# Google Workspace
## Flux d’émission des certificats SCEP
1. Le Chromebook génère une clé privée liée au matériel.
2. Google génère une CSR avec le profil SCEP.
3. Le connecteur transmet la CSR à SCEPman.
4. SCEPman signe la CSR et renvoie la CRS signée au connecteur, qui la transmet à PubSub.
5. PubSub envoie la CRS signée à la gestion des appareils pour un stockage temporaire.
6. La gestion des appareils envoie la CRS signée au Chromebook, où elle est fusionnée avec la clé privée liée au matériel. La CSR signée est supprimée du stockage temporaire.
## Prérequis
### Google Workspace
Ce guide suppose que vous avez déjà provisionné un ou plusieurs Chromebook exécutant ChromeOS version 89 ou ultérieure, gérés avec **Chrome Enterprise**.
Abonnements minimum requis
### Google Cloud Certificate Connector (GCCC)
#### **Prérequis**
* Le GCCC nécessite un appareil ou une machine virtuelle Windows Server exécutant Windows Server 2016 ou une version ultérieure.
* L’instance Windows Server doit disposer des accès réseau suivants :
* Sortant : HTTP (80) et HTTPS (443).
#### **Installation du GCCC**
1. Dans votre Google **Console d’administration** (à admin.google.com) > Accéder à **Menu** > **Appareils** > **Réseau**
2. Cliquez sur **SCEP sécurisé** > **Télécharger le connecteur**.
3. Dans la **section Google Cloud Certificate Connector** cliquez sur **Télécharger**. Le téléchargement crée un dossier sur votre bureau contenant le connecteur de certificats. Nous vous recommandons de télécharger les autres fichiers de configuration du connecteur dans ce dossier.
4. Dans la **Téléchargez le fichier de configuration du connecteur** cliquez sur **Télécharger**. Le fichier `config.json` est téléchargé.
5. Dans la **Obtenir une clé de compte de service** cliquez sur **Générer une clé**. Le fichier `key.json` est téléchargé.
6. Exécutez le programme d’installation du connecteur de certificats.
1. Dans l’assistant d’installation, cliquez sur **Suivant**.
2. Acceptez les conditions du contrat de licence et cliquez sur **Suivant**.
3. Choisissez le compte pour lequel le service est installé et cliquez sur **Suivant**. Le compte doit disposer des privilèges nécessaires pour ouvrir une session en tant que service sur le serveur Windows.
4. Sélectionnez l’emplacement d’installation. Nous recommandons d’utiliser l’emplacement par défaut. Cliquez sur **Suivant**.
5. Saisissez les informations d’identification de votre compte de service et cliquez sur **Suivant**. Le service s’installe.
6. Cliquez sur **Terminer** pour terminer l’installation.
7. Déplacez les fichiers de configuration et de clé (`config.json` et `key.json`) dans le dossier GCCC créé lors de l’installation, généralement : `C:\Program Files\Google Cloud Certificate Connector`.
8. Lancez le service Google Cloud Certificate Connector :
1. Ouvrez les Services Windows.
2. Sélectionnez **section Google Cloud Certificate Connector** dans la liste des services.
3. Cliquez sur **Démarrer** pour démarrer le service. Assurez-vous que l’état passe à **En cours d’exécution**. Le service redémarre automatiquement si l’ordinateur redémarre.
{% hint style="info" %}
Si vous téléchargez ultérieurement une nouvelle clé de compte de service, redémarrez le service pour l’appliquer.
{% endhint %}
### SCEPman
Activez l’intégration Google Workspace en ajoutant les variables d’environnement suivantes sur le service d’application SCEPman :
{% hint style="info" %}
Vous pouvez faire la différence entre le service d’application SCEPman et le Certificate Master en recherchant le service d’application **sans** le « -cm » dans son nom
{% endhint %}
| Paramètre | Description | Valeur |
| :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | :--------------------------------------------------: |
| [AppConfig:StaticValidation:Enabled](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-enabled) | Activer la validation tierce | ***true*** pour activer, ***false*** pour désactiver |
| [AppConfig:StaticValidation:RequestPassword](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-requestpassword) |
Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées à l’aide de ce mot de passe statique sécurisé
| *générez un mot de passe de 32 caractères* |
| [AppConfig:StaticValidation:ValidityPeriodDays](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-validityperioddays) (facultatif) | Nombre de jours pendant lesquels les certificats émis via Google Workspace sont valides | 365 |
| [AppConfig:StaticValidation:EnableCertificateStorage](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-enablecertificatestorage) (facultatif) | Stocker les certificats demandés dans le Storage Account, afin de les afficher dans SCEPman Certificate Master | ***true*** pour activer, ***false** pour désactiver* |
{% hint style="info" %}
Pour plus d’informations et de références, veuillez consulter [l’aide administrateur de Google Workspace](https://support.google.com/a/answer/9366164?hl=en\&fl=1\&sjid=2941552975651362083-NC) ou télécharger le guide PDF original [Configuration de l’inscription de certificats pour ChromeOS via SCEP](https://support.google.com/chrome/a/answer/11338941?hl=en).
*Google, Google Workspace, ChromeOS et les marques et logos associés sont des marques déposées de Google LLC.*
{% endhint %}
## Flux d’émission des certificats SCEP
1. Le Chromebook génère une clé privée liée au matériel.
2. Google génère une CSR avec le profil SCEP.
3. Le connecteur transmet la CSR à SCEPman.
4. SCEPman signe la CSR et renvoie la CRS signée au connecteur, qui la transmet à PubSub.
5. PubSub envoie la CRS signée à la gestion des appareils pour un stockage temporaire.
6. La gestion des appareils envoie la CRS signée au Chromebook, où elle est fusionnée avec la clé privée liée au matériel. La CSR signée est supprimée du stockage temporaire.
## Prérequis
### Google Workspace
Ce guide suppose que vous avez déjà provisionné un ou plusieurs Chromebook exécutant ChromeOS version 89 ou ultérieure, gérés avec **Chrome Enterprise**.