Yönetilen mobil ve ChromeOS cihazlar için sertifikaları ayarlama

Mobil cihazlar: Bu özellik için desteklenen sürümler: Frontline Standard ve Frontline Plus; Enterprise Standard ve Enterprise Plus; Education Standard, Education Plus ve Endpoint Education Upgrade; Cloud Identity Premium. Sürümünüzü karşılaştırın

ChromeOS cihazlar: Cihaz tabanlı sertifikalar için Chrome Enterprise gereklidir.

Kuruluşunuza ait kablosuz ağ ve Ethernet ağları, sanal özel ağlar (VPN'ler) ile dahili uygulama ve web sitelerine kullanıcıların mobil ve ChromeOS cihazlar aracılığıyla erişimini kontrol etmek için şirket içi sertifika yetkiliniz (CA) üzerinden sertifikalar dağıtabilirsiniz. Google Cloud Sertifika Bağlayıcısı, sertifikaları ve kimlik doğrulama anahtarlarını Basit Sertifika Kayıt Protokolü (SCEP) sunucunuzdan kullanıcıların mobil ve ChromeOS cihazlarına güvenli şekilde dağıtan bir Windows hizmetidir. Ayrıntılar için bu sayfadaki Google Cloud Sertifika Bağlayıcısı üzerinden sertifika kimlik doğrulamasının çalışma şekli başlıklı makaleyi inceleyin.

ChromeOS cihazlar için kullanıcı tabanlı veya cihaz tabanlı sertifikalar oluşturabilirsiniz. Cihaza belirli bir kullanıcı için kullanıcı sertifikası eklenir ve bu kullanıcı söz konusu sertifikaya erişebilir. Cihaz sertifikası, cihaza göre atanır ve cihazda oturum açmış tüm kullanıcılar bu sertifikaya erişebilir. Ayrıntılar için Chrome cihazlarda istemci sertifikalarını yönetme başlıklı makaleyi inceleyin.

Hem mobil hem de ChromeOS cihazlar için kablosuz ağ erişimini kontrol etmek istiyorsanız, mobil cihazlar ve ChromeOS cihazlar farklı RSA anahtar türlerini desteklediğinden ayrı SCEP profilleri ve kablosuz ağlar oluşturmanız gerekir.

Anahtar depolama alanı ile ilgili notlar:

  • Mobil cihazlar için, sertifikaların özel anahtarları Google sunucularında oluşturulur. Anahtarlar, hangisinin önce gerçekleştiğine bağlı olarak, sertifika cihaza yüklendiğinde veya 24 saat sonra Google sunucularından tamamen silinir.
  • ChromeOS cihazlar için, sertifikaların özel anahtarları ChromeOS cihazda oluşturulur. Karşılık gelen ortak anahtar Google sunucularında geçici olarak depolanır ve sertifika yüklendikten sonra tamamen silinir.

Sistem gereksinimleri

  • SCEP sunucusu için Microsoft Active Directory Sertifika Hizmetleri ve sertifikaları dağıtmak üzere Microsoft Ağ Cihazı Kayıt Hizmeti (NDES).
  • Mobil cihazlar: Gelişmiş mobil yönetimi kapsamındaki iOS ve Android cihazlar. Cihaz gereksinimleri hakkında daha fazla bilgi edinin.
  • ChromeOS cihazlar:
    • Cihaz sertifikaları: ChromeOS 89 veya üstü; Chrome Enterprise ile yönetilir
    • Kullanıcı sertifikaları: ChromeOS 86 veya üstü.
      Not: 87'den eski sürümlerde sertifikanın dağıtılması için kullanıcıların cihazı yeniden başlatması veya birkaç saat beklemesi gerekir.

