หน้านี้ได้รับการแปลโดย Cloud Translation API

chrome.enterprise.platformKeys

คำอธิบาย

ใช้ chrome.enterprise.platformKeys API เพื่อสร้างคีย์และติดตั้งใบรับรองสำหรับคีย์เหล่านี้ ใบรับรองจะได้รับการจัดการโดยแพลตฟอร์มและสามารถใช้สำหรับการตรวจสอบสิทธิ์ TLS, การเข้าถึงเครือข่าย หรือโดยส่วนขยายอื่นๆ ผ่าน chrome.platformKeys

สิทธิ์

enterprise.platformKeys

ความพร้อมใช้งาน

ChromeOS เท่านั้น ต้องมีนโยบาย

แนวคิดและการใช้งาน

การใช้งาน API นี้ในการลงทะเบียนใบรับรองไคลเอ็นต์โดยทั่วไปจะทำตามขั้นตอนต่อไปนี้

รับโทเค็นที่มีอยู่ทั้งหมดโดยใช้ enterprise.platformKeys.getTokens()
หาโทเค็นที่มี id เท่ากับ "user" ใช้โทเค็นนี้ในภายหลัง
สร้างคู่คีย์โดยใช้เมธอดโทเค็น generateKey() (ที่กำหนดไว้ใน SubtleCrypto) ซึ่งจะเป็นการคืนแฮนเดิลกลับไปที่คีย์
ส่งออกคีย์สาธารณะโดยใช้เมธอดโทเค็น exportKey() (ที่กำหนดไว้ใน SubtleCrypto)
สร้างลายเซ็นในข้อมูลของคำขอการรับรองโดยใช้เมธอดโทเค็น sign() (ตามที่กำหนดไว้ใน SubtleCrypto)
ยื่นคำขอการรับรองให้เสร็จสมบูรณ์และส่งไปยังหน่วยงานที่รับรอง
หากได้รับใบรับรองแล้ว ให้นำเข้าโดยใช้ [enterprise.platformKeys.importCertificate()`[3]

ต่อไปนี้คือตัวอย่างที่แสดงการโต้ตอบกับ API ที่สำคัญ ยกเว้นการสร้างและการส่งคําขอใบรับรอง

function getUserToken(callback) {
  chrome.enterprise.platformKeys.getTokens(function(tokens) {
    for (var i = 0; i < tokens.length; i++) {
      if (tokens[i].id == "user") {
        callback(tokens[i]);
        return;
      }
    }
    callback(undefined);
  });
}

function generateAndSign(userToken) {
  var data = new Uint8Array([0, 5, 1, 2, 3, 4, 5, 6]);
  var algorithm = {
    name: "RSASSA-PKCS1-v1_5",
    // RsaHashedKeyGenParams
    modulusLength: 2048,
    publicExponent:
        new Uint8Array([0x01, 0x00, 0x01]),  // Equivalent to 65537
    hash: {
      name: "SHA-256",
    }
  };
  var cachedKeyPair;
  userToken.subtleCrypto.generateKey(algorithm, false, ["sign"])
    .then(function(keyPair) {
            cachedKeyPair = keyPair;
            return userToken.subtleCrypto.exportKey("spki", keyPair.publicKey);
          },
          console.log.bind(console))
    .then(function(publicKeySpki) {
            // Build the Certification Request using the public key.
            return userToken.subtleCrypto.sign(
                {name : "RSASSA-PKCS1-v1_5"}, cachedKeyPair.privateKey, data);
          },
          console.log.bind(console))
    .then(function(signature) {
              // Complete the Certification Request with |signature|.
              // Send out the request to the CA, calling back
              // onClientCertificateReceived.
          },
          console.log.bind(console));
}

function onClientCertificateReceived(userToken, certificate) {
  chrome.enterprise.platformKeys.importCertificate(userToken.id, certificate);
}

getUserToken(generateAndSign);

ประเภท

Algorithm

Chrome 110 ขึ้นไป

ประเภทคีย์ที่จะสร้าง

ค่าแจกแจง

"RSA"

"ECDSA"

ChallengeKeyOptions

Chrome 110 ขึ้นไป

พร็อพเพอร์ตี้

ชาเลนจ์

ArrayBuffer

ความท้าทายจาก Verified Access Web API
registerKey

RegisterKeyOptions ไม่บังคับ

หากมี ให้ลงทะเบียนคีย์ที่ท้าทายด้วยโทเค็นของ scope ที่ระบุ จากนั้นคุณจะเชื่อมโยงคีย์กับใบรับรองและใช้คีย์การรับรองอื่นๆ ได้ การเรียกใช้ฟังก์ชันนี้ในภายหลังจะมีการสร้างคีย์ Enterprise ใหม่ใน scope ที่ระบุ
ขอบเขต

