Zertifikate für verwaltete Mobil- und Chrome OS-Geräte einrichten – Google Workspace-Administratorhilfe [gg-a-en]

Richten Sie Zertifikate für verwaltete Mobil- und Chrome OS-Geräte ein

Mobilgeräte: Unterstützte Editionen für diese Funktion: Frontline Standard ; Enterprise Standard und Enterprise Plus; Education Standard und Education Plus; Cloud Identity Premium. Vergleichen Sie Ihre Edition

Chrome OS-Geräte: Chrome Enterprise ist für gerätebasierte Zertifikate erforderlich .

Sie können den Benutzerzugriff auf die Wi-Fi-Netzwerke, internen Apps und internen Websites Ihrer Organisation auf Mobilgeräten und Chrome OS-Geräten steuern, indem Sie Zertifikate von Ihrer lokalen Zertifizierungsstelle (CA) verteilen. Der Google Cloud Certificate Connector ist ein Windows-Dienst, der Zertifikate und Authentifizierungsschlüssel sicher von Ihrem SCEP-Server (Simple Certificate Enrollment Protocol) an die Mobil- und Chrome OS-Geräte der Benutzer verteilt. Erfahren Sie mehr

Für Chrome OS-Geräte können Sie benutzerbasierte oder gerätebasierte Zertifikate einrichten. Ein Benutzerzertifikat wird einem Gerät für einen bestimmten Benutzer hinzugefügt und ist für diesen bestimmten Benutzer zugänglich. Ein Gerätezertifikat wird basierend auf dem Gerät zugewiesen und ist für jeden am Gerät angemeldeten Benutzer zugänglich. Weitere Informationen finden Sie unter Client-Zertifikate auf Chrome-Geräten verwalten .

Wenn Sie den WLAN-Netzwerkzugriff sowohl für Mobilgeräte als auch für Chrome OS-Geräte steuern möchten, müssen Sie separate SCEP-Profile und WLAN-Netzwerke einrichten, da Mobilgeräte und Chrome OS-Geräte unterschiedliche RSA-Schlüsseltypen unterstützen.

Hinweise zur Schlüsselaufbewahrung:

• Für mobile Geräte werden private Schlüssel für die Zertifikate auf Google-Servern generiert. Die Schlüssel werden nach der Installation des Zertifikats auf dem Gerät oder nach 24 Stunden, je nachdem, was zuerst eintritt, von den Google-Servern gelöscht.
• Bei Chrome OS-Geräten werden private Schlüssel für die Zertifikate auf dem Chrome-Gerät generiert. Der entsprechende öffentliche Schlüssel wird vorübergehend auf Google-Servern gespeichert und nach der Installation des Zertifikats gelöscht.

System Anforderungen

• Ihre Organisation verwendet den Microsoft Active Directory-Zertifikatdienst für einen SCEP-Server und den Microsoft Network Device Enrollment Service (NDES) zur Verteilung von Zertifikaten.
• Mobilgeräte: iOS- und Android-Geräte mit erweiterter Mobilgeräteverwaltung . Erfahren Sie mehr über Geräteanforderungen .
• Chrome OS-Geräte:
  • Gerätezertifikate: Chrome OS Version 89 oder höher und verwaltet mit Chrome Enterprise
  • Benutzerzertifikate: Chrome OS Version 86 oder höher. Hinweis: Bei Versionen vor 87 müssen Benutzer das Gerät neu starten oder einige Stunden warten, bis das Benutzerzertifikat bereitgestellt wird.

Bevor Sie beginnen

• Wenn Sie den Antragstellernamen des Zertifikats benötigen, um Active Directory-Benutzernamen zu verwenden, müssen Sie Ihr Active Directory und Google Directory mit Google Cloud Directory Sync (GCDS) synchronisieren. Richten Sie ggf. GCDS ein .
• Wenn Sie noch kein CA-Zertifikat in die Google Admin-Konsole hochgeladen haben, fügen Sie ein Zertifikat hinzu .
• Überprüfen Sie die bekannten Probleme, um unerwartetes Verhalten zu vermeiden.