Başlamadan önce

  • Active Directory kullanıcı adlarını kullanmak için sertifika Konu adı gerekiyorsa Google Cloud Directory Sync'i (GCDS) kullanarak Active Directory ve Google Directory'yi senkronize etmeniz gerekir. Gerekirse GCDS'yi kurun.
  • Henüz Google Yönetici Konsolu'nda bir CA sertifikası yüklemediyseniz sertifika ekleyin.
  • Beklenmedik davranışlardan kaçınmak için bilinen sorunları inceleyin.

Bilinen sorunlar

  • Sertifikalar bir cihaza yüklendikten sonra iptal edilemez.
  • SCEP profilleri, dinamik giriş sorgularını desteklemez.
  • Kuruluş birimleri arasındaki SCEP profilini devralma işlemi bazı durumlarda kesilebilir. Örneğin, bir kuruluş birimi için SCEP profili ayarlarsanız ve bir alt kuruluş biriminin SCEP profilini değiştirirseniz üst kuruluş biriminin hiçbir SCEP profili alt kuruluş birimi tarafından tekrar devralınamaz.
  • Mobil cihazlarda SCEP profilleri VPN veya Ethernet yapılandırmalarına uygulanamaz, yalnızca kablosuz ağ üzerinden uygulanabilir.
  • ChromeOS cihazlarda SCEP profilleri VPN veya Ethernet yapılandırmalarına doğrudan uygulanamaz. VPN veya Ethernet yapılandırmalarına dolaylı olarak SCEP profili uygulamak üzere kullanılacak sertifikayı otomatik olarak seçmek için, sertifikayı veren veya konu modellerini kullanın.
  • ChromeOS cihaz kullanıcıları için sertifikalar yalnızca yönetilen bir cihazda oturum açan kullanıcılara dağıtılabilir. Kullanıcı ve cihaz aynı alana ait olmalıdır.

1. adım: Google Cloud Sertifika Bağlayıcısı'nı indirin

Aşağıdaki adımları, SCEP sunucusunun kendisinde veya SCEP sunucusunda hizmet olarak oturum açabilecek bir hesap aracılığıyla bir Windows bilgisayarda uygulayın. Hesap kimlik bilgilerini hazır bulundurun.

Kuruluşunuzda birden fazla sunucu varsa bunların hepsinde aynı sertifika bağlayıcı aracısını kullanabilirsiniz. Yükleme dosyasını, yapılandırma dosyasını ve anahtar dosyasını aşağıdaki adımlarda açıklandığı şekilde bir bilgisayara indirin ve yükleyin. Ardından, bu üç dosyayı diğer bilgisayara kopyalayın ve o bilgisayardaki kurulum talimatlarını uygulayın.

Not: Google Cloud Sertifika Bağlayıcısı'nı ve bileşenlerini yalnızca bir kez (kuruluşunuz için sertifikaları ilk ayarlayışınızda) indirirsiniz. Sertifikalarınız ve SCEP profilleriniz tek bir sertifika bağlayıcısını paylaşabilir.

