為受管理的行動裝置和 ChromeOS 裝置設定憑證

行動裝置: 支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Standard、Education Plus 和 Endpoint Education Upgrade;Cloud Identity 進階版。 版本比較

ChromeOS 裝置:必須使用 Chrome Enterprise 才能設定裝置憑證。

您可以透過地端部署憑證授權單位 (CA) 發布憑證,控管使用者在行動裝置和 ChromeOS 裝置上存取貴機構 Wi-Fi 和乙太網路、虛擬私人網路 (VPN),以及內部應用程式和網站的權限。Google Cloud Certificate Connector 是一項 Windows 服務,可將憑證和驗證金鑰從簡易憑證註冊通訊協定 (SCEP) 伺服器安全地發布到使用者的行動裝置和 ChromeOS 裝置。詳情請參閱本頁的「透過 Google Cloud Certificate Connector 驗證憑證的方式」。

您可以為 ChromeOS 裝置設定使用者憑證或裝置憑證,使用者憑證會新增至特定使用者的裝置上,供該名特定使用者存取。裝置憑證是根據裝置指派,任何登入裝置的使用者都能存取。詳情請參閱「在 Chrome 裝置上管理用戶端憑證」。

由於行動裝置和 ChromeOS 裝置支援不同的 RSA 金鑰類型,因此在控管行動裝置和 ChromeOS 裝置的 Wi-Fi 網路存取權時,您必須分別設定 SCEP 設定檔和 Wi-Fi 網路。

金鑰儲存空間的注意事項:

  • 針對行動裝置,系統會在 Google 伺服器上產生憑證的私密金鑰。一旦系統在裝置上安裝憑證,或產生金鑰後經過 24 小時 (以先發生的情況為準),就會從 Google 伺服器中清除金鑰。
  • 針對 ChromeOS 裝置,憑證的私密金鑰會在 ChromeOS 裝置上產生,而相對應的公開金鑰會暫時儲存於 Google 伺服器上,並在憑證安裝後予以清除。

系統需求

  • 支援 SCEP 伺服器的 Microsoft Active Directory 憑證服務,以及可發布憑證的 Microsoft 網路裝置註冊服務 (NDES)。
  • 行動裝置:採用進階行動管理服務的 iOS 和 Android 裝置。進一步瞭解裝置需求
  • ChromeOS 裝置:
    • 裝置憑證:ChromeOS 89 以上版本,並使用 Chrome Enterprise 管理。
    • 使用者憑證:ChromeOS 86 以上版本。
      注意:如果是 87 以下版本,使用者必須重新啟動裝置或等待幾小時,使用者憑證才會完成部署。

事前準備

  • 使用 Active Directory 使用者名稱時,如果需要憑證主體名稱,您必須將 Active Directory 和 Google Directory 與 Google Cloud Directory Sync (GCDS) 同步處理。如有需要,請設定 GCDS
  • 如果您尚未在 Google 管理控制台中上傳 CA 憑證,請新增憑證
  • 請詳閱已知問題,避免產生非預期的行為。

已知問題

  • 在裝置上安裝憑證之後即無法撤銷。
  • SCEP 設定檔不支援動態驗證。
  • 在某些情況下,機構單位之間沿用的 SCEP 設定檔可能發生問題。舉例來說,如果您為某個機構單位設定了 SCEP 設定檔,但是變更了子機構單位的 SCEP 設定檔,那麼子機構單位將「無法」再次沿用頂層機構單位的 SCEP 設定檔。
  • 就行動裝置而言,不能將 SCEP 設定檔套用至 VPN 或乙太網路設定,只能套用至 Wi-Fi。
  • 就 ChromeOS 裝置而言,不能將 SCEP 設定檔直接套用至 VPN 或乙太網路設定。如要將 SCEP 設定檔間接套用至 VPN 或乙太網路設定,請使用發行者模式或主體模式,自動選取要使用的憑證。
  • 對於 ChromeOS 裝置使用者來說,只有登入受管理裝置的使用者能部署憑證。使用者與裝置均必須屬於相同網域。

