Настройка сертификатов для управляемых мобильных устройств и устройств ChromeOS.

Мобильные устройства: Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Standard и Enterprise Plus; Education Standard, Education Plus и Endpoint Education Upgrade; Cloud Identity Premium. Сравните вашу версию.

Для устройств ChromeOS требуется Chrome Enterprise для сертификатов, привязанных к устройству.

Вы можете контролировать доступ пользователей к сетям Wi-Fi и Ethernet вашей организации, виртуальным частным сетям (VPN), а также внутренним приложениям и веб-сайтам на мобильных устройствах и устройствах ChromeOS, распространяя сертификаты от вашего локального центра сертификации (CA). Google Cloud Certificate Connector — это служба Windows, которая безопасно распространяет сертификаты и ключи аутентификации с вашего сервера протокола Simple Certificate Enrollment Protocol (SCEP) на мобильные устройства и устройства ChromeOS пользователей. Подробнее см. раздел «Как работает аутентификация с помощью сертификатов через Google Cloud Certificate Connector» на этой странице.

Для устройств ChromeOS можно настроить сертификаты на основе пользователя или на основе устройства. Сертификат пользователя добавляется к устройству для конкретного пользователя и доступен только этому пользователю. Сертификат устройства назначается на основе самого устройства и доступен любому пользователю, вошедшему в систему на этом устройстве. Для получения более подробной информации перейдите в раздел «Управление клиентскими сертификатами на устройствах Chrome» .

Если вы хотите контролировать доступ к сети Wi-Fi как для мобильных устройств, так и для устройств ChromeOS, вам потребуется настроить отдельные профили SCEP и сети Wi-Fi, поскольку мобильные устройства и устройства ChromeOS поддерживают разные типы ключей RSA.

Примечания по хранению ключей:

  • Для мобильных устройств закрытые ключи для сертификатов генерируются на серверах Google. Ключи удаляются с серверов Google после установки сертификата на устройство или через 24 часа, в зависимости от того, что наступит раньше.
  • Для устройств ChromeOS закрытые ключи для сертификатов генерируются на самом устройстве ChromeOS. Соответствующий открытый ключ временно хранится на серверах Google и удаляется после установки сертификата.

Системные требования

  • Для сервера SCEP используется служба сертификатов Microsoft Active Directory, а для распространения сертификатов — служба регистрации сетевых устройств Microsoft (NDES).
  • Мобильные устройства: устройства iOS и Android в рамках расширенного управления мобильными устройствами . Узнайте больше о требованиях к устройствам .
  • Устройства ChromeOS:
    • Сертификаты устройства: ChromeOS версии 89 или более поздней, управляемые с помощью Chrome Enterprise.
    • Сертификаты пользователя: ChromeOS версии 86 или более поздней.
      Примечание: Для версий ниже 87 пользователям необходимо перезагрузить устройство или подождать несколько часов, пока будет развернут пользовательский сертификат.

Прежде чем начать

  • Если вам необходимо, чтобы имя субъекта сертификата использовало имена пользователей Active Directory, необходимо синхронизировать Active Directory и Google Directory с помощью Google Cloud Directory Sync (GCDS). При необходимости настройте GCDS .
  • Если вы еще не загрузили сертификат центра сертификации (CA) в консоль администратора Google, добавьте его .
  • Проанализируйте известные проблемы, чтобы избежать непредвиденных ситуаций.

Известные проблемы

  • Сертификаты нельзя отозвать после их установки на устройство.
  • Профили SCEP не поддерживают динамические задачи.
  • В некоторых случаях наследование профилей SCEP между организационными подразделениями может нарушаться. Например, если вы задали профиль SCEP для организационного подразделения и изменили профиль SCEP дочернего организационного подразделения, ни один из профилей SCEP родительского организационного подразделения не сможет быть унаследован дочерним организационным подразделением.
  • Для мобильных устройств профили SCEP нельзя применять к конфигурациям VPN или Ethernet, только к Wi-Fi.
  • Для устройств ChromeOS профили SCEP нельзя напрямую применять к конфигурациям VPN или Ethernet. Чтобы косвенно применить профиль SCEP к конфигурациям VPN или Ethernet, используйте шаблоны издателя или субъекта для автоматического выбора используемого сертификата.
  • Для пользователей устройств ChromeOS сертификаты могут быть развернуты только для пользователей, вошедших в систему на управляемом устройстве. Пользователь и устройство должны принадлежать к одному домену.