Bekannte Probleme

• Zertifikate können nicht widerrufen werden, nachdem sie auf einem Gerät installiert wurden.
• SCEP-Profile unterstützen keine dynamischen Herausforderungen.
• Die SCEP-Profilvererbung zwischen Organisationseinheiten kann in einigen Fällen fehlschlagen. Wenn Sie beispielsweise ein SCEP-Profil für eine Organisationseinheit festlegen und das SCEP-Profil einer untergeordneten Organisationseinheit ändern, kann keines der SCEP-Profile der übergeordneten Organisationseinheit erneut von der untergeordneten Organisationseinheit geerbt werden.
• Bei Mobilgeräten können SCEP-Profile nicht auf VPN- oder Ethernet-Konfigurationen angewendet werden, sondern nur auf WLAN.
• Bei Chrome OS-Geräten können SCEP-Profile nicht direkt auf VPN- oder Ethernet-Konfigurationen angewendet werden. Um ein SCEP-Profil indirekt auf VPN- oder Ethernet-Konfigurationen anzuwenden, verwenden Sie Aussteller- oder Betreffmuster, um automatisch auszuwählen, welches Zertifikat verwendet werden soll.
• Für Benutzer von Chrome OS-Geräten können Zertifikate nur für Benutzer bereitgestellt werden, die bei einem verwalteten Gerät angemeldet sind. Der Benutzer und das Gerät müssen derselben Domäne angehören.

Schritt 1: Laden Sie den Google Cloud Certificate Connector herunter

Führen Sie die folgenden Schritte auf dem SCEP-Server oder einem Windows-Computer mit einem Konto aus, das sich als Dienst auf dem SCEP-Server anmelden kann. Halten Sie die Zugangsdaten für das Konto bereit.

Wenn Ihre Organisation über mehrere Server verfügt, können Sie auf allen denselben Zertifikat-Connector-Agenten verwenden. Laden Sie die Installationsdatei, die Konfigurationsdatei und die Schlüsseldatei herunter und installieren Sie sie auf einem Computer, wie in den folgenden Schritten beschrieben. Kopieren Sie dann diese drei Dateien auf den anderen Computer und befolgen Sie die Setup-Anweisungen auf diesem Computer.

Hinweis: Sie laden den Google Cloud Certificate Connector und seine Komponenten nur einmal herunter, wenn Sie zum ersten Mal Zertifikate für Ihre Organisation einrichten. Ihre Zertifikate und SCEP-Profile können einen einzigen Zertifikats-Connector gemeinsam nutzen.

1. Melden Sie sich bei Ihrer Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu Menü Geräte Netzwerke .
3. Klicken Sie auf Sicheres SCEP Connector herunterladen .
4. Klicken Sie im Abschnitt „Google Cloud Certificate Connector" auf „Herunterladen" . Durch den Download wird auf Ihrem Desktop ein Ordner erstellt, der den Zertifikats-Connector enthält. Wir empfehlen Ihnen, die anderen Connector-Konfigurationsdateien in diesen Ordner herunterzuladen.
5. Klicken Sie im Abschnitt „Connector-Konfigurationsdatei herunterladen" auf „Herunterladen" . Die Datei config.json wird heruntergeladen.
6. Klicken Sie im Abschnitt „Dienstkontoschlüssel abrufen" auf „Schlüssel generieren" . Die Datei key.json wird heruntergeladen.
7. Führen Sie das Installationsprogramm für den Zertifikats-Connector aus.
   1. Klicken Sie im Installationsassistenten auf Weiter .
   2. Akzeptieren Sie die Bedingungen der Lizenzvereinbarung und klicken Sie auf Weiter .
   3. Wählen Sie das Konto aus, für das der Dienst installiert wird, und klicken Sie auf Weiter . Das Konto muss über die Berechtigung verfügen, sich als Dienst auf dem SCEP-Server anzumelden.
   4. Wählen Sie den Installationsort. Wir empfehlen die Verwendung der Standardeinstellung. Klicken Sie auf Weiter .
   5. Geben Sie die Anmeldeinformationen Ihres Dienstkontos ein und klicken Sie auf Weiter . Der Dienst wird installiert.
   6. Klicken Sie auf Fertig stellen , um die Installation abzuschließen.
8. Verschieben Sie die Konfigurations- und Schlüsseldateien ( config.json und key.json ) in den Google Cloud Certificate Connector-Ordner, der während der Installation erstellt wurde, normalerweise: C:\Program Files\Google Cloud Certificate Connector .
9. Starten Sie den Google Cloud Certificate Connector-Dienst:
   1. Öffnen Sie die Windows-Dienste.
   2. Wählen Sie in der Liste der Dienste Google Cloud Certificate Connector aus.
   3. Klicken Sie auf Start, um den Dienst zu starten. Stellen Sie sicher, dass sich der Status in „Running" ändert. Der Dienst wird automatisch neu gestartet, wenn der Computer neu startet.

