Certificate Provisioning API

Certificate Provisioning API ช่วยให้ผสานรวมหน่วยงานที่รับรองใบรับรองกับการจัดสรรใบรับรองไคลเอ็นต์ ChromeOS ได้

ผู้ดูแลระบบ ChromeOS สามารถกำหนดค่าอุปกรณ์ ChromeOS หรือผู้ใช้ ChromeOS เพื่อขอใบรับรองไคลเอ็นต์จากผู้ออกใบรับรองภายนอกได้ ผู้ออกใบรับรองจะโต้ตอบกับ Certificate Provisioning API ผ่านอะแดปเตอร์การจัดสรรใบรับรอง (เช่น Google Cloud Certificate Connector (GCCC)) อะแดปเตอร์การจัดสรรใบรับรองแต่ละรายการจะได้รับการแจ้งเตือนเกี่ยวกับคำขอการจัดสรรใบรับรองใหม่ผ่าน Pub/Sub จากนั้นจะใช้ Certificate Provisioning API เพื่อโต้ตอบกับอุปกรณ์ ChromeOS หรือผู้ใช้ ChromeOS ที่ขอใบรับรอง

บริการนี้ทำงานร่วมกับแนวคิดหลักต่อไปนี้

• ใบรับรองไคลเอ็นต์คือใบรับรองดิจิทัล X.509 ที่ออกให้อุปกรณ์ ChromeOS หรือผู้ใช้ ChromeOS ระบบจะสร้างคู่คีย์ในอุปกรณ์และคีย์ส่วนตัวจะไม่มีการส่งออกนอกอุปกรณ์
• กระบวนการจัดสรรใบรับรอง (แสดงโดยทรัพยากร CertificateProvisioningProcess) อธิบายกระบวนการจัดสรรใบรับรองไคลเอ็นต์ ไคลเอ็นต์ที่ขอใบรับรองคืออุปกรณ์ ChromeOS หรือผู้ใช้ ChromeOS
• โปรไฟล์การจัดสรรใบรับรองจะอธิบายการกำหนดค่าของผู้ดูแลระบบสำหรับใบรับรองไคลเอ็นต์ ระบบจะจัดสรรใบรับรองให้กับลูกค้าสำหรับโปรไฟล์แต่ละรายการที่เกี่ยวข้อง

ขั้นตอนทั่วไปของกระบวนการจัดสรรใบรับรองมีดังนี้

• หลังจากดึงข้อมูลโปรไฟล์ใบรับรองไคลเอ็นต์แล้ว ไคลเอ็นต์จะเปิดกระบวนการจัดสรรใบรับรองซึ่งเชื่อมโยงกับทรัพยากรการจัดสรรใบรับรอง
• อะแดปเตอร์การจัดสรรใบรับรองแต่ละรายการที่สมัครรับข้อมูลในหัวข้อ Pub/Sub ที่เกี่ยวข้องจะได้รับการแจ้งเตือนเกี่ยวกับกระบวนการจัดสรรใบรับรองใหม่ การแจ้งเตือน Pub/Sub มีข้อความ CertificateProvisioningPubsubNotification proto ที่ส่งรหัสที่ไม่ซ้ำกันของกระบวนการจัดสรรใบรับรอง
• อะแดปเตอร์การจัดสรรใบรับรองแต่ละรายการเข้าถึงแหล่งข้อมูลกระบวนการจัดสรรใบรับรองได้ โปรดดูวิธีการget
• อินสแตนซ์อะแดปเตอร์หลายรายการสามารถทํางานพร้อมกันและพยายามอ้างสิทธิ์ในกระบวนการจัดสรรใบรับรองเดียวกันพร้อมกันได้ โปรดดูวิธีการอ้างสิทธิ์ อย่างไรก็ตาม วิธีการอ้างสิทธิ์จะสำเร็จสำหรับอินสแตนซ์อะแดปเตอร์รายการเดียวเท่านั้น ซึ่งจะต้องจัดการขั้นตอนที่เหลือของกระบวนการจัดสรรใบรับรองด้วย
• อะแดปเตอร์การจัดสรรใบรับรองสามารถขอลายเซ็นการเข้ารหัสซึ่งสร้างขึ้นโดยใช้คีย์ส่วนตัวของลูกค้า โปรดดูวิธีการ signData เมธอดนี้จะแสดงผลการดำเนินการที่ใช้เวลานาน
• อะแดปเตอร์การจัดสรรใบรับรองจะรับสถานะของการดำเนินการที่ทำงานต่อเนื่องเป็นระยะๆ โปรดดูวิธีการ get
• อะแดปเตอร์การจัดสรรใบรับรองจะอัปโหลดใบรับรองสำหรับกระบวนการจัดสรรใบรับรอง โปรดดูวิธีการ uploadCertificate ไคลเอ็นต์ ChromeOS จะนําเข้าใบรับรองนี้
• ตลอดกระบวนการจัดสรรใบรับรองทั้งหมด ตัวแปลงสามารถทําเครื่องหมายกระบวนการจัดสรรใบรับรองว่าไม่สําเร็จได้ โปรดดูวิธีการ setFailure หน้าการตั้งค่าใบรับรองในไคลเอ็นต์ ChromeOS แสดงข้อความแสดงข้อผิดพลาดที่ระบุ ไคลเอ็นต์จะพยายามจัดสรรใบรับรองอีกครั้งในบางโอกาส เช่น หลังจากผ่านไป 24 ชั่วโมงหรือหลังจากรีบูตอุปกรณ์

รูปแบบข้อความ Pub/Sub เริ่มต้น

ข้อความ Pub/Sub เริ่มต้นที่ส่งไปยังอะแดปเตอร์การจัดสรรใบรับรองเพื่อแจ้งให้ทราบเกี่ยวกับกระบวนการจัดสรรใบรับรองใหม่จะเป็นไปตามรูปแบบต่อไปนี้

message CertificateProvisioningProcessCreatedEventData {
  // Unique ID of the certificate provisioning process.
  string certificate_provisioning_process_id = 1;

  // The customer ID to which the client of the certificate provisioning process
  // belongs.
  string customer_id = 2;
}

// Content of the pubsub message that is sent to the adapter to notify it about
// a new event that should be handled.
message CertificateProvisioningPubsubNotification {
  oneof event {
    // Event data of the certificate provisioning process that was created.
    CertificateProvisioningProcessCreatedEventData
        certificate_provisioning_process_created_event_data = 1;
  }
}

ภาพรวมคร่าวๆ เกี่ยวกับเมธอด API

URL จะสัมพันธ์กับ https://chromemanagement.googleapis.com/v1/customers/{customer_id}

ดูตัวอย่างคำขอและการตอบกลับได้ที่ตัวอย่างโค้ด

ขอบเขต API

Chrome Management API ต้องใช้ขอบเขต OAuth ต่อไปนี้

https://www.googleapis.com/auth/chrome.management.certprov.provisioningprocess

ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมการตรวจสอบสิทธิ์