Мобильные устройства:Эта функция доступна в версиях Frontline Standard, Enterprise Standard и Enterprise Plus, Education Standard, Education Plus и лицензия Endpoint Education, Cloud Identity Premium. Сравнение версий
Устройства Chrome OS: для сертификатов устройств требуется Chrome Enterprise..
Распространяя сертификаты из своего локального центра сертификации (ЦС), вы можете управлять доступом пользователей мобильных устройств и устройств Chrome OS к сетям Wi-Fi, внутренним приложениям и внутренним сайтам организации. Google Cloud Certificate Connector – это служба Windows, которая обеспечивает защищенное распространение сертификатов и ключей аутентификации с сервера SCEP (Simple Certificate Enrollment Protocol) на мобильные устройства и устройства Chrome OS. Подробнее…
Для устройств Chrome OS можно настроить сертификаты пользователей или устройств. Сертификат пользователя добавляется на устройство определенного человека и доступен только ему. Сертификат устройства назначается для определенного устройства и доступен любому пользователю, выполнившему вход на этом устройстве. Подробнее о том, как управлять сертификатами клиента на устройствах Chrome…
Чтобы управлять доступом к сети Wi-Fi для обеих групп устройств (мобильных и Chrome OS), настройте для каждой из них профиль SCEP и сеть Wi-Fi. Это необходимо, так как мобильные устройства и устройства Chrome OS поддерживают разные типы ключей RSA.
Примечания относительно хранения ключей
- Мобильные устройства: закрытые ключи для сертификатов генерируются на серверах Google. После установки сертификата на устройство или по истечении 24 часов (в зависимости от того, что произойдет раньше) ключи удаляются с серверов Google без возможности восстановления.
- Устройства Chrome OS: закрытые ключи для сертификатов генерируются на устройстве Chrome. Соответствующий открытый ключ временно сохраняется на серверах Google и удаляется без возможности восстановления после установки сертификата.
Требования к системе
- Для работы сервера SCEP в организации используется служба сертификатов Microsoft Active Directory, а для распространения сертификатов – служба регистрации сертификатов для сетевых устройств (NDES) от Microsoft.
- Мобильные устройства: устройства iOS и Android, для которых настроено расширенное управление мобильными устройствами. Подробнее о требованиях к устройствам…
- Устройства Chrome OS:
- Для работы с сертификатами устройств требуются Chrome OS 89 или более поздней версии и Chrome Enterprise.
- Для работы с сертификатами пользователей требуется Chrome OS 86 или более поздней версии. Примечание. Если на устройстве установлена более ранняя версия, чем 87, то для развертывания сертификатов пользователей им необходимо перезапустить устройство или подождать несколько часов.
Подготовка
- Если в имени субъекта сертификата нужно использовать имена пользователей Active Directory, настройте синхронизацию Active Directory с каталогом Google с помощью Google Cloud Directory Sync (GCDS). При необходимости настройте GCDS.
- Добавьте сертификат ЦС, если он ещё не загружен в консоль администратора Google.
- Ознакомьтесь со списком известных проблем.
Известные проблемы
- Сертификаты нельзя отменить после установки на устройство.
- Профили SCEP не поддерживают динамическую дополнительную аутентификацию.
- Наследование профилей SCEP между организационными подразделениями работает не всегда. Например, если настроить профиль SCEP для организационного подразделения и изменить профиль SCEP в дочернем подразделении, то ни один из профилей SCEP родительского подразделения не будет снова унаследован в дочернем.
- Профили SCEP для мобильных устройств нельзя применять к конфигурациям VPN и Ethernet. Применить профили можно только к сетям Wi-Fi.
- Профили SCEP для устройств Chrome OS нельзя применять к конфигурациям VPN и Ethernet напрямую. Однако их можно применить косвенным образом, используя автоматический выбор сертификатов в шаблонах ЦС или субъекта.