Wenn Sie später einen neuen Dienstkontoschlüssel herunterladen, starten Sie den Dienst neu, um ihn anzuwenden.

Schritt 2: Fügen Sie ein SCEP-Profil hinzu

Das SCEP-Profil definiert das Zertifikat, das Benutzern den Zugriff auf Ihr Wi-Fi-Netzwerk ermöglicht. Sie weisen das Profil bestimmten Benutzern zu, indem Sie es einer Organisationseinheit hinzufügen. Sie können mehrere SCEP-Profile einrichten, um den Zugriff nach Organisationseinheit und Gerätetyp zu verwalten.

Bevor Sie beginnen: Um die Einstellung für bestimmte Benutzer anzuwenden, ordnen Sie deren Konten einer Organisationseinheit zu.

1. Melden Sie sich bei Ihrer Google Admin-Konsole an.

   Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).

2. Gehen Sie in der Admin-Konsole zu Menü Geräte Netzwerke .
3. Klicken Sie auf SCEP-Profil erstellen .
4. Um die Einstellung auf alle anzuwenden, lassen Sie die oberste Organisationseinheit ausgewählt. Andernfalls wählen Sie eine untergeordnete Organisationseinheit aus. Hinweis: Aufgrund eines bekannten Problems empfehlen wir Ihnen, das SCEP-Profil für jede Organisationseinheit festzulegen, auf die das Profil angewendet werden soll.
5. Klicken Sie auf Sicheres SCEP-Profil hinzufügen .
6. Geben Sie die Konfigurationsdetails für das Profil ein. Wenn Ihre Zertifizierungsstelle eine bestimmte Vorlage herausgibt, passen Sie die Details des Profils an die Vorlage an.
   • SCEP-Profilname – Ein beschreibender Name für das Profil. Der Name wird in der Liste der Profile und in der Profilauswahl in der Wi-Fi-Netzwerkkonfiguration angezeigt.
   • Format des Betreffnamens: Wählen Sie aus, wie Sie den Zertifikatsinhaber identifizieren möchten. Wenn Sie „Fully Distinguished Name" auswählen, ist der allgemeine Name des Zertifikats der Benutzername des Benutzers.
   • Alternativer Antragstellername: Geben Sie ein SAN an. Der Standardwert ist None .

     Für Chrome OS-Geräte können Sie alternative Betreffnamen basierend auf Benutzer- und Geräteattributen definieren. Um eine benutzerdefinierte Zertifikatsignierungsanforderung (CSR) zu verwenden, konfigurieren Sie die Zertifikatvorlage auf der Zertifizierungsstelle so, dass sie ein Zertifikat mit den in der Anforderung selbst definierten Betreffwerten erwartet und generiert. Sie müssen mindestens einen Wert für den CommonName des Subjekts angeben.

     Sie können die folgenden Platzhalter verwenden. Alle Werte sind optional.

     • ${DEVICE_DIRECTORY_ID} – Verzeichnis-ID des Geräts
     • ${USER_EMAIL} – E-Mail-Adresse des angemeldeten Benutzers
     • ${USER_EMAIL_DOMAIN} Domänenname des angemeldeten Benutzers
     • ${DEVICE_SERIAL_NUMBER} Seriennummer des Geräts
     • ${DEVICE_ASSET_ID} – Dem Gerät vom Administrator zugewiesene Asset-ID
     • ${DEVICE_ANNOTATED_LOCATION} – Standort, der dem Gerät vom Administrator zugewiesen wurde
     • ${USER_EMAIL_NAME} – Erster Teil (Teil vor @) der E-Mail-Adresse des angemeldeten Benutzers

     Wenn kein Platzhalterwert verfügbar ist, wird er durch eine leere Zeichenfolge ersetzt.

