설명
chrome.enterprise.platformKeys API를 사용하여 키를 생성하고 이 키에 대한 인증서를 설치합니다. 인증서는 플랫폼에서 관리하며 TLS 인증, 네트워크 액세스 또는 chrome.platformKeys를 통해 기타 확장 프로그램에 사용할 수 있습니다.
권한
enterprise.platformKeys지원 대상
개념 및 사용법
클라이언트 인증서를 등록하기 위해 이 API를 일반적으로 사용하는 방법은 다음과 같습니다.
enterprise.platformKeys.getTokens()를 사용하여 사용 가능한 모든 토큰을 가져옵니다.id가"user"인 토큰을 찾습니다. 나중에 이 토큰을 사용하세요.generateKey()토큰 메서드 (SubtleCrypto에 정의됨)를 사용하여 키 쌍을 생성합니다. 그러면 핸들이 키에 반환됩니다.exportKey()토큰 메서드 (SubtleCrypto에 정의됨)를 사용하여 공개 키를 내보냅니다.sign()토큰 메서드 (SubtleCrypto에 정의됨)를 사용하여 인증 요청 데이터의 서명을 만듭니다.인증 요청을 작성하여 인증 기관으로 보냅니다.
인증서가 수신되면 [
enterprise.platformKeys.importCertificate()`[3]을 사용하여 가져옵니다.
다음은 인증 요청 작성 및 전송을 제외한 주요 API 상호작용을 보여주는 예입니다.
function getUserToken(callback) {
chrome.enterprise.platformKeys.getTokens(function(tokens) {
for (var i = 0; i < tokens.length; i++) {
if (tokens[i].id == "user") {
callback(tokens[i]);
return;
}
}
callback(undefined);
});
}
function generateAndSign(userToken) {
var data = new Uint8Array([0, 5, 1, 2, 3, 4, 5, 6]);
var algorithm = {
name: "RSASSA-PKCS1-v1_5",
// RsaHashedKeyGenParams
modulusLength: 2048,
publicExponent:
new Uint8Array([0x01, 0x00, 0x01]), // Equivalent to 65537
hash: {
name: "SHA-256",
}
};
var cachedKeyPair;
userToken.subtleCrypto.generateKey(algorithm, false, ["sign"])
.then(function(keyPair) {
cachedKeyPair = keyPair;
return userToken.subtleCrypto.exportKey("spki", keyPair.publicKey);
},
console.log.bind(console))
.then(function(publicKeySpki) {
// Build the Certification Request using the public key.
return userToken.subtleCrypto.sign(
{name : "RSASSA-PKCS1-v1_5"}, cachedKeyPair.privateKey, data);
},
console.log.bind(console))
.then(function(signature) {
// Complete the Certification Request with |signature|.
// Send out the request to the CA, calling back
// onClientCertificateReceived.
},
console.log.bind(console));
}
function onClientCertificateReceived(userToken, certificate) {
chrome.enterprise.platformKeys.importCertificate(userToken.id, certificate);
}
getUserToken(generateAndSign);
유형
Algorithm
생성할 키 유형입니다.
열거형
ChallengeKeyOptions
속성
-
챌린지
ArrayBuffer
Verified Access Web API에서 표시되는 질문입니다.
-
registerKey
RegisterKeyOptions 선택사항
있는 경우 지정된
scope의 토큰으로 챌린지가 표시된 키를 등록합니다. 그런 다음 키는 인증서와 연결하여 다른 서명 키처럼 사용할 수 있습니다. 이후 이 함수를 호출하면 지정된scope에 새 엔터프라이즈 키가 생성됩니다. -
범위
도전과제를 제시할 엔터프라이즈 키
RegisterKeyOptions
속성
-
알고리즘
등록된 키가 사용해야 하는 알고리즘입니다.
Scope
엔터프라이즈 사용자 키 또는 엔터프라이즈 시스템 키 사용 여부
열거형
Token
속성
-
id
string
이
Token를 고유하게 식별합니다.정적 ID는
"user"및"system"이며, 각각 플랫폼의 사용자별 하드웨어 토큰과 시스템 전체 하드웨어 토큰을 나타냅니다. 다른 식별자가 있는 다른 토큰은enterprise.platformKeys.getTokens에서 반환될 수 있습니다. -
softwareBackedSubtleCrypto
SubtleCrypto
Chrome 97 이상WebCrypto의 SubtleCrypto 인터페이스를 구현합니다. 키 생성을 포함한 암호화 작업은 소프트웨어에서 지원됩니다. 키의 보호와 이에 따른 추출 불가능한 속성의 구현은 소프트웨어에서 수행되므로, 키는 하드웨어 지원 키보다 보호 수준이 낮습니다.
modulusLength가 최대 2048개인 추출 불가능한 RSASSA-PKCS1-V1_5 키만 생성할 수 있습니다. 각 키는 데이터 서명에 최대 한 번 사용할 수 있습니다.특정
Token에서 생성된 키는 다른 토큰과 함께 사용할 수 없으며window.crypto.subtle와 함께 사용할 수도 없습니다. 마찬가지로window.crypto.subtle로 만든Key객체는 이 인터페이스에서 사용할 수 없습니다. -
subtleCrypto
SubtleCrypto
WebCrypto의 SubtleCrypto 인터페이스를 구현합니다. 키 생성을 포함한 암호화 작업은 하드웨어에서 지원됩니다.
