# ChromeOS ## Root-Zertifikat Als ersten Schritt müssen Sie das Stammzertifikat von SCEPman bereitstellen. Gehen Sie dazu wie folgt vor: 1. Laden Sie das Root-CA-Zertifikat von Ihrer SCEPman-Website herunter, indem Sie auf **CA-Zertifikat abrufen** klicken.

2. Laden Sie nun Ihre SCEPmen Root CA in Ihren Google Workplace hoch. Navigieren Sie in Ihrem Google **Admin-Konsole** (admin.google.com) zu **Menü** > **Geräte** > **Netzwerke** > **Zertifikate** > **ZERTIFIKAT HINZUFÜGEN** {% hint style="warning" %} Beachten Sie, dass die Google Admin-Konsole nur Zertifikate im PEM-Format akzeptiert. Sie müssen die SCEPman Root CA (die standardmäßig als DER heruntergeladen wird) mit *openssl* konvertieren oder sie in Windows importieren und anschließend erneut im Base-64-Format exportieren. {% endhint %}

## Ein SCEP-Profil hinzufügen Das SCEP-Profil definiert das Zertifikat, das Benutzern den Zugriff auf Ihr WLAN ermöglicht. Weisen Sie das Profil bestimmten Benutzern zu, indem Sie es einer Organisationseinheit hinzufügen. Richten Sie mehrere SCEP-Profile ein, um den Zugriff nach Gerätetyp zu verwalten. Das folgende Konfigurationsbeispiel 1. In Ihrer Google **Admin-Konsole** (admin.google.com) zu **Menü** > **Geräte** > **Netzwerk** 2. Klicken Sie auf **SCEP-Profil erstellen**. 3. Klicken Sie auf **Sicheres SCEP-Profil hinzufügen**. 4. Geben Sie die Konfigurationsdetails für das Profil ein. | Attribut | Wert (Gerät) | Wert (Benutzer) | | --------------------- | ------------------ | --------------------- | | **Geräteplattformen** | Chromebook (Gerät) | Chromebook (Benutzer) |

| Attribut | | | ------------------------- | --------------------------------------------- | | **Name des SCEP-Profils** | Geben Sie einen Namen für Ihr SCEP-Profil an. |

Attribut	Wert (Gerät)	Wert (Benutzer)
Subject name format	Vollständig eindeutiger Name	Vollständig eindeutiger Name
	Allgemeiner Name: ${DEVICE_SERIAL_NUMBER}	Allgemeiner Name: ${USER_EMAIL}
	Firmenname: Ihr Firmenname.	Firmenname: Ihr Firmenname.
	Organisationseinheit: Ihre Organisationseinheit. Dies ist optional.	Organisationseinheit: Ihre Organisationseinheit. Dies ist optional.
	Ort: Der Standort Ihrer Organisationseinheit. Dies ist optional.	Ort: Der Standort Ihrer Organisationseinheit. Dies ist optional.
	Bundesland: Das Bundesland Ihrer Organisationseinheit. Dies ist optional.	Bundesland: Das Bundesland Ihrer Organisationseinheit. Dies ist optional.
	Land / Region: Das Land Ihrer Organisationseinheit. Dies ist optional.	Land / Region: Das Land Ihrer Organisationseinheit. Dies ist optional.
Subject Alternative Name	Standard: Keine Dies kann eingestellt werden auf Benutzerdefiniert wenn die SAN verwendet werden soll, z. B. als äußere Identität bei der Authentifizierung an einem WLAN mit EAP-TLS.	Benutzerdefiniert Benutzerprinzipal: ${USER_EMAIL_NAME}

| Attribut | Wert | | ------------------------- | ------------------------------------------------ | | **Signaturalgorithmus** | SHA256withRSA | | **Schlüsselverwendung** | Schlüsselverschlüsselung, Signierung | | **Schlüsselgröße (Bits)** | 3072 | | **Sicherheit** | Strikt (nur von verwalteten Geräten unterstützt) |

Attribut	Wert
SCEP-Serverattribute	SCEP-Server-URL: http://scepman.yourdomain.net/static
	Gültigkeitsdauer des Zertifikats (Jahre): 1
	Erneuern innerhalb von Tagen: 42
	Erweiterte Schlüsselverwendung: Clientauthentifizierung
	Challenge-Typ: Statisch
	Challenge: Geben Sie den Challenge-Wert an, den Sie konfiguriert haben, als die SCEPman-Integration für Google Workspace aktiviert wurde.
	Zertifizierungsstelle: Verweisen Sie hier auf das Zertifikatsprofil, das Ihre SCEPman Root CA.
	Netzwerktyp, für den dieses Profil gilt: WLAN

5. Das SCEP-Profil wird automatisch an Benutzer in der Organisationseinheit verteilt. 6. Um dieses Zertifikat zu überprüfen, navigieren Sie auf Ihrem Chromebook zu **chrome://certificate.manager** > **Ihre Zertifikate.**