Шаг 1: Загрузите коннектор сертификатов Google Cloud.

Выполните следующие действия на сервере SCEP или на компьютере с операционной системой Windows, используя учетную запись, которая может входить в систему как служба на сервере SCEP. Подготовьте учетные данные этой учетной записи.

Если в вашей организации несколько серверов, вы можете использовать один и тот же агент подключения сертификатов на всех из них. Загрузите и установите установочный файл, файл конфигурации и файл ключа на одном компьютере, как описано в следующих шагах. Затем скопируйте эти три файла на другой компьютер и следуйте инструкциям по установке на этом компьютере.

Примечание: Вы загружаете Google Cloud Certificate Connector и его компоненты только один раз, при первой настройке сертификатов для вашей организации. Ваши сертификаты и профили SCEP могут использовать один и тот же коннектор сертификатов.

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Сети .

    Для этого требуются права администратора настроек общего доступа к устройству .

  2. Нажмите «Защищенный SCEP» а потом Скачать коннектор .
  3. В разделе «Установка коннектора сертификата Google Cloud» нажмите « Загрузить» .
  4. На странице Google Cloud Certificate Connector нажмите «Загрузить» , чтобы скачать файл connector_installer.exe.
  5. Закройте страницу «Спасибо за загрузку Google Cloud Certificate Connector!» .
  6. В консоли администратора в разделе «Загрузка файла конфигурации коннектора» нажмите «Загрузить» , чтобы загрузить файл config.json.
  7. В разделе «Получить ключ учетной записи службы» нажмите «Сгенерировать ключ» , чтобы загрузить файл key.json.
  8. Запустите connector_installer.exe от имени администратора.
    Примечание : Установщик регистрирует службу коннектора с учетными данными по умолчанию (LocalService). Позже вы можете изменить учетную запись службы, чтобы она работала под другой учетной записью. Для этого перейдите в каталог установки коннектора и запустите configtool.exe , чтобы открыть ConfigTool.
  9. Переместите файлы конфигурации и ключа (config.json и key.json) в папку Google Cloud Certificate Connector, созданную во время установки, обычно это: C:\Program Files\Google Cloud Certificate Connector.
  10. Откройте службу Google Cloud Certificate Connector:
    1. Откройте службы Windows.
    2. Выберите Google Cloud Certificate Connector в списке сервисов.
    3. Нажмите кнопку «Пуск» , чтобы запустить службу. Убедитесь, что ее статус изменился на «Работает» . Служба автоматически перезапускается при перезагрузке компьютера.

Если вы позже загрузите новый ключ учетной записи службы, перезапустите службу, чтобы применить его.

Шаг 2: Добавьте профиль SCEP.

Профиль SCEP определяет сертификат, который позволяет пользователям получать доступ к вашей сети Wi-Fi, Ethernet или VPN. Вы назначаете профиль конкретным пользователям, добавляя его в организационное подразделение. Вы можете настроить несколько профилей SCEP для управления доступом по организационному подразделению и типу устройства. Мы рекомендуем создавать отдельный профиль SCEP для каждого организационного подразделения, к которому вы хотите применить этот профиль.

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Сети .

    Для этого требуются права администратора настроек общего доступа к устройству .

  2. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  3. Для Secure SCEP нажмите «Создать профиль Secure SCEP» . Если вы уже создали профиль SCEP, нажмите «Secure SCEP». а потом Добавить защищенный профиль SCEP .

  4. Введите параметры конфигурации профиля. Если ваш центр сертификации использует определенный шаблон, сопоставьте параметры профиля с этим шаблоном.

    • Платформы, к которым применяется этот профиль — платформы устройств, использующих профиль SCEP. Для устройств ChromeOS убедитесь, что вы выбрали Chromebook (пользователь) , Chromebook (устройство) или оба варианта, в зависимости от типа сертификата, который вы хотите развернуть.
    • Имя профиля SCEP — описательное имя для профиля. Имя отображается в списке профилей и в селекторе профилей в настройках сети Wi-Fi.
    • Формат имени субъекта — выберите способ идентификации владельца сертификата. Если вы выберете «Полное отличительное имя» , общим именем сертификата будет имя пользователя.

