Açıklama
chrome.enterprise.platformKeys
API'yi kullanarak bu anahtarlar için anahtar oluşturun ve sertifikaları yükleyin. Sertifikalar platform tarafından yönetilir ve TLS kimlik doğrulaması, ağ erişimi veya chrome.platformKeys aracılığıyla diğer uzantılar tarafından kullanılabilir.
İzinler
enterprise.platformKeys
Kullanılabilirlik
Kullanım
İstemci sertifikası kaydettirmek için bu API'nin tipik kullanımı aşağıdaki adımları içerir:
enterprise.platformKeys.getTokens kullanarak mevcut tüm jetonları alın.
id
değerine eşit olan ve"user"
değerine sahip jetonu bulun. Daha sonra bu jetonu kullanın.generateKey
jeton yöntemini (SubtleCrypto'da tanımlanmıştır) kullanarak bir anahtar çifti oluşturun. Bu işlem, anahtar için tutamacını döndürür.exportKey
jeton yöntemini (SubtleCrypto'da tanımlanır) kullanarak ortak anahtarı dışa aktarın.sign
Token yöntemini (SubtleCrypto'da tanımlanır) kullanarak sertifika isteği verilerinin imzasını oluşturun.Sertifika isteğini doldurup sertifika yetkilisine gönderin.
Sertifika alındıysa enterprise.platformKeys.importCertificate dosyasını kullanarak içe aktarın.
Aşağıda, sertifika isteği oluşturma ve gönderme hariç önemli API etkileşimini gösteren bir örnek verilmiştir:
function getUserToken(callback) {
chrome.enterprise.platformKeys.getTokens(function(tokens) {
for (var i = 0; i < tokens.length; i++) {
if (tokens[i].id == "user") {
callback(tokens[i]);
return;
}
}
callback(undefined);
});
}
function generateAndSign(userToken) {
var data = new Uint8Array([0, 5, 1, 2, 3, 4, 5, 6]);
var algorithm = {
name: "RSASSA-PKCS1-v1_5",
// RsaHashedKeyGenParams
modulusLength: 2048,
publicExponent:
new Uint8Array([0x01, 0x00, 0x01]), // Equivalent to 65537
hash: {
name: "SHA-256",
}
};
var cachedKeyPair;
userToken.subtleCrypto.generateKey(algorithm, false, ["sign"])
.then(function(keyPair) {
cachedKeyPair = keyPair;
return userToken.subtleCrypto.exportKey("spki", keyPair.publicKey);
},
console.log.bind(console))
.then(function(publicKeySpki) {
// Build the Certification Request using the public key.
return userToken.subtleCrypto.sign(
{name : "RSASSA-PKCS1-v1_5"}, cachedKeyPair.privateKey, data);
},
console.log.bind(console))
.then(function(signature) {
// Complete the Certification Request with |signature|.
// Send out the request to the CA, calling back
// onClientCertificateReceived.
},
console.log.bind(console));
}
function onClientCertificateReceived(userToken, certificate) {
chrome.enterprise.platformKeys.importCertificate(userToken.id, certificate);
}
getUserToken(generateAndSign);
Türler
Algorithm
Oluşturulacak anahtarın türü.
Enum
"RSA"
ChallengeKeyOptions
Özellikler
-
meydan okuma
ArrayBuffer
Verified Access Web API tarafından gönderilen bir istem.
-
registerKey
RegisterKeyOptions isteğe bağlı
Varsa sorgulama anahtarı, belirtilen
scope
jetonuyla kaydedilir. Daha sonra bu anahtar bir sertifikayla ilişkilendirilebilir ve diğer imzalama anahtarları gibi kullanılabilir. Bu işleve yapılan sonraki çağrılar, belirtilenscope
içinde yeni bir Enterprise Anahtarı oluşturur. -
kapsam
Hangi Kurumsal Anahtarın zorlanacağı.
RegisterKeyOptions
Özellikler
-
algoritma
Kayıtlı anahtarın kullanacağı algoritma.
Scope
Enterprise kullanıcı anahtarının mı yoksa Enterprise makine anahtarının mı kullanılacağı.