  1. Google Yönetici Konsolu'nda Menü ardından Cihazlar ardındanAğlar'a gidin. 

    Paylaşılan cihaz ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  2. Güvenli SCEP ardındanBağlayıcıyı İndirin'i tıklayın.
  3. Google Cloud Sertifika Bağlayıcısı'nı yükleme bölümünde İndir'i tıklayın.
  4. Google Cloud Sertifika Bağlayıcısı sayfasında, connector_installer.exe dosyasını indirmek için İndir'i tıklayın.
  5. Google Cloud Sertifika Bağlayıcısı'nı indirdiğiniz için teşekkür ederiz sayfasını kapatın.
  6. Yönetici Konsolu'ndaki Bağlayıcı yapılandırma dosyasını indirin bölümünde, config.json dosyasını indirmek için İndir'i tıklayın.
  7. Hizmet hesabı anahtarı alın bölümünde, key.json dosyasını indirmek için Anahtar oluştur'u tıklayın.
  8. connector_installer.exe dosyasını yönetici olarak çalıştırın.
    Not: Yükleyici, bağlayıcı hizmetini varsayılan kimlik bilgileriyle (LocalService) kaydeder. Daha sonra hizmeti farklı bir hizmet hesabı olarak çalıştıracak şekilde değiştirebilirsiniz. Bunu yapmak için bağlayıcının yükleme dizinine gidin ve ConfigTool'u açmak üzere configtool.exe dosyasını çalıştırın.
  9. Yapılandırma ve anahtar dosyalarını (config.json ve key.json), yükleme sırasında oluşturulan Google Cloud Sertifika Bağlayıcısı klasörüne taşıyın. Klasör genelde şu konumda bulunur: C:\Program Files\Google Cloud Certificate Connector.
  10. Google Cloud Sertifika Bağlayıcısı hizmetini açın:
    1. Windows Hizmetleri'ni açın.
    2. Hizmet listesinde Google Cloud Sertifika Bağlayıcısı'nı seçin.
    3. Hizmeti başlatmak için Başlat'ı tıklayın. Durumun Çalışıyor olarak değiştiğinden emin olun. Bilgisayar yeniden başlatılırsa hizmet de otomatik olarak yeniden başlatılır.

Daha sonra yeni bir hizmet hesabı anahtarı indirirseniz anahtarın geçerli olması için hizmeti yeniden başlatın.

2. adım: SCEP profili ekleyin

SCEP profili, kullanıcıların kablosuz ağınıza, Ethernet ağınıza veya VPN'ye erişmesine izin veren sertifikayı tanımlar. Profili belirli kullanıcılara atamak için bir kuruluş birimine eklersiniz. Erişimi kuruluş birimine ve cihaz türüne göre yönetmek için birkaç SCEP profili oluşturabilirsiniz. Profilin uygulanmasını istediğiniz her kuruluş birimi için ayrı bir SCEP profili ayarlamanızı öneririz.

Başlamadan önce: Bu ayar için bir bölüm veya ekip oluşturmanız gerekiyorsa Kuruluş birimi ekleme başlıklı makaleyi inceleyin.

  1. Google Yönetici Konsolu'nda Menü ardından Cihazlar ardındanAğlar'a gidin. 

    Paylaşılan cihaz ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  2. (İsteğe bağlı) Ayarı bir bölüme veya ekibe uygulamak için yan tarafta bir kuruluş birimi seçin.
  3. Güvenli SCEP için Güvenli SCEP Profili Oluştur'u tıklayın. Daha önce bir SCEP profili oluşturduysanız Güvenli SCEP ardındanGüvenli SCEP Profili Ekle'yi tıklayın.

  4. Profil için yapılandırma ayrıntılarını girin. CA'nız belirli bir şablon yayınlıyorsa profilin ayrıntılarını bu şablonla eşleştirin.

    • Bu profilin geçerli olduğu platformlar: SCEP profili kullanan cihaz platformları. ChromeOS cihazlar için, dağıtmak istediğiniz sertifikanın türüne bağlı olarak Chromebook (kullanıcı), Chromebook (cihaz) veya ikisini birden işaretlediğinizden emin olun.
    • SCEP profili adı: Profil için açıklayıcı bir ad. Ad, profiller listesinde ve kablosuz ağ yapılandırmasındaki profil seçicide gösterilir.
    • Konu adı biçimi: Sertifika sahibini nasıl tanımlamak istediğinizi seçin. Tamamen Ayırt Edici Ad'ı seçerseniz sertifika Ortak Adı, kullanıcının kullanıcı adıdır.

    • Konu alternatif adı: Bir SAN girin. Varsayılan değer Yok'tur. ChromeOS cihazlar için kullanıcı ve cihaz özelliklerini temel alan konu alternatif adları tanımlayabilirsiniz. Özel bir sertifika imzalama isteği (CSR) kullanmak için CA'daki sertifika şablonunu, isteğin kendisi içinde tanımlanan konu değerlerini içeren bir sertifika bekleyecek ve oluşturacak şekilde yapılandırın. En azından, subject'teki (konu) CommonName için bir değer sağlamanız gerekir.
      Aşağıdaki yer tutucuları kullanabilirsiniz. Tüm değerler isteğe bağlıdır.