- Сертификаты пользователей на устройствах Chrome OS можно развернуть только для пользователей, которые вошли в систему на управляемом устройстве. И пользователь, и устройство должны принадлежать одному домену.
Шаг 1. Скачайте Google Cloud Certificate Connector
Выполните следующие шаги на сервере SCEP. В качестве альтернативы можно использовать компьютер Windows с аккаунтом, который позволяет выполнить вход на сервер SCEP в качестве службы. Учетные данные этого аккаунта должны быть доступны.
Если в организации используется несколько серверов, для них можно использовать один и тот же агент коннектора. Скачайте установочный файл, файл конфигурации и файл ключа на один компьютер и выполните установку в соответствии с инструкциями, приведенными в следующих шагах. Затем скопируйте эти три файла на другой компьютер и выполните аналогичные действия для их установки.
Примечание. Google Cloud Certificate Connector и его компоненты скачиваются только один раз – при первой настройке сертификатов в вашей организации. Для ваших сертификатов и профилей SCEP может совместно использоваться один коннектор.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню УстройстваСети.
- Нажмите Защищенные профили SCEP Скачать коннектор.
- В разделе Google Cloud Certificate Connector нажмите Скачать. В процессе скачивания на рабочем столе вашего компьютера будет создана папка с коннектором сертификата. Рекомендуем скачать в эту же папку другие файлы конфигурации коннектора.
- На экране "Шаг 2. Скачайте файл конфигурации коннектора" нажмите Скачать. Будет скачан файл
config.json
. - На экране "Шаг 3. Получите ключ для сервисного аккаунта" нажмите Создать ключ. Будет скачан файл
key.json
. - Запустите установщик коннектора сертификата.
- В мастере установки нажмите Далее.
- Примите условия лицензионного соглашения и нажмите Далее.
- Выберите аккаунт, для которого выполняется установка этой службы, и нажмите Далее. У аккаунта должны быть права для входа на сервер SCEP в качестве службы.
- Выберите папку для установки. Рекомендуем использовать папку по умолчанию. Нажмите Далее.
- Введите учетные данные аккаунта службы и нажмите Далее. Начнется установка службы.
- Чтобы завершить установку, нажмите Готово.
- Переместите файл конфигурации и файл ключа (
config.json
иkey.json
) в папку Google Cloud Certificate Connector, созданную в процессе установки:C:\Program Files\Google Cloud Certificate Connector
. - Запустите службу Google Cloud Certificate Connector:
- Откройте приложение "Службы" в Windows.
- Выберите Google Cloud Certificate Connector в списке служб.
- Нажмите Запустить. Убедитесь, что статус службы изменился на Выполняется. Служба автоматически перезапустится после перезагрузки компьютера.
Если позже вы скачаете новый ключ аккаунта службы, то для его применения нужно будет перезапустить эту службу.
Шаг 2. Добавьте профиль SCEP
Профиль SCEP определяет сертификат, позволяющий пользователям получить доступ к вашей сети Wi-Fi. Чтобы назначить этот профиль конкретным пользователям, его следует добавить в соответствующее организационное подразделение. Можно настроить несколько профилей SCEP, чтобы управлять доступом как по организационному подразделению, так и по типу устройства.
Подготовка. Если вам нужно подготовить отдел или группу для этого параметра, ознакомьтесь со статьей Как добавить организационное подразделение.
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню УстройстваСети.
- Нажмите Создать профиль SCEP.
-
Чтобы применить параметр к отделу или команде, выберите сбоку организационное подразделение. Инструкции Примечание. Рекомендуется настроить профиль SCEP для каждого организационного подразделения, к которому он должен применяться, так как с наследованием этих профилей существует известная проблема.
- Нажмите Добавить защищенный профиль SCEP.
- Введите параметры конфигурации для этого профиля. Если ваш центр сертификации предоставляет конкретный шаблон, настройте параметры профиля в соответствии с ним.
- Название профиля SCEP – понятное название профиля. Это название будет отображаться в списке профилей и в переключателе профилей конфигурации сети Wi-Fi.
