chrome.enterprise.platformKeys

Description

Utilisez l'API chrome.enterprise.platformKeys pour générer des clés et installer les certificats de ces clés. Ces certificats seront gérés par la plate-forme et peuvent servir à l'authentification TLS, à l'accès au réseau ou à une autre extension via chrome.platformKeys.

Autorisations

enterprise.platformKeys

Disponibilité

ChromeOS uniquement Nécessite une règle

Concepts et utilisation

L'utilisation typique de cette API pour enregistrer un certificat client suit les étapes suivantes :

  • Obtenez tous les jetons disponibles à l'aide de enterprise.platformKeys.getTokens().

  • Recherchez le jeton dont id est égal à "user". Utilisez ce jeton par la suite.

  • Générez une paire de clés à l'aide de la méthode generateKey() Token (définie dans SubtleCrypto). Cela renverra le handle à la clé.

  • Exportez la clé publique à l'aide de la méthode de jeton exportKey() (définie dans SubtleCrypto).

  • Créez la signature des données de la demande de certification à l'aide de la méthode sign() Token (définie dans SubtleCrypto).

  • Remplissez la demande de certification et envoyez-la à l'autorité de certification.

  • Si vous recevez un certificat, importez-le à l'aide de [enterprise.platformKeys.importCertificate()`[3].

Voici un exemple qui illustre l'interaction principale de l'API, à l'exception de la création et de l'envoi de la demande de certification :

function getUserToken(callback) {
  chrome.enterprise.platformKeys.getTokens(function(tokens) {
    for (var i = 0; i < tokens.length; i++) {
      if (tokens[i].id == "user") {
        callback(tokens[i]);
        return;
      }
    }
    callback(undefined);
  });
}

function generateAndSign(userToken) {
  var data = new Uint8Array([0, 5, 1, 2, 3, 4, 5, 6]);
  var algorithm = {
    name: "RSASSA-PKCS1-v1_5",
    // RsaHashedKeyGenParams
    modulusLength: 2048,
    publicExponent:
        new Uint8Array([0x01, 0x00, 0x01]),  // Equivalent to 65537
    hash: {
      name: "SHA-256",
    }
  };
  var cachedKeyPair;
  userToken.subtleCrypto.generateKey(algorithm, false, ["sign"])
    .then(function(keyPair) {
            cachedKeyPair = keyPair;
            return userToken.subtleCrypto.exportKey("spki", keyPair.publicKey);
          },
          console.log.bind(console))
    .then(function(publicKeySpki) {
            // Build the Certification Request using the public key.
            return userToken.subtleCrypto.sign(
                {name : "RSASSA-PKCS1-v1_5"}, cachedKeyPair.privateKey, data);
          },
          console.log.bind(console))
    .then(function(signature) {
              // Complete the Certification Request with |signature|.
              // Send out the request to the CA, calling back
              // onClientCertificateReceived.
          },
          console.log.bind(console));
}

function onClientCertificateReceived(userToken, certificate) {
  chrome.enterprise.platformKeys.importCertificate(userToken.id, certificate);
}

getUserToken(generateAndSign);

Types

Algorithm

Chrome 110 et versions ultérieures

Type de clé à générer.

Énumération

"RSA"

"ECDSA"

ChallengeKeyOptions

Chrome 110 et versions ultérieures

Propriétés

  • challenge

    ArrayBuffer

    Défi émis par l'API Web Verified Access.

  • registerKey

    RegisterKeyOptions facultatif

    Si elle est présente, enregistre la clé contestée avec le jeton scope spécifié. La clé peut ensuite être associée à un certificat et utilisée comme n'importe quelle autre clé de signature. Les appels suivants à cette fonction généreront une nouvelle clé Enterprise dans le scope spécifié.

  • champ d'application

    Portée

    Clé Enterprise à demander.

RegisterKeyOptions

Chrome 110 et versions ultérieures

Propriétés

  • algorithm

    Algorithme

    Algorithme que la clé enregistrée doit utiliser.