      • ${DEVICE_DIRECTORY_ID}: Cihazın dizin kimliği
      • ${USER_EMAIL}: Oturum açan kullanıcının e-posta adresi
      • ${USER_EMAIL_DOMAIN}: Oturum açan kullanıcının alan adı
      • ${DEVICE_SERIAL_NUMBER}: Cihazın seri numarası
      • ${DEVICE_ASSET_ID}: Yönetici tarafından cihaza atanan öğe kimliği
      • ${DEVICE_ANNOTATED_LOCATION}: Yönetici tarafından cihaza atanan konum
      • ${USER_EMAIL_NAME}: Oturum açan kullanıcının e-posta adresinin ilk bölümü (@ işaretinden önceki bölüm)

      Bir yer tutucu değeri mevcut değilse boş bir dizeyle değiştirilir.

    • İmzalama algoritması: Yetkilendirme anahtarını şifrelemek için kullanılan karma işlevi. Yalnızca RSA ile SHA256 kullanılabilir.

    • Anahtar kullanımı: Anahtarın, anahtar şifrelemenin ve imzalamanın nasıl kullanılacağıyla ilgili seçenekler. Birden fazla seçim yapabilirsiniz.

    • Anahtar boyutu (bit): RSA anahtarının boyutu. ChromeOS cihazlar için 2048'i seçin.

    • Güvenlik bölümünde, bağlı cihazlar için gerekli olacak onay türünü seçin. Bu ayar mobil cihazlar için geçerli değildir.

    • SCEP sunucu özellikleri bölümünde, SCEP sunucusu için değerleri ve tercihleri yapılandırın.

      • SCEP sunucu URL'si: SCEP sunucusunun URL'si.
      • Sertifika geçerlilik süresi (yıl): Cihaz sertifikasının geçerli olacağı süre. Sayı olarak girin.
      • Şu kadar gün içinde yenile: Cihaz sertifikasının geçerlilik süresi dolmadan kaç gün önce yenileme işleminin denenebileceği.
      • Uzatılmış anahtar kullanımı: Anahtarın nasıl kullanılabileceği. Birden fazla değer seçebilirsiniz.
      • Giriş sorgulaması türü: Google'ın, SCEP sunucusundan bir sertifika istediğinde, belirtilen bir giriş sorgusu kelime öbeğini sağlamasını zorunlu kılmak için Statik'i seçin ve kelime öbeğini girin. Hiçbiri'ni seçerseniz sunucu bu kontrolü zorunlu tutmaz.
      • Şablon adı: NDES sunucunuz tarafından kullanılan şablonun adı.
      • Sertifika yetkilisi: Sertifika yetkilisi olarak kullanmak üzere yüklediğiniz bir sertifikanın adı.
      • Bu profilin geçerli olduğu ağ türü: SCEP profili kullanan ağların türü.
  5. Kaydet'i tıklayın. Alternatif olarak, bir kuruluş birimi için Geçersiz kıl'ı tıklayabilirsiniz.

    Devralınan değeri daha sonra geri yüklemek için Devral'ı tıklayın.

Bir profil eklendikten sonra adı ve etkin olduğu platformlarla birlikte listelenir. Profil, Platform sütununda mavi simgeler bulunan platformlar için etkin, gri simgeler bulunan platformlar içinse devre dışıdır. Bir profili düzenlemek için ilgili satırın üzerine gelin ve Düzenle'yi tıklayın.

SCEP profili, kuruluş birimindeki kullanıcılara otomatik olarak dağıtılır.

3. adım: Google Cloud Sertifika Bağlayıcısı'nın anahtar deposunu yapılandırın

Sertifikanız güvenilen bir CA tarafından verilmişse veya SCEP sunucunuzun URL'si HTTP ile başlıyorsa bu adımı atlayın.