    • Альтернативное имя субъекта — Укажите SAN. По умолчанию — None . Для устройств ChromeOS можно определить альтернативные имена субъекта на основе атрибутов пользователя и устройства. Чтобы использовать пользовательский запрос на подписание сертификата (CSR), настройте шаблон сертификата в центре сертификации так, чтобы он ожидал и генерировал сертификат со значениями субъекта, определенными в самом запросе. Как минимум, необходимо указать значение для CommonName субъекта.
      Вы можете использовать следующие заполнители. Все значения являются необязательными.

      • ${DEVICE_DIRECTORY_ID} — Идентификатор каталога устройства
      • ${USER_EMAIL} — Адрес электронной почты вошедшего в систему пользователя
      • ${USER_EMAIL_DOMAIN} — Доменное имя вошедшего в систему пользователя
      • ${DEVICE_SERIAL_NUMBER} — Серийный номер устройства
      • ${DEVICE_ASSET_ID} — Идентификатор актива, присвоенный устройству администратором.
      • ${DEVICE_ANNOTATED_LOCATION} — Местоположение, назначенное устройству администратором.
      • ${USER_EMAIL_NAME} — Первая часть (часть до символа @) адреса электронной почты вошедшего в систему пользователя.

      Если значение-заполнитель недоступно, оно заменяется пустой строкой.

    • Алгоритм подписи — хеш-функция, используемая для шифрования ключа авторизации. Доступен только алгоритм SHA256 с RSA.

    • Использование ключа — Варианты использования ключа, шифрования ключа и подписи. Можно выбрать несколько вариантов.

    • Размер ключа (биты) — размер ключа RSA. Для устройств ChromeOS выберите 2048.

    • В разделе «Безопасность» выберите тип аттестации, который потребуется для подключенных устройств. Этот параметр не применяется к мобильным устройствам.

    • В разделе атрибутов SCEP-сервера настройте значения и параметры для SCEP-сервера.

      • URL SCEP-сервера — URL SCEP-сервера.
      • Срок действия сертификата (лет) — как долго действует сертификат устройства. Введите числом.
      • Обновить в течение нескольких дней — За сколько дней до истечения срока действия сертификата устройства следует попытаться его обновить?
      • Расширенные возможности использования ключа — Как можно использовать ключ. Вы можете выбрать более одного значения.
      • Тип проверки — Чтобы обязать Google предоставлять указанную фразу проверки при запросе сертификата у SCEP-сервера, выберите «Статический» и введите фразу. Если вы выберете «Нет» , сервер не потребует этой проверки.
      • Имя шаблона — имя шаблона, используемого вашим сервером NDES.
      • Центр сертификации — имя сертификата, который вы загрузили для использования в качестве центра сертификации.
      • Тип сети, к которому применяется этот профиль — Типы сетей, использующих профиль SCEP.
  5. Нажмите «Сохранить». Или вы можете нажать «Переопределить» для организационной единицы.

    Чтобы впоследствии восстановить унаследованное значение, нажмите кнопку «Наследовать» .

После добавления профиля он отображается в списке с его названием и платформами, на которых он включен. В столбце «Платформа» профиль включен для платформ с синими значками и отключен для платформ с серыми значками. Чтобы отредактировать профиль, наведите указатель мыши на строку и нажмите «Редактировать». .

Профиль SCEP автоматически распространяется среди пользователей в организационном подразделении.

Шаг 3: Настройка хранилища ключей для коннектора сертификатов Google Cloud.

Если ваш сертификат выдан доверенным центром сертификации или URL-адрес вашего SCEP-сервера начинается с HTTP, пропустите этот шаг.

Если ваш сертификат выдан не доверенным центром сертификации, например, является самоподписанным, вам необходимо импортировать сертификат в хранилище ключей Google Cloud Certificate Connector. В противном случае сертификат устройства не может быть предоставлен, и устройство не сможет подключиться.

  1. Войдите в свой центр сертификации.
  2. Если среда выполнения Java (JRE) еще не установлена, установите ее, чтобы иметь возможность использовать keytool.exe.
  3. Откройте командную строку.