   • Signaturalgorithmus – Die Hash-Funktion, die zum Verschlüsseln des Autorisierungsschlüssels verwendet wird. Es ist nur SHA256 mit RSA verfügbar.
   • Schlüsselverwendung – Optionen für die Verwendung des Schlüssels, Schlüsselverschlüsselung und Signierung. Sie können mehrere auswählen.
   • Schlüsselgröße (Bits) – Die Größe des RSA-Schlüssels. Wählen Sie für Chrome OS-Geräte 2048 aus.
   • SCEP-Server-URL – Die URL des SCEP-Servers.
   • Gültigkeitsdauer des Zertifikats (Jahre): Gibt an, wie lange das Gerätezertifikat gültig ist. Als Zahl eingeben.
   • Innerhalb von Tagen erneuern – Gibt an, wie lange es dauert, bis das Gerätezertifikat abläuft, um zu versuchen, das Zertifikat zu erneuern.
   • Erweiterte Schlüsselverwendung – Wie der Schlüssel verwendet werden kann. Sie können mehr als einen Wert auswählen.
   • Challenge-Typ – Um von Google die Bereitstellung einer bestimmten Challenge-Phrase zu verlangen, wenn es ein Zertifikat vom SCEP-Server anfordert, wählen Sie „Statisch" aus und geben Sie die Phrase ein. Wenn Sie „Keine" auswählen, benötigt der Server diese Prüfung nicht.
   • Vorlagenname – Der Name der von Ihrem NDES-Server verwendeten Vorlage.
   • Zertifizierungsstelle – Der Name eines Zertifikats, das Sie hochgeladen haben, um es als Zertifizierungsstelle zu verwenden.
   • Netzwerktyp, für den dieses Profil gilt: Der Typ der Netzwerke, die das SCEP-Profil verwenden.
   • Plattformen, für die dieses Profil gilt : Die Geräteplattformen, die das SCEP-Profil verwenden. Stellen Sie bei Chrome OS-Geräten sicher, dass Sie „Chromebook (Benutzer)" , „Chromebook (Gerät)" oder beides aktivieren, abhängig von der Art des Zertifikats, das Sie bereitstellen möchten.
7. Klicken Sie auf Speichern . Wenn Sie eine untergeordnete Organisationseinheit konfiguriert haben, können Sie möglicherweise die Einstellungen einer übergeordneten Organisationseinheit erben oder überschreiben .

Nachdem Sie ein Profil hinzugefügt haben, wird es mit seinem Namen und den Plattformen, auf denen es aktiviert ist, aufgelistet. In der Spalte „Plattform" ist das Profil für Plattformen mit blauen Symbolen aktiviert und für Plattformen mit grauen Symbolen deaktiviert. Um ein Profil zu bearbeiten, zeigen Sie auf die Zeile und klicken Sie auf Bearbeiten .

Das SCEP-Profil wird automatisch an Benutzer in der Organisationseinheit verteilt.

Schritt 3: Konfigurieren Sie den Keystore des Google Cloud Certificate Connectors

Wenn Ihr Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde oder die URL Ihres SCEP-Servers mit HTTP beginnt, überspringen Sie diesen Schritt.

Wenn Ihr Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, beispielsweise ein selbstsigniertes Zertifikat, müssen Sie das Zertifikat in den Google Cloud Certificate Connector-Keystore importieren. Andernfalls kann das Gerätezertifikat nicht bereitgestellt werden und das Gerät kann keine Verbindung herstellen.

1. Melden Sie sich bei Ihrer CA an.
2. Wenn noch keine Java-JRE installiert ist, installieren Sie eine, damit Sie keytool.exe verwenden können.
3. Öffnen Sie eine Eingabeaufforderung.
4. Exportieren Sie Ihr CA-Zertifikat und konvertieren Sie es in eine PEM-Datei, indem Sie die folgenden Befehle ausführen:

     certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem

5. Importieren Sie das CA-Zertifikat in den Keystore. Führen Sie im Unterverzeichnis des während der Installation erstellten Google Cloud Certificate Connector-Ordners, normalerweise C:\Programme\Google Cloud Certificate Connector, den folgenden Befehl aus:

   java-home-dir \bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir \cacert.pem ‑storepass changeit

   Ersetzen Sie java-home-dir durch den Pfad zur JRE im Google Cloud Certificate Connector-Ordner und cert-export-dir durch den Pfad zu dem Zertifikat, das Sie in Schritt 4 exportiert haben.

Schritt 4: WLAN-Netzwerke so konfigurieren, dass sie das SCEP-Profil erfordern (optional)

Nachdem die Mobil- oder Chrome OS-Geräte der Benutzer Zertifikate vom SCEP-Server erhalten haben, können Sie Wi-Fi-Netzwerke so konfigurieren, dass eine Zertifikatauthentifizierung erforderlich ist.