- Формат имени субъекта – имя владельца сертификата. Если выбрать вариант Полностью уникальное имя, то в качестве общего названия сертификата будет использоваться имя пользователя.
- Альтернативное имя субъекта – укажите альтернативное имя. Значение по умолчанию: Нет.
Для устройств Chrome OS альтернативное имя субъекта можно задать на основе атрибутов пользователя и устройства. Чтобы использовать собственный запрос на подпись сертификата (CSR), настройте шаблон сертификата в ЦС. Сертификат должен генерироваться со значениями субъекта, заданными в самом запросе. Как минимум необходимо предоставить значение для параметра CommonName.
Вы можете использовать теги, указанные ниже. Все значения приведены в качестве примера.
${DEVICE_DIRECTORY_ID}
– идентификатор каталога для устройства.${USER_EMAIL}
– адрес электронной почты пользователя, выполнившего вход.${USER_EMAIL_DOMAIN}
– доменное имя пользователя, выполнившего вход.${DEVICE_SERIAL_NUMBER}
– серийный номер устройства.${DEVICE_ASSET_ID}
– идентификатор объекта, назначенный устройству администратором.${DEVICE_ANNOTATED_LOCATION}
– местоположение, назначенное устройству администратором.${USER_EMAIL_NAME}
– первая часть (до @) адреса электронной почты пользователя, выполнившего вход.
Если значение-плейсхолдер недоступно, оно заменяется пустой строкой.
- Алгоритм подписи – хеш-функция, используемая для шифрования ключа авторизации. Доступен только хеш SHA256 с шифрованием RSA.
- Назначение ключа – варианты использования ключа, его шифрования и подписи. Можно выбрать несколько.
- Размер ключа (в битах) – размер ключа RSA. Для устройств Chrome OS выбирайте значение 2048.
- URL SCEP-сервера – URL-адрес SCEP-сервера.
- Период действия сертификата (лет) – срок, в течение которого сертификат устройства будет действителен. Указывается в виде числа.
- Укажите количество дней для продления – срок до прекращения действия сертификата устройства, в течение которого можно продлить этот сертификат.
- Расширенное назначение ключа – варианты использования ключа. Можно выбрать несколько значений.
- Тип дополнительной аутентификации – чтобы со стороны Google предоставлялся пароль для дополнительной аутентификации при запросе сертификата от SCEP-сервера, выберите Статический и укажите этот пароль. Если выбрать значение Нет, сервер не будет требовать эту проверку.
- Название шаблона – название шаблона, используемого сервером NDES.
- Центр сертификации – название сертификата, загруженного для использования в качестве центра сертификации.
- Тип сети, для которой действует этот профиль – тип сетей, в которых используется этот профиль SCEP.
- Платформы, для которых действует этот профиль – платформы устройств, на которых используется этот профиль SCEP. Для устройств Chrome OS должно быть выбрано значение Chromebook (пользователь), Chromebook (устройство) или оба эти варианта (в зависимости от типа сертификата, который требуется развернуть).
- Нажмите Сохранить. Также можно нажать Переопределить для организационное подразделение.
Чтобы вернуться к наследуемому значению, нажмите Наследовать.
После добавления профиля его название появляется в списке. Там же указываются платформы, для которых он включен. В столбце Платформа значки синего цвета будут указывать на платформы, для которых профиль включен, а значки серого цвета – на платформы, к которым он не применяется. Чтобы внести изменения в профиль, наведите указатель на соответствующую строку и нажмите на значок "Изменить" .
Выбранный профиль SCEP автоматически распространяется на пользователей, состоящих в организационном подразделении.
Шаг 3. Настройте хранилище ключей Google Cloud Certificate Connector
Если сертификат выпущен доверенным ЦС или URL сервера SCEP начинается с HTTP, пропустите этот шаг.
Если сертификат не выпущен доверенным ЦС (это относится к самозаверяющим сертификатам), его необходимо импортировать в хранилище ключей Google Cloud Certificate Connector. Если этого не сделать, сертификат устройства не будет предоставлен и устройство не сможет подключиться.