추출 불가능한 RSASSA-PKCS1-V1_5 키(최대 2048
modulusLength포함) 및 ECDSA(namedCurveP-256 포함)만 생성할 수 있습니다. 각 키는 데이터 서명에 최대 한 번 사용할 수 있습니다.특정
Token에서 생성된 키는 다른 토큰과 함께 사용할 수 없으며window.crypto.subtle와 함께 사용할 수도 없습니다. 마찬가지로window.crypto.subtle로 만든Key객체는 이 인터페이스에서 사용할 수 없습니다.
방법
challengeKey()
chrome.enterprise.platformKeys.challengeKey(
options: ChallengeKeyOptions,
callback: function,
)
challengeMachineKey 및 challengeUserKey와 유사하지만 등록된 키의 알고리즘을 지정할 수 있습니다. 하드웨어 기반 엔터프라이즈 머신 키를 요구하고 원격 증명 프로토콜의 일부로 응답을 방출합니다. 질문을 제기하고 응답을 확인하는 Verified Access Web API와 Chrome OS에서만 유용합니다.
Verified Access Web API를 통한 확인에 성공하면 현재 기기가 합법적인 Chrome OS 기기이고, 현재 기기가 확인 중에 지정된 도메인에서 관리되고, 현재 로그인한 사용자가 확인 중에 지정된 도메인에서 관리되며, 현재 기기 상태가 기업 기기 정책을 준수한다는 것을 나타냅니다. 예를 들어 정책에서 기기가 개발자 모드가 아니어야 한다고 지정할 수 있습니다. 인증을 통해 표시되는 모든 기기 ID는 현재 기기의 하드웨어에 긴밀하게 결합됩니다. "user" 범위가 지정되면 ID는 현재 로그인한 사용자와도 긴밀하게 결합됩니다.
이 기능은 매우 제한적이며 현재 기기가 관리되지 않거나, 현재 사용자가 관리되지 않거나, 엔터프라이즈 기기 정책에 따라 호출자에 대해 이 작업이 명시적으로 사용 설정되지 않은 경우 실패합니다. 챌린지된 키는 "system" 또는 "user" 토큰에 있지 않으며 다른 API에서 액세스할 수 없습니다.
매개변수
-
ChallengeKeyOptions에 정의된 필드가 포함된 객체입니다. -
콜백
기능
callback매개변수는 다음과 같습니다.(response: ArrayBuffer)=>void
-
응답
ArrayBuffer
챌린지 응답
-
challengeMachineKey()
chrome.enterprise.platformKeys.challengeMachineKey(
challenge: ArrayBuffer,
registerKey?: boolean,
callback: function,
)
대신 challengeKey를 사용하세요.
하드웨어 기반 엔터프라이즈 머신 키를 요구하고 원격 증명 프로토콜의 일부로 응답을 방출합니다. 질문을 제기하고 응답을 확인하는 Verified Access Web API와 Chrome OS에서만 유용합니다. Verified Access Web API를 통한 인증에 성공하면 다음 사항을 모두 확인할 수 있습니다. * 현재 기기가 합법적인 Chrome OS 기기입니다. * 현재 기기는 인증 시 지정된 도메인에서 관리합니다. * 현재 로그인한 사용자는 확인 중에 지정된 도메인에서 관리합니다. * 현재 기기 상태가 기업 기기 정책을 준수합니다. 예를 들어 정책에서 기기가 개발자 모드가 아니어야 한다고 지정할 수 있습니다. * 인증을 통해 내보낸 모든 기기 ID는 현재 기기의 하드웨어와 긴밀하게 결합됩니다. 이 기능은 매우 제한적이며 현재 기기가 관리되지 않거나, 현재 사용자가 관리되지 않거나, 엔터프라이즈 기기 정책에 따라 호출자에 대해 이 작업이 명시적으로 사용 설정되지 않은 경우 실패합니다. 엔터프라이즈 머신 키는 "system" 토큰에 없으며 다른 API로 액세스할 수 없습니다.
매개변수
-
챌린지
ArrayBuffer
Verified Access Web API에서 표시되는 질문입니다.
-
registerKey
부울 선택사항
Chrome 59 이상설정된 경우 현재 엔터프라이즈 머신 키가
"system"토큰으로 등록되고 엔터프라이즈 머신 키 역할이 포기됩니다. 그런 다음 키는 인증서와 연결하여 다른 서명 키처럼 사용할 수 있습니다. 이 키는 2048비트 RSA입니다. 이후에 이 함수를 호출하면 새 엔터프라이즈 머신 키가 생성됩니다. -
콜백
기능
callback매개변수는 다음과 같습니다.(response: ArrayBuffer)=>void
-
응답
ArrayBuffer
챌린지 응답
-
challengeUserKey()
chrome.enterprise.platformKeys.challengeUserKey(
challenge: ArrayBuffer,
registerKey: boolean,
callback: function,
)
대신 challengeKey를 사용하세요.
