为受管理的移动设备和 ChromeOS 设备设置证书

移动设备支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育标准版、教育 Plus 版和端点教育升级版;Cloud Identity 专业版。 版本对比

ChromeOS 设备:必须使用 Chrome 企业版才能使用基于设备的证书。

通过分发由本地证书授权机构 (CA) 颁发的证书,您可以控制用户使用移动设备和 ChromeOS 设备访问贵组织的 Wi-Fi 和以太网、虚拟专用网 (VPN) 以及内部应用和网站的权限。Google Cloud Certificate Connector 是一项 Windows 服务,用于将证书和身份验证密钥从简单证书注册协议 (SCEP) 服务器安全地分发到用户的移动设备和 ChromeOS 设备。如需了解详情,请参阅本页上的基于 Google Cloud Certificate Connector 的证书身份验证机制如何运作

对于 ChromeOS 设备,您可以设置基于用户的证书或基于设备的证书。用户证书会添加到特定用户的设备中供该特定用户使用。设备证书是根据设备分配的,登录到设备的任何用户都可以使用该证书。如需了解详情,请参阅管理 Chrome 设备上的客户端证书

如果您想控制移动设备和 ChromeOS 设备的 Wi-Fi 网络访问权限,则需要设置单独的 SCEP 配置文件和 Wi-Fi 网络,因为移动设备和 ChromeOS 设备所支持 RSA 密钥类型不同。

关于密钥存储空间的注意事项

  • 对于移动设备,证书的私钥在 Google 服务器中生成。当设备安装了证书或经过 24 小时(两者取其先)后,密钥会从 Google 服务器中彻底清除。
  • 对于 ChromeOS 设备,证书私钥会在 ChromeOS 设备上生成。相应的公钥则临时存储在 Google 服务器上,并且会在证书安装完毕后彻底清除。

系统要求

  • 分发证书需要适用于 SCEP 服务器的 Microsoft Active Directory Certificate Service 和 Microsoft Network Device Enrollment Service (NDES)。
  • 移动设备:注册了高级移动设备管理的 iOS 和 Android 设备。详细了解设备要求
  • ChromeOS 设备
    • 设备证书:ChromeOS 89 或更高版本,且由 Chrome 企业版管理
    • 用户证书:ChromeOS 86 或更高版本。
      注意:对于低于 87 的版本,用户必须重启设备或等待几个小时,才能部署用户证书。

准备工作

  • 如需以 Active Directory 用户名作为证书“主题”名称,必须使用 Google Cloud Directory Sync (GCDS) 将 Active Directory 与 Google Directory 同步。如有必要,请设置 GCDS
  • 如果您尚未在 Google 管理控制台上传 CA 证书,请添加证书
  • 查看已知问题以避免意外情况。

已知问题

  • 证书在设备上安装后便无法撤消。
  • SCEP 配置文件不支持动态验证。
  • 在某些情况下,组织部门之间的 SCEP 配置文件继承设置可能会被中断。举例来说,如果您为某个组织部门设置了 SCEP 配置文件,然后又更改了下级组织部门的 SCEP 配置文件,则任何下级组织部门都无法再继承上级组织部门的 SCEP 配置文件。
  • 对于移动设备,SCEP 配置文件无法应用到 VPN 或以太网配置,只能应用到 Wi-Fi。
  • 对于 ChromeOS 设备,SCEP 配置文件无法直接应用到 VPN 或以太网配置。如需将 SCEP 配置文件间接应用到 VPN 或以太网配置,请使用颁发者模式或主题模式自动选择要使用的证书。
  • 对于 ChromeOS 设备用户,只能为登录到受管设备的用户部署证书。用户和设备必须属于同一网域。

第 1 步:下载 Google Cloud Certificate Connector

在 SCEP 服务器上执行以下步骤,或者在 Windows 计算机上使用可通过服务的形式登录 SCEP 服务器的账号登录并执行以下步骤。准备好账号凭据。

如果贵组织拥有多台服务器,您可以在所有服务器上使用同一个证书连接器代理。按照以下步骤操作,在一台计算机上下载并安装安装文件、配置文件和密钥文件。然后,将这三个文件复制到另一台计算机上,并按照针对此计算机的设置说明进行操作。

注意:首次为贵组织设置证书时,只需下载 Google Cloud Certificate Connector 及其组件一次。您的证书和 SCEP 配置文件可以共用一个证书连接器。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后网络