Sertifikanız, kendinden imzalı sertifika gibi güvenilir bir CA tarafından verilmediyse sertifikayı Google Cloud Sertifika Bağlayıcısı anahtar deposuna içe aktarmanız gerekir. Aksi takdirde, cihaz sertifikasının temel hazırlığı yapılamaz ve cihaz bağlanamaz.

  1. CA'nızda oturum açın.
  2. Java JRE yüklü değilse, keytool.exe dosyasını kullanabilmek için bu yazılımı yükleyin.
  3. Bir komut istemi açın.

  4. CA sertifikanızı dışa aktarın ve aşağıdaki komutları çalıştırarak bu sertifikayı bir PEM dosyasına dönüştürün:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. CA sertifikasını anahtar deposuna aktarın. Yükleme sırasında oluşturulan Google Cloud Sertifika Bağlayıcısı klasörünün alt dizininde (genellikle C:\Program Files\Google Cloud Certificate Connector) aşağıdaki komutu çalıştırın ve java-home-dir kısmını Google Cloud Sertifika Bağlayıcısı klasöründeki JRE'nin yoluyla, cert-export-dir kısmını ise 4. adımda dışa aktardığınız sertifikanın yoluyla değiştirin: java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

4. adım: Ağları SCEP profili gerektirecek şekilde yapılandırın (isteğe bağlı)

Ağın türüne bağlı olarak, SCEP profilinin zorunlu tutulmasını sağlayabilirsiniz.

Kablosuz ağlar için SCEP profili gerektirme

Hem mobil hem de ChromeOS cihazlar için kablosuz ağ erişimini kontrol etmek istiyorsanız her biri için ayrı kablosuz ağlar oluşturun. Örneğin, mobil cihazlar için bir kablosuz ağ oluşturup bu cihaza mobil cihazlar için bir SCEP profili atayın. Ardından, ChromeOS cihazlar için başka bir kablosuz ağ oluşturup ChromeOS cihazlar için bir SCEP profili atayın.

Başlamadan önce: Bu ayar için bir bölüm veya ekip oluşturmanız gerekiyorsa Kuruluş birimi ekleme başlıklı makaleyi inceleyin.

  1. Google Yönetici Konsolu'nda Menü ardından Cihazlar ardındanAğlar'a gidin. 

    Paylaşılan cihaz ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  2. (İsteğe bağlı) Ayarı bir bölüme veya ekibe uygulamak için yan tarafta bir kuruluş birimi seçin.
  3. Kablosuz için Kablosuz ağ oluştur'u tıklayın. Zaten bir kablosuz ağ oluşturduysanız Kablosuz ardındanKablosuz Ağ Ekle'yi tıklayın.
  4. Platform erişimi bölümünde, gerektiğinde şu kutuları işaretleyin: Android, iOS, Chromebook'lar (kullanıcıya göre), Chromebook'lar (cihaz politikasına göre) veya Google Meet Donanım.
  5. Ayrıntılar bölümünde:
    1. Kablosuz ağ için bir ad ve SSID girin.
    2. Güvenlik ayarları için WPA/WPA2 Enterprise (802.1X) veya Dinamik WEP (802.1X)'i seçin.
    3. Genişletilebilir Kimlik Doğrulama Protokolü için EAP-TLS veya EAP-TTLS'yi seçin.
    4. EAP-TLS'yi seçtiyseniz Tedarik Türü için SCEP profili veya Sertifika modeli'ni seçin ve ardından bir seçenek belirleyin:
      • SCEP profili için 2. adımda eklediğiniz SCEP profilini seçin.
      • Sertifika modeli'nde, İstemci kaydı URL'leri için bir değer, Sertifikayı veren taraf modeli veya Konu modeli için bir veya daha fazla değer girin.
    5. İhtiyacınız olan diğer kablosuz ağ ayrıntıları için değer girin veya seçenekleri belirleyin.
  6. Kaydet'i tıklayın.
  7. Kullanıcılarınızla ağa bağlanma hakkında bilgi paylaşın:
    • Kullanıcılar kablosuz ağa bağlanmayı her denediklerinde cihazlarının sertifikayı sağlaması gerekir.
    • Android ve ChromeOS cihazlarda, kullanıcının SCEP profiline ve ağa karşılık gelen sertifika otomatik olarak girilir. Kullanıcıların yalnızca Bağlan'ı tıklaması yeterlidir.
    • iOS cihazlarda kullanıcı, kullanacağı sertifikayı seçer ve ardından Bağlan'ı tıklar.