하드웨어 기반 엔터프라이즈 사용자 키를 요구하고 원격 증명 프로토콜의 일부로 응답을 방출합니다. 질문을 제기하고 응답을 확인하는 Verified Access Web API와 Chrome OS에서만 유용합니다. Verified Access Web API를 통한 인증에 성공하면 다음 사항을 모두 확인할 수 있습니다. * 현재 기기가 합법적인 Chrome OS 기기입니다. * 현재 기기는 인증 시 지정된 도메인에서 관리합니다. * 현재 로그인한 사용자는 확인 중에 지정된 도메인에서 관리합니다. * 현재 기기 상태가 기업 사용자 정책을 준수합니다. 예를 들어 정책에서 기기가 개발자 모드가 아니어야 한다고 지정할 수 있습니다. * 검증에서 내보낸 공개 키는 현재 기기의 하드웨어와 현재 로그인한 사용자에게 긴밀하게 결합되어 있습니다. 이 기능은 매우 제한적이며 현재 기기가 관리되지 않거나, 현재 사용자가 관리되지 않거나, 엔터프라이즈 사용자 정책에 따라 호출자에 대해 이 작업이 명시적으로 사용 설정되지 않은 경우 실패합니다. 기업 사용자 키는 "user" 토큰에 없으며 다른 API로 액세스할 수 없습니다.
매개변수
-
챌린지
ArrayBuffer
Verified Access Web API에서 표시되는 질문입니다.
-
registerKey
boolean
설정된 경우 현재 엔터프라이즈 사용자 키가
"user"토큰으로 등록되고 엔터프라이즈 사용자 키 역할이 포기됩니다. 그런 다음 키는 인증서와 연결하여 다른 서명 키처럼 사용할 수 있습니다. 이 키는 2048비트 RSA입니다. 이후에 이 함수를 호출하면 새 엔터프라이즈 사용자 키가 생성됩니다. -
콜백
기능
callback매개변수는 다음과 같습니다.(response: ArrayBuffer)=>void
-
응답
ArrayBuffer
챌린지 응답
-
getCertificates()
chrome.enterprise.platformKeys.getCertificates(
tokenId: string,
callback: function,
)
지정된 토큰에서 사용 가능한 모든 클라이언트 인증서 목록을 반환합니다. 특정 인증에 사용할 수 있는 클라이언트 인증서의 존재 및 만료 여부를 확인하는 데 사용할 수 있습니다.
매개변수
-
tokenId
string
getTokens에서 반환된 토큰의 ID입니다. -
콜백
기능
callback매개변수는 다음과 같습니다.(certificates: ArrayBuffer[])=>void
-
certificates
배열 버퍼[]
인증서 목록입니다. 각 인증서는 X.509 인증서의 DER 인코딩입니다.
-
getTokens()
chrome.enterprise.platformKeys.getTokens(
callback: function,
)
사용 가능한 토큰을 반환합니다. 일반 사용자의 세션 목록에는 항상 id "user"와 함께 사용자의 토큰이 포함됩니다. 시스템 전체 TPM 토큰을 사용할 수 있는 경우 반환되는 목록에는 id "system"가 있는 시스템 전체 토큰도 포함됩니다. 시스템 전체 토큰은 이 기기 (예: Chromebook과 같은 기기)의 모든 세션에서 동일합니다.
importCertificate()
chrome.enterprise.platformKeys.importCertificate(
tokenId: string,
certificate: ArrayBuffer,
callback?: function,
)
인증 키가 이미 이 토큰에 저장되어 있는 경우 certificate를 지정된 토큰으로 가져옵니다. 인증 요청이 성공하면 이 함수를 사용하여 획득한 인증서를 저장하고 운영체제와 브라우저에서 인증을 받을 수 있도록 해야 합니다.
매개변수
-
tokenId
string
getTokens에서 반환된 토큰의 ID입니다. -
증명서
ArrayBuffer
X.509 인증서의 DER 인코딩입니다.
-
콜백
함수 선택사항
callback매개변수는 다음과 같습니다.()=>void
removeCertificate()
chrome.enterprise.platformKeys.removeCertificate(
tokenId: string,
certificate: ArrayBuffer,
callback?: function,
)
지정된 토큰(있는 경우)에서 certificate를 삭제합니다. 인증 중에 고려되지 않고 인증서 선택을 복잡하게 만들지 않도록 사용되지 않는 인증서를 삭제하는 데 사용해야 합니다. 인증서 저장소의 여유 공간을 확보하는 데 사용해야 합니다.
매개변수
-
tokenId
string
getTokens에서 반환된 토큰의 ID입니다. -
증명서
ArrayBuffer
X.509 인증서의 DER 인코딩입니다.
-
콜백
함수 선택사항
callback매개변수는 다음과 같습니다.()=>void