步驟 1:下載 Google Cloud Certificate Connector

在 SCEP 伺服器上執行下列步驟,或在有帳戶可於 SCEP 伺服器上以服務身分登入的 Windows 電腦上執行。同時備妥可用的帳戶憑證。

如果貴機構擁有數個伺服器,您可以在所有伺服器上使用相同的憑證連接器代理程式。請按照下列步驟,在一台電腦上下載並安裝安裝檔、設定檔和金鑰檔案。然後將這三個檔案複製到另一台電腦,並按照該電腦上的設定操作說明進行。

注意:您只需要在首次為貴機構設定憑證時,下載一次 Google Cloud Certificate Connector 及其元件。您的憑證和 SCEP 設定檔可共用一個憑證連接器。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「網路」

    必須具備共用裝置設定管理員權限。

  2. 按一下「安全 SCEP」 接下來「下載連接器」
  3. 在「安裝 Google Cloud Certificate Connector」部分,按一下「下載」
  4. 在「Google Cloud Certificate Connector」頁面中,按一下「下載」,即可下載 connector_installer.exe 檔案。
  5. 關閉「Thanks for downloading Google Cloud Certificate Connector!」頁面。
  6. 在管理控制台的「下載連接器設定檔」部分,按一下「下載」,即可下載 config.json 檔案。
  7. 在「取得服務帳戶金鑰」部分,按一下「產生金鑰」,下載 key.json 檔案。
  8. 以管理員身分執行 connector_installer.exe
    注意:安裝程式會使用預設憑證 (LocalService) 註冊連結器服務。之後,您可以變更服務,改用其他服務帳戶執行,方法是前往連接器的安裝目錄,然後執行 configtool.exe 開啟 ConfigTool。
  9. 將設定檔和金鑰檔案 (config.json 和 key.json) 移至安裝期間建立的 Google Cloud Certificate Connector 資料夾:C:\Program Files\Google Cloud Certificate Connector。
  10. 開啟 Google Cloud Certificate Connector 服務:
    1. 開啟 Windows 服務。
    2. 在服務清單中選取「Google Cloud Certificate Connector」
    3. 按一下「啟動」即可啟動服務。確保狀態變更為「執行中」。電腦重新啟動後,這項服務也會自動重新啟動。

如果您日後下載新的服務帳戶金鑰,請重新啟動服務,才能套用該金鑰。

步驟 2:新增 SCEP 設定檔

SCEP 設定檔會定義允許使用者存取 Wi-Fi 或乙太網路或 VPN 的憑證。您可以將設定檔新增至機構單位,藉此指派設定檔給特定使用者。您也可以設定多個 SCEP 設定檔,按照機構單位和裝置類型管理存取權。建議您根據需要套用設定檔的每個機構單位,分別設定 SCEP 設定檔。

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「網路」

    必須具備共用裝置設定管理員權限。

  2. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  3. 在「安全 SCEP」中,按一下「建立安全 SCEP 設定檔」。如果您已建立 SCEP 設定檔,請按一下「安全 SCEP」 接下來「新增安全 SCEP 設定檔」

  4. 輸入設定檔的設定詳細資料。如果您的 CA 發布特定範本,請將該設定檔的詳細資料與範本進行比對。

    • 這個設定檔適用的平台:使用 SCEP 設定檔的裝置平台。如果是 ChromeOS 裝置,請務必勾選「Chromebook (使用者)」、「Chromebook (裝置)」或兩者皆勾選 (視您要部署的憑證類型而定)。
    • SCEP 設定檔名稱:設定檔的描述性名稱。該名稱會顯示在設定檔清單以及 Wi-Fi 網路設定中的設定檔選取工具中。
    • 主體名稱格式:選擇您要如何識別憑證擁有者。如果您選取「完全辨別名稱」,憑證通用名稱就是使用者的使用者名稱。

    • 主體別名:請提供 SAN。預設值為「無」。針對 ChromeOS 裝置,您可以根據使用者和裝置屬性定義主體別名。如要使用自訂憑證簽署要求 (CSR),請在 CA 上設定憑證範本,這樣產生的憑證主體值才會與要求中定義的值相同。您至少需要提供主體 CommonName 的值。
      您可以使用下列預留位置。這些都是選用的值。

      • ${DEVICE_DIRECTORY_ID}:裝置的目錄 ID
      • ${USER_EMAIL}:已登入使用者的電子郵件地址
      • ${USER_EMAIL_DOMAIN}:已登入使用者的網域名稱
      • ${DEVICE_SERIAL_NUMBER}:裝置的序號
      • ${DEVICE_ASSET_ID}:管理員指派給裝置的資產 ID
      • ${DEVICE_ANNOTATED_LOCATION}:管理員指派給裝置的位置
      • ${USER_EMAIL_NAME}:已登入使用者電子郵件地址的前半部 (即 @ 之前的部分)。

      如果無法取得特定預留位置值,系統會以空白字串取代。

    • 簽署演算法:用於加密授權金鑰的雜湊函式。僅提供含有 RSA 的 SHA256。

    • 金鑰使用方式:如何使用金鑰、金鑰編密和簽署的選項。你可以選取多個選項。

    • 金鑰大小 (位元):RSA 金鑰的大小。如果是 ChromeOS 裝置,請選取 2048 位元。

    • 在「安全性」中,選取已連線裝置必須通過的認證類型。這項設定不適用於行動裝置。

    • 在「SCEP 伺服器屬性」部分,設定 SCEP 伺服器的值和偏好設定。

      • SCEP 伺服器網址:SCEP 伺服器的網址。
      • 憑證有效期限 (年):裝置憑證的有效期限。輸入格式為數字。
      • 更新間隔天數:在裝置憑證到期多久之前,嘗試更新憑證。
      • 擴充金鑰使用方式:使用金鑰的方式。您可以選擇多個值。
      • 驗證類型:Google 向 SCEP 伺服器發出憑證要求時,如果您需要 Google 提供指定的驗證詞組,請選擇「靜態」並輸入詞組。如果選取「無」,伺服器就不會要求進行這項檢查。
      • 範本名稱:NDES 伺服器使用的範本名稱。
      • 憑證授權單位:您上傳做為憑證授權單位的憑證名稱。
      • 這個設定檔適用的網路類型:使用 SCEP 設定檔的網路類型。
  5. 按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」

    如要日後還原沿用的值,請按一下「沿用」

新增設定檔之後,系統會列出該設定檔的名稱和已啟用的平台。在「平台」資料欄中,藍色圖示的平台代表設定檔已啟用,灰色圖示的平台則代表設定檔已停用。如要編輯設定檔,請將滑鼠游標移至該行,然後按一下「編輯」圖示

系統會自動將 SCEP 設定檔發布給機構單位中的使用者。

步驟 3:設定 Google Cloud Certificate Connector 的 KeyStore

如果憑證是由信任的 CA 或以 HTTP 開頭的 SCEP 伺服器網址所核發,請略過這個步驟。

如果憑證並非由信任的 CA 核發 (例如自行簽署的憑證),您必須將憑證匯入 Google Cloud Certificate Connector 的 KeyStore。否則,您將無法佈建裝置憑證,裝置也無法連線。

  1. 登入您的 CA。
  2. 如果尚未安裝 Java JRE,請先安裝該環境,以便使用 keytool.exe。
  3. 開啟命令提示字元。

  4. 匯出 CA 憑證,並執行下列指令,將憑證轉換為 PEM 檔案:

    certutil ‑ca.cert C:\root.cer
    certutil ‑encode cacert.cer cacert.pem

  5. 將 CA 憑證匯入 KeyStore。從安裝過程中建立的 Google Cloud Certificate Connector 資料夾子目錄執行下列指令 (子目錄的路徑通常為 C:\Program Files\Google Cloud Certificate Connector),並將 java-home-dir 改為 Google Cloud Certificate Connector 資料夾中的 JRE 路徑,並將 cert-export-dir 改為您在步驟 4 所匯出憑證的路徑:java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit

步驟 4:設定網路,要求 SCEP 設定檔 (選用)

視網路類型而定,您可以設定並要求 SCEP 設定檔。

要求用於 Wi-Fi 網路的 SCEP 設定檔

如要同時控管行動裝置和 ChromeOS 裝置的 Wi-Fi 網路存取權,請分別設定裝置的 Wi-Fi 網路。舉例來說,您可以為行動裝置設定一個 Wi-Fi 網路,並為行動裝置指派 SCEP 設定檔。接著為 ChromeOS 裝置設定另一個 Wi-Fi 網路,並指派 ChromeOS 裝置專用的 SCEP 設定檔。

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「網路」

    必須具備共用裝置設定管理員權限。

  2. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  3. 在「Wi-Fi」部分,按一下「建立 Wi-Fi 網路」。如果已設定 Wi-Fi 網路,請依序點選「Wi-Fi」接下來「新增 Wi-Fi」
  4. 在「平台存取權」部分,視需要勾選下列方塊:「Android」、「iOS」、「Chromebook (依使用者政策)」、「Chromebook (依裝置政策)」或「Google Meet 設備」
  5. 在「詳細資料」部分:
    1. 輸入 Wi-Fi 網路名稱和 SSID。
    2. 在「安全性設定」中,選取「WPA/WPA2 Enterprise (802.1X)」或「動態 WEP (802.1X)」
    3. 在「加強式驗證通訊協定」中,選擇「EAP-TLS」或「EAP-TTLS」
    4. 如果選取「EAP-TLS」,請在「佈建類型」中選取「SCEP 設定檔」或「憑證模式」,然後選擇下列任一做法:
      • 在「SCEP 設定檔」中,選取您在步驟 2 新增的 SCEP 設定檔。
      • 在「憑證模式」中,輸入「用戶端註冊網址」的值,以及「發行者模式」或「主體模式」的一或多個值。
    5. 輸入值,或選取所需其他 Wi-Fi 詳細資料的選項。
  6. 按一下 [儲存]
  7. 與使用者分享連線至網路的相關資訊:
    • 使用者每次嘗試連上 Wi-Fi 網路時,裝置都必須提供憑證。
    • 如果是 Android 和 ChromeOS 裝置,系統會自動填入與使用者 SCEP 設定檔和網路相對應的憑證,使用者只需點選「連線」即可。
    • 如果是 iOS 裝置,使用者必須選擇要使用的憑證,然後按一下「連線」

要求用於乙太網路的 SCEP 設定檔

您可以控管 ChromeOS 裝置的乙太網路存取權,方法是為裝置設定網路,然後指派 SCEP 設定檔。

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「網路」

    必須具備共用裝置設定管理員權限。

  2. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  3. 乙太網路:按一下「建立乙太網路」。如果您已設定乙太網路,請按一下「乙太網路」 接下來「新增乙太網路」
  4. 在「平台存取權」部分,視需要勾選下列方塊:「Chromebook (依使用者政策)」、「Chromebook (依裝置政策)」或「Google Meet 設備」
  5. 在「詳細資料」部分:
    1. 輸入乙太網路名稱。
    2. 在「驗證」中,選取「Enterprise (802.1X)」
    3. 在「加強式驗證通訊協定」中,選擇「EAP-TLS」或「EAP-TTLS」
    4. 如果選取「EAP-TLS」,請在「佈建類型」中選取「SCEP 設定檔」或「憑證模式」,然後選擇下列任一做法:
      • 在「SCEP 設定檔」中,選取您在步驟 2 新增的 SCEP 設定檔。
      • 在「憑證模式」中,輸入「用戶端註冊網址」的值,以及「發行者模式」或「主體模式」的一或多個值。
    5. 輸入值,或選取所需其他乙太網路詳細資料的選項。
  6. 按一下 [儲存]
  7. 與使用者分享連線至網路的相關資訊:
    • 使用者每次嘗試連上乙太網路時,裝置都必須提供憑證。
    • 系統會在 ChromeOS 裝置上自動輸入與 SCEP 設定檔和網路相對應的憑證,使用者只需點選「連線」即可。