Scope

Chrome 110 et versions ultérieures

Indique si vous devez utiliser la clé utilisateur Enterprise ou la clé machine Enterprise.

Énumération

"USER"

"MACHINE"

Token

Propriétés

  • id

    chaîne

    Identifie de manière unique cet élément Token.

    Les ID statiques sont "user" et "system", qui font respectivement référence au jeton matériel spécifique à l'utilisateur et à celui de l'ensemble du système. enterprise.platformKeys.getTokens peut renvoyer d'autres jetons (avec d'autres identifiants).

  • softwareBackedSubtleCrypto

    SubtleCrypto

    Chrome 97 et versions ultérieures

    Implémente l'interface SubtleCrypto de WebCrypto. Les opérations de chiffrement, y compris la génération de clés, sont gérées par logiciel. La protection des clés, et donc l'implémentation de la propriété non extractible, est effectuée dans le logiciel. Les clés sont donc moins protégées que les clés soutenues par le matériel.

    Seules les clés non extractibles peuvent être générées. Les types de clés compatibles sont RSASSA-PKCS1-V1_5 et RSA-OAEP (sur les versions 135 et ultérieures de Chrome) avec modulusLength jusqu'à 2 048. Chaque clé RSASSA-PKCS1-V1_5 ne peut être utilisée pour signer des données qu'une seule fois, sauf si l'extension est ajoutée à la liste d'autorisation via la règle KeyPermissions. Dans ce cas, la clé peut être utilisée indéfiniment. Les clés RSA-OAEP sont compatibles depuis la version 135 de Chrome et peuvent être utilisées par les extensions ajoutées à la liste d'autorisation via cette même règle pour déchiffrer d'autres clés.

    Les clés générées sur un Token spécifique ne peuvent pas être utilisées avec d'autres jetons ni avec window.crypto.subtle. De même, les objets Key créés avec window.crypto.subtle ne peuvent pas être utilisés avec cette interface.

  • subtleCrypto

    SubtleCrypto

    Implémente l'interface SubtleCrypto de WebCrypto. Les opérations de chiffrement, y compris la génération de clés, sont soutenues par le matériel.

    Seules les clés non extractibles peuvent être générées. Les types de clés compatibles sont RSASSA-PKCS1-V1_5 et RSA-OAEP (sur les versions 135 et ultérieures de Chrome) avec modulusLength jusqu'à 2 048 et ECDSA avec namedCurve P-256. Chaque clé RSASSA-PKCS1-V1_5 et ECDSA ne peut être utilisée pour signer des données qu'une seule fois, sauf si l'extension est ajoutée à la liste d'autorisation via la stratégie KeyPermissions. Dans ce cas, la clé peut être utilisée indéfiniment. Les clés RSA-OAEP sont compatibles depuis la version 135 de Chrome et peuvent être utilisées par les extensions ajoutées à la liste d'autorisation via cette même règle pour déchiffrer d'autres clés.

    Les clés générées sur un Token spécifique ne peuvent pas être utilisées avec d'autres jetons ni avec window.crypto.subtle. De même, les objets Key créés avec window.crypto.subtle ne peuvent pas être utilisés avec cette interface.

Méthodes

challengeKey()

Chrome 110 et versions ultérieures 
chrome.enterprise.platformKeys.challengeKey(
  options: ChallengeKeyOptions,
): Promise<ArrayBuffer>

Semblable à challengeMachineKey et challengeUserKey, mais permet de spécifier l'algorithme d'une clé enregistrée. Défie une clé machine Enterprise intégrée au matériel et émet la réponse dans le cadre d'un protocole d'attestation à distance. Utile uniquement sur ChromeOS et en association avec l'API Web Verified Access, qui émet des défis et valide les réponses.