    需要拥有共享设备设置管理员权限。

  2. 点击安全 SCEP 然后下载连接器
  3. 安装 Google Cloud Certificate Connector 部分,点击下载
  4. Google Cloud Certificate Connector 页面上,点击下载以下载 connector_installer.exe 文件。
  5. 关闭感谢您下载 Google Cloud Certificate Connector!页面。
  6. 在管理控制台的下载连接器配置文件部分,点击下载以下载 config.json 文件。
  7. 获取服务账号密钥部分,点击生成密钥以下载 key.json 文件。
  8. 以管理员身份运行 connector_installer.exe
    注意:安装程序会使用默认凭据 (LocalService) 注册连接器服务。之后,您可以更改服务,以使用其他服务账号运行。为此,请前往连接器的安装目录,然后运行 configtool.exe 以打开 ConfigTool。
  9. 将配置文件和密钥文件(config.json 和 key.json)移动到安装过程中创建的 Google Cloud Certificate Connector 文件夹中,路径通常为:C:\Program Files\Google Cloud Certificate Connector。
  10. 打开 Google Cloud Certificate Connector 服务:
    1. 打开 Windows 服务。
    2. 在服务列表中选择 Google Cloud Certificate Connector
    3. 点击启动以启动该服务。确保该服务的状态变为正在运行。如果计算机重新启动,该服务也会自动重启。

如果您稍后下载了新服务账号密钥,请重新启动该服务以应用新密钥。

第 2 步:添加 SCEP 配置文件

SCEP 配置文件定义了允许用户访问您的 Wi-Fi、以太网网络或 VPN 的证书。您可以向组织部门添加此配置文件,从而将其分配给特定用户。您可以设置多个 SCEP 配置文件,以便按组织部门和设备类型管理访问权限。我们建议您为希望应用 SCEP 配置文件的各个组织部门都单独设置该配置文件。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后网络

    需要拥有共享设备设置管理员权限。

  2. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  3. 安全 SCEP 部分,点击创建安全 SCEP 配置文件。如果您已创建 SCEP 配置文件,请依次点击安全 SCEP 然后添加安全 SCEP 配置文件

  4. 输入配置文件的详细配置信息。如果您的 CA 签发了特定模板,请确保配置文件详细信息与模板保持一致。

    • 此配置文件适用的平台 - 使用 SCEP 配置文件的设备平台。对于 ChromeOS 设备,请务必选中 Chromebook(用户)Chromebook(设备),或同时选中这两者,具体取决于您要部署的证书类型。
    • SCEP 配置文件名称 - 配置文件的描述性名称。该名称会显示在 Wi-Fi 网络配置的配置文件列表和配置文件选择器中。
    • 主题名称格式 - 选择标识证书所有者的方式。如果选择完全可分辨名称,则证书常用名就是用户的用户名。

    • 主题备用名称 - 提供一个 SAN。默认值为 None。对于 ChromeOS 设备,您可以根据用户和设备属性来定义主题备用名称。如要使用自定义证书签名请求 (CSR),请在 CA 上配置预期的证书模板,生成主题值为请求自身所指定的值的证书。您至少需要提供正文的 CommonName 值。
      您可以使用以下占位符。所有值都是选填的。

      • ${DEVICE_DIRECTORY_ID} - 设备的目录 ID
      • ${USER_EMAIL} - 已登录用户的电子邮件地址
      • ${USER_EMAIL_DOMAIN} - 已登录用户的域名
      • ${DEVICE_SERIAL_NUMBER} - 设备序列号
      • ${DEVICE_ASSET_ID} - 管理员为设备分配的资产 ID
      • ${DEVICE_ANNOTATED_LOCATION} - 管理员为设备分配的位置
      • ${USER_EMAIL_NAME} - 已登录用户的电子邮件地址的第一部分(“@”之前的部分)