  4. Экспортируйте свой сертификат центра сертификации и преобразуйте его в файл PEM, выполнив следующие команды:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. Импортируйте сертификат центра сертификации в хранилище ключей. Из подкаталога папки Google Cloud Certificate Connector, созданной во время установки (обычно C:\Program Files\Google Cloud Certificate Connector), выполните следующую команду, заменив java-home-dir на путь к JRE в папке Google Cloud Certificate Connector и cert-export-dir на путь к сертификату, экспортированному на шаге 4: java-home-dir \bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir \cacert.pem ‑storepass changeit

Шаг 4: Настройка сетей для обязательного использования профиля SCEP (необязательно)

В зависимости от типа сети, можно настроить её таким образом, чтобы требовался профиль SCEP.

Для сетей Wi-Fi требуется профиль SCEP.

Для управления доступом к сети Wi-Fi как для мобильных устройств, так и для устройств ChromeOS, настройте отдельные сети Wi-Fi для каждого из них. Например, настройте одну сеть Wi-Fi для мобильных устройств и назначьте ей профиль SCEP для мобильных устройств. Затем настройте другую сеть Wi-Fi для устройств ChromeOS и назначьте ей профиль SCEP для устройств ChromeOS.

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Сети .

    Для этого требуются права администратора настроек общего доступа к устройству .

  2. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  3. Для настройки Wi-Fi нажмите «Создать сеть Wi-Fi» . Если вы уже настроили сеть Wi-Fi, нажмите «Wi-Fi». а потом Добавить Wi-Fi .
  4. В разделе «Доступ к платформе» отметьте галочками следующие пункты по мере необходимости: Android , iOS , Chromebook (по пользователю) , Chromebook (по устройству) или оборудование Google Meet .
  5. В разделе «Подробности» :
    1. Введите имя и SSID для сети Wi-Fi.
    2. В настройках безопасности выберите WPA/WPA2 Enterprise (802.1X) или Dynamic WEP (802.1X) .
    3. Для протокола расширенной аутентификации выберите EAP-TLS или EAP-TTLS .
    4. Если вы выбрали EAP-TLS , в поле «Тип предоставления доступа» выберите профиль SCEP или шаблон сертификата , а затем выберите один из вариантов:
      • Для профиля SCEP выберите профиль SCEP, который вы добавили на шаге 2.
      • В поле «Шаблон сертификата» введите значение для URL-адресов регистрации клиента и одно или несколько значений для шаблона издателя или шаблона субъекта .
    5. Введите значения или выберите параметры для любых других необходимых вам сведений о Wi-Fi.
  6. Нажмите « Сохранить ».
  7. Предоставьте пользователям информацию о подключении к сети:
    • Их устройство должно предоставлять сертификат каждый раз, когда они пытаются подключиться к сети Wi-Fi.
    • На устройствах Android и ChromeOS сертификат, соответствующий SCEP-профилю пользователя и сети, вводится автоматически, поэтому достаточно просто нажать кнопку «Подключиться» .
    • На устройствах iOS пользователь выбирает используемый сертификат, а затем нажимает кнопку «Подключить» .

Для сетей Ethernet требуется профиль SCEP.

Вы можете управлять доступом к сети Ethernet для устройств ChromeOS. Вы настраиваете сеть для устройств, а затем назначаете ей профиль SCEP.

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Сети .

    Для этого требуются права администратора настроек общего доступа к устройству .

  2. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  3. Для настройки сети Ethernet нажмите «Создать сеть Ethernet» . Если вы уже настроили сеть Ethernet, нажмите «Ethernet». а потом Добавить Ethernet .
  4. В разделе «Доступ к платформе» отметьте следующие пункты по мере необходимости: Chromebook (для каждого пользователя) , Chromebook (для каждого устройства) или оборудование Google Meet .
  5. В разделе «Подробности» :
    1. Введите имя для сети Ethernet.
    2. Для аутентификации выберите Enterprise (802.1X) .
    3. Для протокола расширенной аутентификации выберите EAP-TLS или EAP-TTLS .
    4. Если вы выбрали EAP-TLS , в поле «Тип предоставления доступа» выберите профиль SCEP или шаблон сертификата , а затем выберите один из вариантов:
      • Для профиля SCEP выберите профиль SCEP, который вы добавили на шаге 2.
      • В поле «Шаблон сертификата» введите значение для URL-адресов регистрации клиента и одно или несколько значений для шаблона издателя или шаблона субъекта .
    5. Введите значения или выберите параметры для любых других необходимых вам сведений об Ethernet.
  6. Нажмите « Сохранить ».
  7. Предоставьте пользователям информацию о подключении к сети:
    • Их устройство должно предоставлять сертификат каждый раз, когда они пытаются подключиться к сети Ethernet.
    • Сертификат, соответствующий их профилю SCEP и сети, автоматически вводится на их устройство ChromeOS, поэтому им остается только нажать кнопку «Подключиться» .