Enum
"USER"
"MACHINE"
Token
Özellikler
-
id
dize
Bu
Token
öğesini benzersiz olarak tanımlar.Statik kimlikler, sırasıyla platformun kullanıcıya özel ve sistem genelindeki donanım jetonunu ifade eden
"user"
ve"system"
şeklindedir. Diğer tüm jetonlar (başka tanımlayıcılarla birlikte)enterprise.platformKeys.getTokens
tarafından döndürülebilir. -
softwareBackedSubtleCrypto
SubtleCrypto
Chrome 97 ve sonraki sürümlerWebCrypto'nun SubtleCrypto arayüzünü uygular. Anahtar oluşturma da dahil olmak üzere şifreleme işlemleri yazılıma dayanır. Anahtarlar yazılım tarafından korunduğundan ve ayıklanamayan özellik bu şekilde uygulandığından anahtarlar donanım destekli anahtarlardan daha az korunur.
Yalnızca
modulusLength
2048'e kadar olan ayrıştırılamaz RSASSA-PKCS1-V1_5 anahtarları oluşturulabilir. Her anahtar, verileri imzalamak için en fazla bir kez kullanılabilir.Belirli bir
Token
üzerinde oluşturulan anahtarlar başka jetonlarla veyawindow.crypto.subtle
ile kullanılamaz. Benzer şekilde,window.crypto.subtle
ile oluşturulanKey
nesneleri bu arayüzde kullanılamaz. -
subtleCrypto
SubtleCrypto
WebCrypto'nun SubtleCrypto arayüzünü uygular. Anahtar oluşturma dahil olmak üzere kriptografik işlemler donanım desteklidir.
Yalnızca
modulusLength
ile 2048'e kadar çıkarılamayan RSASSA-PKCS1-V1_5 anahtarları venamedCurve
P-256'ya sahip ECDSA anahtarları oluşturulabilir. Her anahtar, verileri imzalamak için en fazla bir kez kullanılabilir.Belirli bir
Token
üzerinde oluşturulan anahtarlar başka jetonlarla veyawindow.crypto.subtle
ile kullanılamaz. Benzer şekilde,window.crypto.subtle
ile oluşturulanKey
nesneleri bu arayüzde kullanılamaz.
Yöntemler
challengeKey()
chrome.enterprise.platformKeys.challengeKey(
options: ChallengeKeyOptions,
callback?: function,
)
challengeMachineKey
ve challengeUserKey
'a benzer ancak kayıtlı bir anahtarın algoritmasının belirtilmesine olanak tanır. Donanım destekli bir Kurumsal Makine Anahtarı'na müdahale eder ve uzaktan onay protokolünün parçası olarak yanıtı yayar. Yalnızca ChromeOS'te ve hem istemler gönderen hem de yanıtları doğrulayan Verified Access Web API ile birlikte kullanışlıdır.
Verified Access Web API tarafından başarılı bir şekilde doğrulama, mevcut cihazın meşru bir ChromeOS cihaz olduğunu, geçerli cihazın doğrulama sırasında belirtilen alan adı tarafından yönetildiğini, oturum açmış mevcut kullanıcının doğrulama sırasında belirtilen alan adı tarafından yönetildiğini ve geçerli cihaz durumunun kurumsal cihaz politikasına uygun olduğunu gösteren güçlü bir sinyaldir. Örneğin, bir politika, cihazın geliştirici modunda olmaması gerektiğini belirtebilir. Doğrulamanın yayınladığı tüm cihaz kimlikleri, geçerli cihazın donanımına sıkıca bağlıdır. "user"
Kapsamı belirtilirse kimlik, oturum açmış durumdaki kullanıcıya da sıkı bir şekilde bağlıdır.
Bu işlev oldukça kısıtlıdır ve mevcut cihaz yönetilmiyorsa, mevcut kullanıcı yönetilmiyorsa veya bu işlem kurumsal cihaz politikası tarafından arayan için açıkça etkinleştirilmediyse başarısız olur. İtiraz edilen anahtar, "system"
veya "user"
jetonunda bulunmaz ve başka hiçbir API tarafından erişilemez.
Parametreler
-
seçenekler
ChallengeKeyOptions
dokümanında tanımlanan alanları içeren nesne. -
geri çağırma
işlev isteğe bağlı
callback
parametresi şu şekilde görünür:(response: ArrayBuffer) => void
-
gönderin
ArrayBuffer
Meydan okuma yanıtı.
-
İadeler
-
Promise<ArrayBuffer>
BeklemedeVaatler yalnızca Manifest V3 ve sonraki sürümler için desteklenir. Diğer platformların geri çağırma yapması gerekir.
challengeMachineKey()
chrome.enterprise.platformKeys.challengeMachineKey(
challenge: ArrayBuffer,
registerKey?: boolean,
callback?: function,
)
Bunun yerine challengeKey
alanını kullanın.
