para Padrão de emissor ou Padrão de assunto.
    4. Insira valores ou selecione opções para outros detalhes da VPN que você precisa.
  6. Clique em Salvar.
  7. Compartilhe informações com seus usuários sobre como se conectar à rede:
    • O dispositivo precisa fornecer o certificado sempre que o usuário tentar se conectar à VPN.
    • O certificado correspondente ao perfil do SCEP e à rede é inserido automaticamente no dispositivo ChromeOS. Basta clicar em Conectar.

Como funciona a autenticação de certificado pelo Conector de Certificação do Google Cloud

O Conector de Certificação do Google Cloud é um serviço do Windows que estabelece uma conexão exclusiva entre o servidor do SCEP e o Google. O conector de certificado é configurado e protegido por um arquivo de configuração e um arquivo de chave, ambos dedicados somente à sua organização.

Você atribui certificados a dispositivos e usuários com perfis do SCEP. Para atribuir um perfil, escolha uma unidade organizacional e adicione o perfil a ela. O perfil inclui a autoridade de certificação que emite os certificados dos dispositivos. Quando um usuário inscreve um dispositivo móvel ou ChromeOS para gerenciamento, o gerenciamento de endpoints do Google busca o perfil do SCEP e instala o certificado no dispositivo. Nos dispositivos ChromeOS, um certificado é instalado antes do login, e um certificado de usuário é instalado depois que o usuário faz login. Se o dispositivo já estiver registrado, o certificado será instalado como parte de um ciclo de sincronização.

Quando um usuário tenta se conectar à sua rede, ele precisa apresentar o certificado. Nos dispositivos Android, o certificado é selecionado automaticamente e o usuário clica em Conectar. Nos dispositivos iOS, o usuário precisa selecionar o certificado manualmente e se conectar. O dispositivo acessa a rede da sua organização usando uma chave negociada pelo Google pelo conector de certificação. O Google armazena temporariamente a chave durante a negociação de segurança, mas a limpa depois de instalada no dispositivo (ou após 24 horas).


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.