      如果某个占位值不可用,则会被替换为空白字符串。

    • 签名算法 - 用于加密授权密钥的哈希函数。仅提供 SHA256withRSA 的加密方式。

    • 密钥用途 - 有关如何使用密钥、密钥加密和签名的选项。您可以选择多个。

    • 密钥大小(位)- RSA 密钥的大小。对于 ChromeOS 设备,请选择 2048。

    • 对于安全性,请选择已连接的设备所需的证明类型。此设置不适用于移动设备。

    • SCEP 服务器属性部分,配置 SCEP 服务器的值和偏好设置。

      • SCEP 服务器网址 - SCEP 服务器的网址。
      • 证书有效期(年)- 设备证书的有效期。请输入一个数字。
      • 续订提前天数 - 在设备证书过期前几天尝试续订证书。
      • 扩展的密钥用途 - 如何使用密钥。您可以选择多个值。
      • 验证类型 - 如需要求 Google 在向 SCEP 服务器请求证书时提供指定的验证码,请选择静态并输入验证码。如果您选择,则服务器不要求进行此项检查。
      • 模板名称 - 您的 NDES 服务器使用的模板的名称。
      • 证书授权机构 - 您上传以用作证书授权机构的证书的名称。
      • 此配置文件适用的网络类型 - 使用 SCEP 配置文件的网络类型。
  5. 点击保存。或者,您也可以针对组织部门点击覆盖

    如果之后要恢复继承的值,请点击继承

添加配置文件后,系统会列出配置文件及其名称,以及已启用的平台。在平台列中,带有蓝色图标的平台启用了此配置文件;带有灰色图标的平台停用了此配置文件。如需修改配置文件,请将光标指向相应行,然后点击“修改”图标

系统会将 SCEP 配置文件自动分发给组织部门中的用户。

第 3 步:配置 Google Cloud Certificate Connector 的密钥库

如果您的证书是由可信 CA 颁发的,或者您的 SCEP 服务器网址以 HTTP 开头,请跳过此步骤。

如果您的证书不是由可信 CA 颁发的(例如自签名证书),您需要将该证书导入到 Google Cloud Certificate Connector 密钥库。否则,设备证书将无法配置,设备也无法连接。

  1. 登录您的 CA。
  2. 如果尚未安装 Java JRE,请安装一个,以便使用 keytool.exe。
  3. 打开命令提示符窗口。

  4. 运行以下命令,导出您的 CA 证书并将其转换为 PEM 文件:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. 将 CA 证书导入密钥库。在安装过程中创建的 Google Cloud Certificate Connector 文件夹的子目录(通常为 C:\Program Files\Google Cloud Certificate Connector)中,运行以下命令,并将 java-home-dir 替换为 Google Cloud Certificate Connector 文件夹中 JRE 的路径,将 cert-export-dir 替换为您在第 4 步中导出的证书的路径:java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

第 4 步:将网络配置为要求使用 SCEP 配置文件(可选)

您可以根据网络类型,将其设置为要求使用 SCEP 配置文件。

要求 Wi-Fi 网络使用 SCEP 配置文件

要控制移动设备和 ChromeOS 设备的 Wi-Fi 网络访问权限,请为每台设备分别设置 Wi-Fi 网络。例如,为移动设备设置一个 Wi-Fi 网络,并为该网络分配移动设备的 SCEP 配置文件。然后,为 ChromeOS 设备设置另一个 Wi-Fi 网络,并为其分配 ChromeOS 设备的 SCEP 配置文件。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后网络

    需要拥有共享设备设置管理员权限。

  2. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  3. Wi-Fi 部分,点击创建 Wi-Fi 网络。如果您已设置 Wi-Fi 网络,请点击 Wi-Fi 然后添加 Wi-Fi
  4. 平台访问权限部分,根据需要勾选以下复选框:AndroidiOSChromebook(按用户)Chromebook(按设备)Google Meet 设备
  5. 详细信息部分中:
    1. 输入 Wi-Fi 网络的名称和 SSID。
    2. 安全设置部分,选择 WPA/WPA2 企业版 (802.1X)动态 WEP (802.1X)
    3. 可扩展身份验证协议部分,选择 EAP-TLSEAP-TTLS
    4. 如果您选择的是 EAP-TLS,请在配置类型中选择 SCEP 配置文件证书模式,然后选择一个选项:
      • 对于 SCEP 配置文件,请选择您在第 2 步中添加的 SCEP 配置文件。
      • 对于证书格式,请在客户端注册网址中输入一个值,在颁发者格式主题格式中输入一个或多个值。
    5. 对于您所需的任何其他 Wi-Fi 详细信息,请输入相应的值或选择相应选项。
  6. 点击保存
  7. 与用户分享有关连接到网络的信息:
    • 用户每次尝试连接到此 Wi-Fi 网络时,其设备都必须提供证书。
    • 对于 Android 设备和 ChromeOS 设备,系统会自动输入与用户的 SCEP 配置文件和网络对应的证书,因此用户只需点击连接
    • 对于 iOS 设备,用户选择要使用的证书,然后点击连接