Une validation réussie par l'API Web Verified Access est un signal fort indiquant que l'appareil actuel est un appareil ChromeOS légitime, que l'appareil actuel est géré par le domaine spécifié lors de la validation, que l'utilisateur connecté actuel est géré par le domaine spécifié lors de la validation et que l'état actuel de l'appareil est conforme aux règles relatives aux appareils de l'entreprise. Par exemple, une règle peut spécifier que l'appareil ne doit pas être en mode développeur. Toute identité d'appareil émise par la validation est étroitement liée au matériel de l'appareil actuel. Si la portée "user" est spécifiée, l'identité est également étroitement liée à l'utilisateur actuellement connecté.

Cette fonction est très limitée et échouera si l'appareil actuel n'est pas géré, si l'utilisateur actuel n'est pas géré ou si cette opération n'a pas été explicitement activée pour l'appelant par la règle d'appareil de l'entreprise. La clé contestée ne réside pas dans le jeton "system" ou "user" et n'est accessible par aucune autre API.

Paramètres

Renvoie

  • Promise<ArrayBuffer>

    Chrome 131 et versions ultérieures

challengeMachineKey()

Chrome 50 et versions ultérieures Obsolète depuis Chrome 110
chrome.enterprise.platformKeys.challengeMachineKey(
  challenge: ArrayBuffer,
  registerKey?: boolean,
): Promise<ArrayBuffer>

Utilisez plutôt challengeKey.

Défie une clé machine Enterprise intégrée au matériel et émet la réponse dans le cadre d'un protocole d'attestation à distance. Utile uniquement sur ChromeOS et en association avec l'API Web Verified Access, qui émet des défis et valide les réponses. Une validation réussie par l'API Web Verified Access est un signal fort indiquant que : * L'appareil actuel est un appareil ChromeOS légitime. * L'appareil actuel est géré par le domaine spécifié lors de la validation. * L'utilisateur actuellement connecté est géré par le domaine spécifié lors de la validation. * L'état actuel de l'appareil est conforme aux règles relatives aux appareils de l'entreprise. Par exemple, une règle peut spécifier que l'appareil ne doit pas être en mode développeur. * Toute identité d'appareil émise par la validation est étroitement liée au matériel de l'appareil actuel. Cette fonction est très limitée et échouera si l'appareil actuel n'est pas géré, si l'utilisateur actuel n'est pas géré ou si cette opération n'a pas été explicitement activée pour l'appelant par la règle d'appareil de l'entreprise. La clé machine Enterprise ne réside pas dans le jeton "system" et n'est accessible par aucune autre API.

Paramètres

  • challenge

    ArrayBuffer

    Défi émis par l'API Web Verified Access.

  • registerKey

    booléen facultatif

    Chrome 59 et versions ultérieures

    Si cette option est définie, la clé machine Enterprise actuelle est enregistrée avec le jeton "system" et renonce au rôle de clé machine Enterprise. La clé peut ensuite être associée à un certificat et utilisée comme n'importe quelle autre clé de signature. Cette clé est une clé RSA de 2 048 bits. Les appels suivants à cette fonction généreront une nouvelle clé machine Enterprise.

Renvoie

  • Promise<ArrayBuffer>

    Chrome 131 et versions ultérieures

challengeUserKey()

Chrome 50 et versions ultérieures Obsolète depuis Chrome 110
chrome.enterprise.platformKeys.challengeUserKey(
  challenge: ArrayBuffer,
  registerKey: boolean,
): Promise<ArrayBuffer>

Utilisez plutôt challengeKey.