Ethernet ağları için SCEP profili gerektirme

ChromeOS cihazlar için Ethernet ağı erişimini kontrol edebilirsiniz. Cihazlar için ağı oluşturup SCEP profili atarsınız.

Başlamadan önce: Bu ayar için bir bölüm veya ekip oluşturmanız gerekiyorsa Kuruluş birimi ekleme başlıklı makaleyi inceleyin.

  1. Google Yönetici Konsolu'nda Menü ardından Cihazlar ardındanAğlar'a gidin. 

    Paylaşılan cihaz ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  2. (İsteğe bağlı) Ayarı bir bölüme veya ekibe uygulamak için yan tarafta bir kuruluş birimi seçin.
  3. Ethernet için Ethernet ağı oluştur'u tıklayın. Önceden bir Ethernet ağı kurduysanız Ethernet ardındanEthernet Ekle'yi tıklayın.
  4. Platform erişimi bölümünde, gerektiğinde şu kutuları işaretleyin: Chromebook'lar (kullanıcıya göre), Chromebook'lar (cihaz politikasına göre) veya Google Meet Donanım.
  5. Ayrıntılar bölümünde:
    1. Ethernet ağı için bir ad girin.
    2. Kimlik doğrulama için Enterprise (802.1X) seçeneğini belirleyin.
    3. Genişletilebilir Kimlik Doğrulama Protokolü için EAP-TLS veya EAP-TTLS'yi seçin.
    4. EAP-TLS'yi seçtiyseniz Tedarik Türü için SCEP profili veya Sertifika modeli'ni seçin ve ardından bir seçenek belirleyin:
      • SCEP profili için 2. adımda eklediğiniz SCEP profilini seçin.
      • Sertifika modeli'nde, İstemci kaydı URL'leri için bir değer, Sertifikayı veren taraf modeli veya Konu modeli için bir veya daha fazla değer girin.
    5. İhtiyacınız olan diğer Ethernet ayrıntıları için değer girin veya seçenekleri belirleyin.
  6. Kaydet'i tıklayın.
  7. Kullanıcılarınızla ağa bağlanma hakkında bilgi paylaşın:
    • Kullanıcılar Ethernet ağına bağlanmayı her denediklerinde cihazlarının sertifikayı sağlaması gerekir.
    • SCEP profiline ve ağa karşılık gelen sertifika, ChromeOS cihazlarına otomatik olarak girilir. Kullanıcıların yalnızca Bağlan'ı tıklaması yeterlidir.

VPN'ler için SCEP profili gerektirme

ChromeOS cihazlar için VPN erişimini kontrol edebilirsiniz. Cihazlar için ağı oluşturup SCEP profili atarsınız.

Başlamadan önce: Bu ayar için bir bölüm veya ekip oluşturmanız gerekiyorsa Kuruluş birimi ekleme başlıklı makaleyi inceleyin.

  1. Google Yönetici Konsolu'nda Menü ardından Cihazlar ardındanAğlar'a gidin. 

    Paylaşılan cihaz ayarları yönetici ayrıcalığına sahip olmayı gerektirir.