Um den Wi-Fi-Netzwerkzugriff sowohl für Mobilgeräte als auch für Chrome OS-Geräte zu steuern, richten Sie jeweils separate Wi-Fi-Netzwerke ein. Richten Sie beispielsweise ein Wi-Fi-Netzwerk für Mobilgeräte ein und weisen Sie ihm ein SCEP-Profil für Mobilgeräte zu. Richten Sie ein weiteres Wi-Fi-Netzwerk für Chrome OS-Geräte ein und weisen Sie Chrome OS-Geräten ein SCEP-Profil zu.

So wählen Sie das Zertifikat aus und wenden das SCEP-Profil auf ein Wi-Fi-Netzwerk an:

1. Fügen Sie eine WLAN-Konfiguration hinzu oder bearbeiten Sie eine vorhandene Konfiguration.
2. Aktivieren Sie im Abschnitt „Plattformzugriff" das Kontrollkästchen für Android oder iOS oder beides.
3. Legen Sie im Abschnitt „Details" Folgendes fest:
   1. Wählen Sie für Sicherheitseinstellungen WPA/WPA2 Enterprise (802.1 X) oder Dynamic WEP (802.1 X) aus.
   2. Wählen Sie für das Extensible Authentication Protocol EAP-TLS oder EAP-TTLS aus.
   3. Wählen Sie für SCEP-Profil das SCEP-Profil aus, das Sie auf dieses Netzwerk anwenden möchten.
4. Klicken Sie auf Speichern .

Wenn Benutzer nun zum ersten Mal versuchen, eine Verbindung zum Wi-Fi-Netzwerk herzustellen, muss ihr Gerät das Zertifikat bereitstellen.

• Bei Android- und Chrome OS-Geräten werden das ihrem SCEP-Profil entsprechende Zertifikat und das Netzwerk automatisch ausgefüllt und der Benutzer klickt auf „Verbinden" .
• Bei iOS-Geräten muss der Benutzer das zu verwendende Zertifikat auswählen und dann auf „Verbinden" klicken.

So funktioniert die Zertifikatauthentifizierung über Google Cloud Certificate Connector

Der Google Cloud Certificate Connector ist ein Windows-Dienst, der eine exklusive Verbindung zwischen Ihrem SCEP-Server und Google herstellt. Der Zertifikats-Connector wird durch eine Konfigurationsdatei und eine Schlüsseldatei konfiguriert und gesichert, die beide nur für Ihre Organisation bestimmt sind.

Mit SCEP-Profilen weisen Sie Geräten und Benutzern Gerätezertifikate zu. Um ein Profil zuzuweisen, wählen Sie eine Organisationseinheit aus und fügen das Profil dieser Organisationseinheit hinzu. Das Profil enthält die Zertifizierungsstelle, die Gerätezertifikate ausstellt. Wenn ein Nutzer sein Mobilgerät oder Chrome OS-Gerät für die Verwaltung registriert, ruft die Google-Endpunktverwaltung das SCEP-Profil des Nutzers ab und installiert das Zertifikat auf dem Gerät. Bei Chrome OS-Geräten wird ein Gerätezertifikat installiert, bevor sich der Benutzer anmeldet, wohingegen ein Benutzerzertifikat installiert wird, nachdem sich der Benutzer anmeldet. Wenn das Gerät bereits registriert ist, wird das Zertifikat im Rahmen eines regelmäßigen Synchronisierungszyklus installiert.

Wenn ein Benutzer versucht, eine Verbindung zu Ihrem Netzwerk herzustellen, wird er aufgefordert, das Zertifikat bereitzustellen. Auf Android-Geräten wird das Zertifikat automatisch ausgewählt und der Benutzer klickt auf „Verbinden" . Auf iOS-Geräten muss der Benutzer das Zertifikat manuell auswählen und dann eine Verbindung herstellen. Das Gerät greift über einen von Google über den Zertifikats-Connector ausgehandelten Schlüssel auf das Netzwerk Ihrer Organisation zu. Google speichert den Schlüssel während der Sicherheitsaushandlung vorübergehend, löscht ihn jedoch, sobald er auf dem Gerät installiert ist (oder nach 24 Stunden).

_{Google, Google Workspace und zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Firmen- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.}