Donanım destekli bir Kurumsal Makine Anahtarı'na müdahale eder ve uzaktan onay protokolünün parçası olarak yanıtı yayar. Yalnızca ChromeOS'te ve hem istemler gönderen hem de yanıtları doğrulayan Verified Access Web API ile birlikte kullanışlıdır. Doğrulanmış Erişim Web API'si tarafından yapılan başarılı bir doğrulama, aşağıdakilerin tümünün güçlü bir göstergesidir: * Mevcut cihaz, meşru bir ChromeOS cihazıdır. * Mevcut cihaz, doğrulama sırasında belirtilen alan adı tarafından yönetiliyor. * Oturum açmış durumdaki kullanıcı, doğrulama sırasında belirtilen alan adı tarafından yönetilir. * Mevcut cihaz durumu, kurumsal cihaz politikasına uygun. Örneğin, bir politikada cihazın geliştirici modunda olmaması gerektiği belirtilebilir. * Doğrulama işlemiyle yayınlanan tüm cihaz kimlikleri, mevcut cihazın donanımına sıkı sıkıya bağlıdır. Bu işlev oldukça kısıtlıdır ve mevcut cihaz yönetilmiyorsa, mevcut kullanıcı yönetilmiyorsa veya bu işlem kurumsal cihaz politikası tarafından arayan için açıkça etkinleştirilmediyse başarısız olur. Enterprise makine anahtarı, "system"
jetonunda bulunmaz ve başka hiçbir API tarafından erişilemez.
Parametreler
-
meydan okuma
ArrayBuffer
Verified Access Web API tarafından gönderilen bir istem.
-
registerKey
boole isteğe bağlı
Chrome 59 ve sonraki sürümlerAyarlanırsa mevcut Enterprise Makine Anahtarı,
"system"
jetonuyla kaydedilir ve Kurumsal Makine Anahtarı rolünü bırakır. Daha sonra bu anahtar bir sertifikayla ilişkilendirilebilir ve diğer imzalama anahtarları gibi kullanılabilir. Bu anahtar 2048 bit RSA'dır. Bu işleve yapılan sonraki çağrılar yeni bir Kurumsal Makine Anahtarı oluşturur. -
geri çağırma
işlev isteğe bağlı
callback
parametresi şu şekilde görünür:(response: ArrayBuffer) => void
-
gönderin
ArrayBuffer
Meydan okuma yanıtı.
-
İadeler
-
Promise<ArrayBuffer>
BeklemedeSözler yalnızca Manifest V3 ve sonraki sürümlerde desteklenir. Diğer platformların geri çağırma işlevlerini kullanması gerekir.
challengeUserKey()
chrome.enterprise.platformKeys.challengeUserKey(
challenge: ArrayBuffer,
registerKey: boolean,
callback?: function,
)
Bunun yerine challengeKey
kullanın.
Donanım destekli bir Kurumsal Kullanıcı Anahtarına müdahale eder ve uzaktan onay protokolünün parçası olarak yanıtı yayar. Yalnızca ChromeOS'te ve hem giriş sorgulaması hem de yanıtları doğrulayan Verified Access Web API ile birlikte kullanılabilir. Doğrulanmış Erişim Web API'si tarafından yapılan başarılı bir doğrulama, aşağıdakilerin tümünün güçlü bir göstergesidir: * Mevcut cihaz, meşru bir ChromeOS cihazıdır. * Mevcut cihaz, doğrulama sırasında belirtilen alan tarafından yönetilir. * Oturum açmış mevcut kullanıcı, doğrulama sırasında belirtilen alan tarafından yönetilir. * Mevcut cihaz durumu, kurumsal kullanıcı politikasına uygun. Örneğin, bir politikada cihazın geliştirici modunda olmaması gerektiği belirtilebilir. * Doğrulama işlemiyle yayınlanan ortak anahtar, mevcut cihazın donanımına ve oturum açmış mevcut kullanıcıya sıkı sıkıya bağlıdır. Bu işlev oldukça kısıtlıdır ve mevcut cihaz yönetilmiyorsa, mevcut kullanıcı yönetilmiyorsa veya bu işlem kurumsal kullanıcı politikası uyarınca arayan için açıkça etkinleştirilmediyse başarısız olur. Enterprise kullanıcı anahtarı, "user"
jetonunda bulunmaz ve başka hiçbir API tarafından erişilemez.
Parametreler
-
meydan okuma
ArrayBuffer
Verified Access Web API tarafından gönderilen bir istem.