  2. (İsteğe bağlı) Ayarı bir bölüme veya ekibe uygulamak için yan tarafta bir kuruluş birimi seçin.
  3. VPN için VPN Ağı Oluştur'u tıklayın. Zaten bir VPN kurduysanız VPN ardındanVPN Ekle'yi tıklayın.
  4. Platform erişimi bölümünde, gerektiğinde şu kutuları işaretleyin: Chromebook'lar (kullanıcıya göre) veya Chromebook'lar (cihaz politikasına göre).
  5. Ayrıntılar bölümünde:
    1. VPN için bir ad ve uzak ana makine girin.
    2. VPN Türü için istediğiniz VPN türünü seçin ve bu türle ilgili ayrıntıları girin.
    3. OpenVPN'i seçtiyseniz ve İstemci sertifikası kullan kutusunu işaretlediyseniz Temel Hazırlık Türü için SCEP profili veya Sertifika modeli'ni seçin ve ardından bir seçenek belirleyin:
      • SCEP profili için 2. adımda eklediğiniz SCEP profilini seçin.
      • Sertifika modeli'nde, İstemci kaydı URL'leri için bir değer, Sertifikayı veren taraf modeli veya Konu modeli için bir veya daha fazla değer girin.
    4. İhtiyacınız olan diğer VPN ayrıntıları için değer girin veya seçenekleri belirleyin.
  6. Kaydet'i tıklayın.
  7. Kullanıcılarınızla ağa bağlanma hakkında bilgi paylaşın:
    • Kullanıcılar VPN'e bağlanmayı her denediklerinde cihazlarının sertifikayı sağlaması gerekir.
    • SCEP profiline ve ağa karşılık gelen sertifika, ChromeOS cihazlarına otomatik olarak girilir. Kullanıcıların yalnızca Bağlan'ı tıklaması yeterlidir.

Google Cloud Sertifika Bağlayıcısı üzerinden yapılan sertifika kimlik doğrulamasının çalışma şekli

Google Cloud Sertifika Bağlayıcısı, SCEP sunucunuz ile Google arasında özel bir bağlantı kuran bir Windows hizmetidir. Sertifika bağlayıcısı, her ikisi de kuruluşunuza özel olan bir yapılandırma dosyası ve bir anahtar dosyası ile yapılandırılır ve korunur.

Cihaz sertifikalarını, SCEP Profilleri olan cihazlara ve kullanıcılara atarsınız. Profil atamak için bir kuruluş birimi seçip profili bu kuruluş birimine eklersiniz. Profil, cihaz sertifikaları veren Sertifika Yetkilisi'ni içerir. Bir kullanıcı mobil veya ChromeOS cihazını yönetim için kaydettirdiğinde Google uç nokta yönetimi, kullanıcının SCEP profilini getirir ve sertifikayı cihaza yükler. ChromeOS cihazlarda cihaz sertifikası, kullanıcı oturum açmadan önce yüklenir. Kullanıcı sertifikası ise oturum açtıktan sonra yüklenir. Cihaz zaten kayıtlıysa sertifika normal bir senkronizasyon döngüsünün parçası olarak yüklenir.

Bir kullanıcı ağınıza bağlanmayı denediğinde, sertifikayı sağlaması istenir. Android cihazlarda, sertifika otomatik olarak seçilir ve kullanıcı Bağlan'ı tıklar. iOS cihazlarda, kullanıcı sertifikayı manuel olarak seçmeli ve ardından bağlanmalıdır. Cihaz, kuruluşunuzun ağına, Google tarafından sertifika bağlayıcısı üzerinden anlaşılan bir anahtarı kullanarak erişir. Google, güvenlik anlaşması süresince anahtarı geçici olarak saklar, ancak anahtar cihaza yüklendiğinde (veya 24 saat sonra) anahtarı tamamen siler.


Google, Google Workspace ve ilgili markalar ile logolar Google LLC şirketinin ticari markalarıdır. Diğer tüm şirket ve ürün adları, ilişkili oldukları şirketlerin ticari markalarıdır.