Défie une clé utilisateur Enterprise intégrée au matériel et émet la réponse dans le cadre d'un protocole d'attestation à distance. Utile uniquement sur ChromeOS et en association avec l'API Web Verified Access, qui émet des défis et valide les réponses. Une validation réussie par l'API Web Verified Access est un signal fort indiquant que : * L'appareil actuel est un appareil ChromeOS légitime. * L'appareil actuel est géré par le domaine spécifié lors de la validation. * L'utilisateur actuellement connecté est géré par le domaine spécifié lors de la validation. * L'état actuel de l'appareil est conforme aux règles pour les utilisateurs Enterprise. Par exemple, une règle peut spécifier que l'appareil ne doit pas être en mode développeur. * La clé publique émise par la validation est étroitement liée au matériel de l'appareil actuel et à l'utilisateur actuellement connecté. Cette fonction est très limitée et échouera si l'appareil actuel n'est pas géré, si l'utilisateur actuel n'est pas géré ou si cette opération n'a pas été explicitement activée pour l'appelant par la règle utilisateur de l'entreprise. La clé utilisateur Enterprise ne réside pas dans le jeton "user" et n'est accessible par aucune autre API.

Paramètres

  • challenge

    ArrayBuffer

    Défi émis par l'API Web Verified Access.

  • registerKey

    booléen

    Si cette option est définie, la clé utilisateur Enterprise actuelle est enregistrée avec le jeton "user" et renonce au rôle de clé utilisateur Enterprise. La clé peut ensuite être associée à un certificat et utilisée comme n'importe quelle autre clé de signature. Cette clé est une clé RSA de 2 048 bits. Les appels suivants à cette fonction généreront une nouvelle clé utilisateur Enterprise.

Renvoie

  • Promise<ArrayBuffer>

    Chrome 131 et versions ultérieures

getCertificates()

chrome.enterprise.platformKeys.getCertificates(
  tokenId: string,
): Promise<ArrayBuffer[]>

Renvoie la liste de tous les certificats client disponibles à partir du jeton donné. Peut être utilisé pour vérifier l'existence et l'expiration des certificats client utilisables pour une certaine authentification.

Paramètres

  • tokenId

    chaîne

    ID d'un jeton renvoyé par getTokens.

Renvoie

  • Promise<ArrayBuffer[]>

    Chrome 131 et versions ultérieures

getTokens()

chrome.enterprise.platformKeys.getTokens(): Promise<Token[]>

Renvoie les jetons disponibles. Dans la session d'un utilisateur standard, la liste contient toujours le jeton de l'utilisateur avec id "user". Si un jeton TPM à l'échelle du système est disponible, la liste renvoyée contiendra également le jeton à l'échelle du système avec id "system". Le jeton à l'échelle du système sera le même pour toutes les sessions sur cet appareil (par exemple, un Chromebook).

Renvoie

  • Promise<Token[]>

    Chrome 131 et versions ultérieures

importCertificate()

chrome.enterprise.platformKeys.importCertificate(
  tokenId: string,
  certificate: ArrayBuffer,
): Promise<void>

Importe certificate au jeton donné si la clé certifiée est déjà stockée dans ce jeton. Une fois la demande de certification approuvée, cette fonction doit être utilisée pour stocker le certificat obtenu et le mettre à la disposition du système d'exploitation et du navigateur pour l'authentification.

Paramètres

  • tokenId

    chaîne

    ID d'un jeton renvoyé par getTokens.

  • certificat

    ArrayBuffer

    Encodage DER d'un certificat X.509.

Renvoie

  • Promise<void>

    Chrome 131 et versions ultérieures

removeCertificate()

chrome.enterprise.platformKeys.removeCertificate(
  tokenId: string,
  certificate: ArrayBuffer,
): Promise<void>

Supprime certificate du jeton donné, le cas échéant. Doit être utilisé pour supprimer les certificats obsolètes afin qu'ils ne soient pas pris en compte lors de l'authentification et n'encombrent pas le choix des certificats. Doit être utilisé pour libérer de l'espace de stockage dans le magasin de certificats.

Paramètres

  • tokenId

    chaîne

    ID d'un jeton renvoyé par getTokens.

  • certificat

    ArrayBuffer

    Encodage DER d'un certificat X.509.

Renvoie

  • Promise<void>

    Chrome 131 et versions ultérieures