-
registerKey
boolean
Ayarlanırsa mevcut Enterprise kullanıcı anahtarı
"user"
jetonuna kaydedilir ve Enterprise kullanıcı anahtarı rolünden vazgeçilir. Daha sonra bu anahtar bir sertifikayla ilişkilendirilebilir ve diğer imzalama anahtarları gibi kullanılabilir. Bu anahtar 2048 bit RSA'dır. Bu işleve yapılan sonraki çağrılar yeni bir Enterprise kullanıcı anahtarı oluşturur. -
geri çağırma
işlev isteğe bağlı
callback
parametresi şu şekilde görünür:(response: ArrayBuffer) => void
-
gönderin
ArrayBuffer
Meydan okuma yanıtı.
-
İadeler
-
Promise<ArrayBuffer>
BeklemedeVaatler yalnızca Manifest V3 ve sonraki sürümler için desteklenir. Diğer platformların geri çağırma yapması gerekir.
getCertificates()
chrome.enterprise.platformKeys.getCertificates(
tokenId: string,
callback?: function,
)
Belirtilen jetondan kullanılabilir tüm istemci sertifikalarının listesini döndürür. Belirli bir kimlik doğrulamasında kullanılabilecek istemci sertifikalarının mevcut olup olmadığını ve geçerlilik süresinin sona erip ermediğini kontrol etmek için kullanılabilir.
Parametreler
-
tokenId
dize
getTokens
tarafından döndürülen jetonun kimliği. -
geri çağırma
işlev isteğe bağlı
callback
parametresi şu şekilde görünür:(certificates: ArrayBuffer[]) => void
-
certificates
ArrayBuffer[]
Her biri bir X.509 sertifikasının DER kodlamasında olan sertifikaların listesi.
-
İadeler
-
Promise<ArrayBuffer[]>
BeklemedeVaatler yalnızca Manifest V3 ve sonraki sürümler için desteklenir. Diğer platformların geri çağırma yapması gerekir.
getTokens()
chrome.enterprise.platformKeys.getTokens(
callback?: function,
)
Kullanılabilir Jetonları döndürür. Normal bir kullanıcı oturumunda liste her zaman kullanıcının jetonunu id
"user"
ile birlikte içerir. Sistem genelinde bir TPM jetonu varsa döndürülen liste ayrıca id
"system"
ile birlikte sistem genelinde bir jeton da içerir. Sistem genelindeki jeton, bu cihazdaki (ör. Chromebook) tüm oturumlar için aynıdır.
Parametreler
İadeler
-
Vaat<Jeton[]>
BeklemedeVaatler yalnızca Manifest V3 ve sonraki sürümler için desteklenir. Diğer platformların geri çağırma yapması gerekir.
importCertificate()
chrome.enterprise.platformKeys.importCertificate(
tokenId: string,
certificate: ArrayBuffer,
callback?: function,
)
Sertifikalı anahtar bu jetonda zaten depolanmışsa certificate
'yi belirtilen jetona aktarır. Sertifika isteği başarıyla tamamlandıktan sonra, elde edilen sertifikayı depolamak ve kimlik doğrulama için işletim sistemine ve tarayıcıya sunmak üzere bu işlev kullanılmalıdır.
Parametreler
-
tokenId
dize
getTokens
tarafından döndürülen jetonun kimliği. -
sertifika
ArrayBuffer
X.509 sertifikasının DER kodlaması.
-
geri çağırma
işlev isteğe bağlı
callback
parametresi şu şekilde görünür:() => void
İadeler
-
Taahhüt<geçersiz>
BeklemedeVaatler yalnızca Manifest V3 ve sonraki sürümler için desteklenir. Diğer platformların geri çağırma yapması gerekir.
removeCertificate()
chrome.enterprise.platformKeys.removeCertificate(
tokenId: string,
certificate: ArrayBuffer,
callback?: function,
)
Verilen jetondan (varsa) certificate
öğesini kaldırır. Eski sertifikaların kimlik doğrulama sırasında dikkate alınmaması ve sertifika seçimini karmaşık hale getirmemesi için bunları kaldırmak amacıyla kullanılmalıdır. Sertifika deposunda yer açmak için kullanılmalıdır.
Parametreler
-
tokenId
dize
getTokens
tarafından döndürülen jetonun kimliği. -
sertifika
ArrayBuffer
X.509 sertifikasının DER kodlaması.
-
geri çağırma
işlev isteğe bağlı
callback
parametresi şu şekilde görünür:() => void
İadeler
-
Taahhüt<geçersiz>
BeklemedeVaatler yalnızca Manifest V3 ve sonraki sürümler için desteklenir. Diğer platformların geri çağırma yapması gerekir.