要求用於 VPN 的 SCEP 設定檔

您可以控管 ChromeOS 裝置的 VPN 存取權,方法是為裝置設定網路,然後指派 SCEP 設定檔。

事前準備:如要為部門或團隊套用這項設定,請參閱「新增機構單位」。

  1. 在 Google 管理控制台中,依序點選「選單」圖示 接下來「裝置」接下來「網路」

    必須具備共用裝置設定管理員權限。

  2. (選用) 如要為特定部門或團隊套用設定,請選取側邊的「機構單位」
  3. 在「VPN」中,按一下「建立 VPN 網路」。如果你已設定 VPN,請依序點選「VPN」 接下來「新增 VPN」
  4. 在「平台存取權」部分,視需要勾選「Chromebook (依使用者政策)」或「Chromebook (依裝置政策)」方塊。
  5. 在「詳細資料」部分:
    1. 輸入 VPN 的名稱和遠端主機。
    2. 在「VPN 類型」中,選取所需的 VPN 類型,然後輸入該類型的詳細資料。
    3. 如果您已選取「OpenVPN」並勾選「使用用戶端憑證」方塊,請在「佈建類型」中選取「SCEP 設定檔」或「憑證模式」,然後選擇下列任一做法:
      • 在「SCEP 設定檔」中,選取您在步驟 2 新增的 SCEP 設定檔。
      • 在「憑證模式」中,輸入「用戶端註冊網址」的值,以及「發行者模式」或「主體模式」的一或多個值。
    4. 輸入值,或選取所需其他 VPN 詳細資料的選項。
  6. 按一下 [儲存]
  7. 與使用者分享連線至網路的相關資訊:
    • 使用者每次嘗試連線至 VPN 時,裝置都必須提供憑證。
    • 系統會在 ChromeOS 裝置上自動輸入與 SCEP 設定檔和網路相對應的憑證,使用者只需點選「連線」即可。

透過 Google Cloud Certificate Connector 驗證憑證的方式

Google Cloud Certificate Connector 是一項 Windows 服務,可在您的 SCEP 伺服器和 Google 之間建立專屬連線。設定檔和金鑰檔案會對憑證連接器進行設定和保護,而且這兩個檔案僅供貴機構專用。

您可以使用 SCEP 設定檔將裝置憑證指派給裝置及使用者。如要指派設定檔,請先選擇一個組織單位,然後將設定檔新增至該組織單位。設定檔包含發布裝置憑證的憑證授權單位。當使用者為行動裝置或 ChromeOS 裝置註冊管理服務時,Google 端點管理服務會擷取使用者的 SCEP 設定檔,並在裝置上安裝憑證。針對 ChromeOS 裝置,系統會在使用者登入前安裝裝置憑證,而使用者登入後則會安裝使用者憑證。如果您已為裝置完成註冊,則系統會在一般同步週期中同時安裝憑證。

當使用者嘗試連線至您的網路時,系統會提示使用者提供憑證。在 Android 裝置中,系統會自動選擇憑證,而使用者只需點選「連線」即可。在 iOS 裝置上,使用者則必須手動選取憑證,然後再進行連線。裝置會使用 Google 透過憑證連接器交涉產生的金鑰,存取貴機構的網路。Google 在安全性交涉期間會暫時儲存金鑰,但在裝置上安裝金鑰之後 (或 24 小時之後) 就會予以清除。


Google、Google Workspace 和其他相關符號及標誌均為 Google LLC 的商標,所有其他公司和產品名稱則是與個別公司關聯的商標。