- Выполните вход в ЦС.
- Если пакет Java JRE ещё не установлен, установите его, чтобы получить инструмент keytool.exe.
- Откройте командную строку.
- Экспортируйте сертификат ЦС и преобразуйте его в PEM-файл, запустив следующие команды:
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- Импортируйте сертификат ЦС в хранилище ключей. Из подкаталога папки Google Cloud Certificate Connector, созданной при установке (обычно это C:\Program Files\Google Cloud Certificate Connector), запустите следующую команду:
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
Замените
java-home-dir
на путь к JRE в папке Google Cloud Certificate Connector, аcert-export-dir
– на путь к сертификату, который вы экспортировали в пункте 4.
Шаг 4. Настройте в сетях Wi-Fi запрос профиля SCEP (необязательно)
После того как устройства пользователей (мобильные или Chrome OS) получат сертификаты от сервера SCEP, можно настроить в сетях Wi-Fi запрос на аутентификацию с помощью сертификата.
Чтобы управлять доступом к сети Wi-Fi для обеих групп устройств (мобильных и Chrome OS), настройте для каждой из них сеть Wi-Fi, а также назначьте соответствующий профиль SCEP.
Чтобы выбрать сертификат и применить профиль SCEP к сети Wi-Fi, выполните следующие действия:
- Создайте конфигурацию Wi-Fi или внесите изменения в уже существующую.
- В разделе "Доступ к платформе" установите флажок Android и/или iOS.
- В разделе "Подробности" введите следующие данные:
- В строке Настройки безопасности выберите значение WPA/WPA2 Enterprise (802.1 X) или Dynamic WEP (802.1 X).
- В строке Расширяемый протокол аутентификации выберите значение EAP-TLS или EAP-TTLS.
- В строке Профиль SCEP выберите нужный профиль SCEP.
- Нажмите Сохранить.
Теперь при первом подключении к этой сети Wi-Fi устройство пользователя должно будет предоставить сертификат.
- На устройствах Android и Chrome OS сертификат, который соответствует нужному профилю SCEP, и сеть указываются автоматически, так что пользователю достаточно нажать Подключиться.
- Пользователям устройств iOS придется выбрать нужный сертификат самостоятельно и уже после этого нажать Подключиться.
Как осуществляется аутентификация с запросом сертификата через Google Cloud Certificate Connector
Google Cloud Certificate Connector – это служба Windows, с помощью которой устанавливается эксклюзивное соединение между вашим SCEP-сервером и серверами Google. Настройка и шифрование коннектора сертификата выполняются с использованием файла конфигурации и файла ключа, которые относятся только к вашей организации.
Сертификаты устройств назначаются устройствам и пользователям с помощью профилей SCEP. Чтобы назначить профиль, добавьте его к выбранному организационному подразделению. В профиле указывается центр сертификации, выпускающий сертификаты устройств. Когда пользователь регистрирует свое устройство (мобильное или Chrome OS) в качестве управляемого, система управления конечными точками Google получает назначенный этому пользователю профиль SCEP и устанавливает сертификат на устройство. Для устройств Chrome OS сертификат устройства устанавливается до того, как пользователь выполнит вход, а сертификат пользователя – после входа. Если устройство уже зарегистрировано, то сертификат устанавливается в ходе обычной синхронизации.
При попытке пользователя подключиться к вашей сети он получает запрос на предоставление сертификата. На устройствах Android выбор сертификата осуществляется автоматически, после чего пользователю остается только нажать Подключиться. Пользователи устройств iOS выбирают сертификат вручную, после чего подключаются к сети. Устройство получает доступ к сети вашей организации с помощью ключа, согласованного с Google через коннектор сертификата. Google временно хранит этот ключ, пока выполняется согласование защищенного доступа. Ключ удаляется без возможности восстановления после установки на устройство (или через 24 часа).
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.