Для VPN требуется профиль SCEP.

Вы можете управлять доступом к VPN для устройств ChromeOS. Для этого необходимо настроить сеть для устройств, а затем назначить им профиль SCEP.

Перед началом работы: Если вам необходимо создать отдел или команду для этих настроек, перейдите в раздел «Добавить организационное подразделение» .

  1. В консоли администратора Google перейдите в меню. а потом Устройства а потом Сети .

    Для этого требуются права администратора настроек общего доступа к устройству .

  2. (Необязательно) Чтобы применить настройку к отделу или команде, выберите организационное подразделение сбоку.
  3. Для настройки VPN нажмите «Создать VPN-сеть» . Если вы уже настроили VPN, нажмите «VPN». а потом Добавьте VPN .
  4. В разделе «Доступ к платформе» отметьте следующие поля по мере необходимости: Chromebook (для пользователя) или Chromebook (для устройства) .
  5. В разделе «Подробности» :
    1. Введите имя и удаленный хост для VPN.
    2. В поле «Тип VPN» выберите нужный тип VPN и введите соответствующие данные.
    3. Если вы выбрали OpenVPN и установили флажок «Использовать клиентский сертификат» , то в поле «Тип предоставления доступа » выберите профиль SCEP или шаблон сертификата , а затем выберите один из вариантов:
      • Для профиля SCEP выберите профиль SCEP, который вы добавили на шаге 2.
      • В поле «Шаблон сертификата» введите значение для URL-адресов регистрации клиента и одно или несколько значений для шаблона издателя или шаблона субъекта .
    4. Введите значения или выберите параметры для любых других необходимых вам сведений о VPN.
  6. Нажмите « Сохранить ».
  7. Предоставьте пользователям информацию о подключении к сети:
    • Их устройство должно предоставлять сертификат каждый раз, когда они пытаются подключиться к VPN.
    • Сертификат, соответствующий их профилю SCEP и сети, автоматически вводится на их устройство ChromeOS, поэтому им остается только нажать кнопку «Подключиться» .

Как работает аутентификация по сертификату через Google Cloud Certificate Connector

Сервис Google Cloud Certificate Connector — это служба Windows, которая устанавливает эксклюзивное соединение между вашим SCEP-сервером и Google. Коннектор сертификатов настраивается и защищается с помощью файла конфигурации и файла ключа, которые предназначены исключительно для вашей организации.

Вы назначаете сертификаты устройств и пользователей с помощью профилей SCEP. Для назначения профиля необходимо выбрать организационное подразделение и добавить профиль в это подразделение. Профиль включает центр сертификации, выдающий сертификаты устройств. Когда пользователь регистрирует свое мобильное устройство или устройство ChromeOS для управления, система управления конечными точками Google получает профиль SCEP пользователя и устанавливает сертификат на устройство. Для устройств ChromeOS сертификат устройства устанавливается до входа пользователя в систему, а сертификат пользователя — после входа пользователя. Если устройство уже зарегистрировано, сертификат устанавливается в рамках обычного цикла синхронизации.

Когда пользователь пытается подключиться к вашей сети, ему предлагается ввести сертификат. На устройствах Android сертификат выбирается автоматически, и пользователь нажимает кнопку «Подключиться» . На устройствах iOS пользователю необходимо выбрать сертификат вручную, а затем подключиться. Устройство подключается к сети вашей организации, используя ключ, согласованный Google через коннектор сертификатов. Google временно хранит ключ во время согласования безопасности, но удаляет его после установки на устройство (или через 24 часа).


Google, Google Workspace, а также связанные с ними знаки и логотипы являются товарными знаками Google LLC. Все остальные названия компаний и продуктов являются товарными знаками компаний, с которыми они связаны.