要求以太网网络使用 SCEP 配置文件

您可以控制 ChromeOS 设备的以太网访问权限。您为设备设置网络,然后为该网络分配 SCEP 配置文件。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后网络

    需要拥有共享设备设置管理员权限。

  2. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  3. 以太网部分,点击创建以太网。如果您已设置以太网,请点击以太网 然后添加以太网
  4. 平台访问权限部分,根据需要勾选以下复选框:Chromebook(按用户)Chromebook(按设备)Google Meet 设备
  5. 详细信息部分中:
    1. 请输入以太网网络名称。
    2. 身份验证部分,选择企业版 (802.1X)
    3. 可扩展身份验证协议部分,选择 EAP-TLSEAP-TTLS
    4. 如果您选择的是 EAP-TLS,请在配置类型中选择 SCEP 配置文件证书模式,然后选择一个选项:
      • 对于 SCEP 配置文件,请选择您在第 2 步中添加的 SCEP 配置文件。
      • 对于证书格式,请在客户端注册网址中输入一个值,在颁发者格式主题格式中输入一个或多个值。
    5. 对于您所需的任何其他以太网详细信息,请输入相应的值或选择相应选项。
  6. 点击保存
  7. 与用户分享有关连接到网络的信息:
    • 用户每次尝试连接到此以太网时,其设备都必须提供证书。
    • 系统会自动在用户的 ChromeOS 设备上输入与其 SCEP 配置文件和网络对应的证书,因此用户只需点击连接

要求 VPN 使用 SCEP 配置文件

您可以控制 ChromeOS 设备的 VPN 访问权限。您为设备设置网络,然后为该网络分配 SCEP 配置文件。

准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 设备 然后网络

    需要拥有共享设备设置管理员权限。

  2. (可选)如要将设置应用于某个部门或团队,请在侧边选择一个组织部门
  3. VPN 部分,点击创建 VPN 网络。如果您已设置 VPN,请依次点击 VPN 然后添加 VPN
  4. 平台访问权限部分,根据需要选中以下复选框:Chromebook(按用户)Chromebook(按设备)
  5. 详细信息部分中:
    1. 输入 VPN 的名称和远程主机。
    2. VPN 类型部分中,选择所需的 VPN 类型,然后输入该类型的详细信息。
    3. 如果您选择了 OpenVPN 并勾选了使用客户端证书复选框,请在配置类型中选择 SCEP 配置文件证书模式,然后选择一个选项:
      • 对于 SCEP 配置文件,请选择您在第 2 步中添加的 SCEP 配置文件。
      • 对于证书格式,请在客户端注册网址中输入一个值,在颁发者格式主题格式中输入一个或多个值。
    4. 对于您所需的任何其他 VPN 详细信息,请输入相应的值或选择相应选项。
  6. 点击保存
  7. 与用户分享有关连接到网络的信息:
    • 用户每次尝试连接到此 VPN 时,其设备都必须提供证书。
    • 系统会自动在用户的 ChromeOS 设备上输入与其 SCEP 配置文件和网络对应的证书,因此用户只需点击连接

基于 Google Cloud Certificate Connector 的证书身份验证机制如何运作

Google Cloud Certificate Connector 是一项 Windows 服务,用于在您的 SCEP 服务器与 Google 之间建立专有连接。证书连接器由贵组织专用的配置文件和密钥文件进行配置和保护。

您可以使用 SCEP 配置文件向设备和用户分配设备证书。如要分配配置文件,请选择一个组织部门,然后将配置文件添加到该组织部门。配置文件中包含颁发设备证书的证书授权机构。当用户为其移动设备或 ChromeOS 设备注册管理服务时,Google 端点管理服务会提取用户的 SCEP 配置文件,并在设备上安装证书。对于 ChromeOS 设备,设备证书是在用户登录之前安装的,而用户证书是在用户登录之后安装的。对于已注册的设备,证书会在常规同步周期中安装。

当用户尝试连接到您的网络时,系统会提示他们提供证书。Android 设备会自动选择证书,然后由用户点击连接。对于 iOS 设备,用户必须手动选择证书,然后点击连接。设备使用由 Google 通过证书连接器协商获取的密钥访问贵单位的网络。Google 会在安全性协商过程中临时存储密钥,但当设备安装密钥后(或经过 24 小时后),Google 就会将其彻底清除。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。