Certificate Provisioning API, sertifika yetkililerinin ChromeOS istemci sertifikası temel hazırlığıyla entegre edilmesine olanak tanır.
ChromeOS yöneticileri, ChromeOS cihazlarını veya ChromeOS kullanıcılarını harici bir sertifika yetkilisinden istemci sertifikası isteyecek şekilde yapılandırabilir. Sertifika yetkilisi, Sertifika Hazırlama Bağdaştırıcılar (ör. Google Cloud Sertifika Bağlayıcısı (GCCC)) aracılığıyla Sertifika Hazırlama API'siyle etkileşim kurar. Her Sertifika Hazırlama Bağdaştırıcısı, Pub/Sub üzerinden yeni sertifika sağlama istekleri hakkında bildirim alır ve ardından sertifika isteyen ChromeOS cihaz veya ChromeOS kullanıcısıyla etkileşime geçmek için Sertifika Hazırlama API'sini kullanır.
Bu hizmet aşağıdaki temel kavramlarla çalışır:
- İstemci sertifikası, ChromeOS cihaz veya ChromeOS kullanıcısı için verilen bir X.509 dijital sertifikadır. Anahtar çifti cihazda oluşturulur ve özel anahtar hiçbir zaman cihazdan dışarı çıkmaz.
- Sertifika temel hazırlığı süreci (CertificateProvisioningProcess kaynağıyla temsil edilir), istemci sertifikası temel hazırlığı sürecini tanımlar. Sertifika isteyen istemci, ChromeOS cihaz veya ChromeOS kullanıcısıdır.
- Sertifika temel hazırlık profili, yöneticinin istemci sertifikası için yapılandırmasını açıklar. İstemciler, kendileri için geçerli olan her profil için bir sertifika ile temel hazırlığa tabi tutulur.
Sertifika temel hazırlığı sürecinin genel akışı:
- İstemci, istemci sertifikası profilini getirdikten sonra bir sertifika temel hazırlığı kaynağına bağlı bir sertifika temel hazırlığı işlemi başlatır.
- İlgili Pub/Sub konusuna abone olan her Certificate Provisioning Adapter, yeni bir sertifika sağlama işlemi hakkında bilgilendirilir. Pub/Sub bildirimi, sertifika sağlama sürecinin benzersiz kimliğini ileten bir CertificateProvisioningPubsubNotification proto mesajı içerir.
- Her Sertifika Hazırlama Bağdaştırıcısı, sertifika sağlama işlemi kaynağına erişebilir. get yöntemine bakın.
- Birden fazla bağdaştırıcının örneği paralel olarak çalışabilir ve aynı sertifika sağlama sürecini aynı anda talep etmeye çalışabilir. claim yöntemine bakın. Ancak hak talebi yöntemi yalnızca tek bir bağdaştırıcının örneği için başarılı olur. Bu örnek, sertifika sağlama sürecinin geri kalan adımlarını da işlemelidir.
- Sertifika Hazırlama Bağdaştırıcısı, istemcinin özel anahtarı kullanılarak oluşturulan bir kriptografik imza isteyebilir. signData yöntemine bakın. Bu yöntem, uzun süren bir işlem döndürür.
- Sertifika Hazırlama Bağdaştırıcısı, uzun süren işlemin durumunu düzenli aralıklarla alır. get yöntemine bakın.
- Sertifika sağlama bağdaştırıcısı, sertifika sağlama işlemi için bir sertifika yükler. uploadCertificate yöntemine bakın. Bu sertifika, ChromeOS istemcisi tarafından içe aktarılır.
- Sertifika sağlama sürecinin tamamı boyunca bağdaştırıcı, sertifika sağlama sürecini başarısız olarak işaretleyebilir. setFailure yöntemine bakın. ChromeOS istemcisinin sertifika ayarları sayfasında verilen hata mesajı gösterilir. İstemci, sertifika sağlama işlemini belirli durumlarda (ör. 24 saat sonra veya cihazı yeniden başlattıktan sonra) yeniden dener.
İlk Pub/Sub mesaj biçimi
Sertifika sağlama bağdaştırıcılarına yeni bir sertifika sağlama süreci hakkında bilgi vermek için gönderilen ilk Pub/Sub mesajı aşağıdaki biçime uyar:
message CertificateProvisioningProcessCreatedEventData {
// Unique ID of the certificate provisioning process.
string certificate_provisioning_process_id = 1;
// The customer ID to which the client of the certificate provisioning process
// belongs.
string customer_id = 2;
}
// Content of the pubsub message that is sent to the adapter to notify it about
// a new event that should be handled.
message CertificateProvisioningPubsubNotification {
oneof event {
// Event data of the certificate provisioning process that was created.
CertificateProvisioningProcessCreatedEventData
certificate_provisioning_process_created_event_data = 1;
}
}
API yöntemlerine hızlı genel bakış
URL'ler https://chromemanagement.googleapis.com/v1/customers/{customer_id} ile ilgilidir
| Açıklama | Göreli URL | Http yöntemi |
|---|---|---|
| Sertifika temel hazırlığı süreci alma | /certificateProvisioningProcess/{certificate_provisioning_process_id} | YouTube'daki |
| Sertifika temel hazırlık süreci için hak talebinde bulunma | /certificateProvisioningProcess/{certificate_provisioning_process_id}:claim | POST |
| Kriptografik imza isteğinde bulunma | /certificateProvisioningProcess/{certificate_provisioning_process_id}:signData | POST |
| Bir sertifika yükleme | /certificateProvisioningProcess/{certificate_provisioning_process_id}:uploadCertificate | POST |
| Sertifika temel hazırlığı sürecini başarısız olarak işaretleme | /certificateProvisioningProcess/{certificate_provisioning_process_id}:setFailure | POST |
| İmza verilerini alma uzun süreli işlemi | /certificateProvisioningProcess/{certificate_provisioning_process_id}/operations/{operation_id} | YouTube'daki |
Örnek istek ve yanıtlar için kod örneklerine bakın.
API kapsamları
Chrome Management API için aşağıdaki OAuth kapsamı gereklidir:
https://www.googleapis.com/auth/chrome.management.certprov.provisioningprocess
Daha fazla bilgi için Kimlik doğrulamaya genel bakış başlıklı makaleyi inceleyin.