ขอบเขต

คีย์ Enterprise ที่ต้องการทดสอบ

RegisterKeyOptions

Chrome 110 ขึ้นไป

พร็อพเพอร์ตี้

อัลกอริทึม

อัลกอริทึม

คีย์ที่ลงทะเบียนควรใช้อัลกอริทึมใด

Scope

Chrome 110 ขึ้นไป

จะใช้คีย์ผู้ใช้ขององค์กรหรือคีย์เครื่องขององค์กร

ค่าแจกแจง

Token

พร็อพเพอร์ตี้

id

string

ระบุ Token นี้โดยไม่ซ้ำกัน

รหัสแบบคงที่คือ "user" และ "system" หมายถึงโทเค็นเฉพาะผู้ใช้ของแพลตฟอร์มและโทเค็นฮาร์ดแวร์ของทั้งระบบตามลำดับ enterprise.platformKeys.getTokens อาจส่งคืนโทเค็นอื่นๆ (ที่มีตัวระบุอื่นๆ)
softwareBackedSubtleCrypto

SubtleCrypto

Chrome 97 ขึ้นไป

ใช้งานอินเทอร์เฟซ SubtleCrypto ของ WebCrypto การดำเนินการเข้ารหัส รวมถึงการสร้างคีย์รับการสนับสนุนด้วยซอฟต์แวร์ การปกป้องคีย์ ดังนั้นการใช้คุณสมบัติที่ดึงออกมาไม่ได้จะทำในซอฟต์แวร์ คีย์จึงได้รับการปกป้องน้อยกว่าคีย์ที่ใช้ฮาร์ดแวร์

สร้างคีย์ RSASSA-PKCS1-V1_5 ที่มี modulusLength สูงสุด 2048 แบบดึงข้อมูลไม่ได้เท่านั้น คุณใช้แต่ละคีย์ในการลงนามข้อมูลพร้อมกันได้

คีย์ที่สร้างขึ้นใน Token หนึ่งๆ จะใช้กับโทเค็นอื่นๆ ไม่ได้และใช้กับ window.crypto.subtle ไม่ได้ ในทำนองเดียวกัน ออบเจ็กต์ Key รายการที่สร้างด้วย window.crypto.subtle ไม่สามารถใช้กับอินเทอร์เฟซนี้ได้
subtleCrypto

SubtleCrypto

ใช้งานอินเทอร์เฟซ SubtleCrypto ของ WebCrypto การดำเนินการเข้ารหัส รวมถึงการสร้างคีย์จะได้รับฮาร์ดแวร์สนับสนุน

สร้างได้เฉพาะคีย์ RSASSA-PKCS1-V1_5 ที่ดึงข้อมูลไม่ได้ซึ่งมี modulusLength สูงสุด 2048 และ ECDSA ที่มี namedCurve P-256 เท่านั้น คุณใช้แต่ละคีย์ในการลงนามข้อมูลพร้อมกันได้

คีย์ที่สร้างขึ้นใน Token หนึ่งๆ จะใช้กับโทเค็นอื่นๆ ไม่ได้และใช้กับ window.crypto.subtle ไม่ได้ ในทำนองเดียวกัน ออบเจ็กต์ Key รายการที่สร้างด้วย window.crypto.subtle ไม่สามารถใช้กับอินเทอร์เฟซนี้ได้

วิธีการ

challengeKey()

Chrome 110 ขึ้นไป

chrome.enterprise.platformKeys.challengeKey(
  options: ChallengeKeyOptions,
  callback: function,
)

คล้ายกับ challengeMachineKey และ challengeUserKey แต่อนุญาตให้ระบุอัลกอริทึมของคีย์ที่ลงทะเบียนแล้ว ท้าทายคีย์เครื่อง Enterprise ที่รองรับฮาร์ดแวร์และส่งการตอบสนองเป็นส่วนหนึ่งของโปรโตคอลการรับรองระยะไกล มีประโยชน์เฉพาะใน Chrome OS และใช้ร่วมกับ Verified Access Web API ที่แก้ปัญหาและยืนยันคำตอบได้

การยืนยันที่สำเร็จโดย Verified Access Web API เป็นสัญญาณที่ชัดเจนว่าอุปกรณ์ปัจจุบันเป็นอุปกรณ์ Chrome OS ที่ถูกต้อง อุปกรณ์ปัจจุบันได้รับการจัดการโดยโดเมนที่ระบุในระหว่างการยืนยัน ผู้ใช้ที่ลงชื่อเข้าใช้ในปัจจุบันได้รับการจัดการโดยโดเมนที่ระบุในระหว่างการยืนยัน และสถานะปัจจุบันของอุปกรณ์สอดคล้องกับนโยบายด้านอุปกรณ์ขององค์กร ตัวอย่างเช่น นโยบายอาจระบุว่าอุปกรณ์ต้องไม่อยู่ในโหมดนักพัฒนาซอฟต์แวร์ ข้อมูลประจำตัวของอุปกรณ์ที่เริ่มต้นจากการยืนยันจะมีผูกไว้กับฮาร์ดแวร์ของอุปกรณ์ปัจจุบันอย่างใกล้ชิด หากระบุขอบเขต "user" แล้ว ข้อมูลประจำตัวจะเชื่อมโยงกับผู้ใช้ที่ลงชื่อเข้าใช้ปัจจุบันด้วย

ฟังก์ชันนี้มีข้อจำกัดอย่างมากและจะล้มเหลวหากอุปกรณ์ปัจจุบันไม่ได้รับการจัดการ ผู้ใช้ปัจจุบันไม่ได้รับการจัดการ หรือหากไม่ได้เปิดใช้การดำเนินการนี้อย่างชัดเจนสำหรับผู้โทรโดยนโยบายด้านอุปกรณ์ขององค์กร คีย์ที่ท้าทายไม่ได้อยู่ในโทเค็น "system" หรือ "user" และ API อื่นเข้าถึงไม่ได้

พารามิเตอร์

ตัวเลือก

ChallengeKeyOptions

ออบเจ็กต์ที่มีช่องที่กำหนดไว้ใน ChallengeKeyOptions
Callback

ฟังก์ชัน

พารามิเตอร์ callback มีลักษณะดังนี้
```
(response: ArrayBuffer)=>void
```
- การตอบกลับ
  
  ArrayBuffer
  
  การตอบคำถาม

challengeMachineKey()

Chrome 50+ เลิกใช้งานตั้งแต่ Chrome 110

chrome.enterprise.platformKeys.challengeMachineKey(
  challenge: ArrayBuffer,
  registerKey?: boolean,
  callback: function,
)

โปรดใช้ challengeKey แทน

ท้าทายคีย์เครื่อง Enterprise ที่รองรับฮาร์ดแวร์และส่งการตอบสนองเป็นส่วนหนึ่งของโปรโตคอลการรับรองระยะไกล มีประโยชน์เฉพาะใน Chrome OS และใช้ร่วมกับ Verified Access Web API ที่แก้ปัญหาและยืนยันคำตอบได้ การยืนยันที่สำเร็จโดย Verified Access Web API ถือเป็นสัญญาณที่ชัดเจนของทุกสิ่งต่อไปนี้ * อุปกรณ์ปัจจุบันเป็นอุปกรณ์ ChromeOS ที่ถูกต้อง * อุปกรณ์ปัจจุบันได้รับการจัดการโดยโดเมนที่ระบุไว้ในระหว่างการยืนยัน * ผู้ใช้ที่ลงชื่อเข้าใช้ในปัจจุบันจะได้รับการจัดการโดยโดเมนที่ระบุไว้ในระหว่างการยืนยัน * สถานะของอุปกรณ์ปัจจุบันสอดคล้องกับนโยบายด้านอุปกรณ์ขององค์กร ตัวอย่างเช่น นโยบายอาจระบุว่าอุปกรณ์ต้องไม่อยู่ในโหมดนักพัฒนาซอฟต์แวร์ * ข้อมูลประจำตัวของอุปกรณ์ใดๆ ที่เริ่มต้นจากการยืนยันจะผูกมัดกับฮาร์ดแวร์ของอุปกรณ์ปัจจุบันอย่างใกล้ชิด ฟังก์ชันนี้มีข้อจำกัดอย่างมากและจะล้มเหลวหากอุปกรณ์ปัจจุบันไม่ได้รับการจัดการ ผู้ใช้ปัจจุบันไม่ได้รับการจัดการ หรือหากไม่ได้เปิดใช้การดำเนินการนี้อย่างชัดเจนสำหรับผู้โทรโดยนโยบายด้านอุปกรณ์ขององค์กร คีย์เครื่องขององค์กรไม่อยู่ในโทเค็น "system" และไม่สามารถเข้าถึงได้โดย API อื่น

พารามิเตอร์

ชาเลนจ์

ArrayBuffer

ความท้าทายจาก Verified Access Web API
registerKey

บูลีน ไม่บังคับ

Chrome 59 ขึ้นไป

หากตั้งค่าไว้ คีย์เครื่องขององค์กรปัจจุบันจะลงทะเบียนด้วยโทเค็น "system" และยกเลิกบทบาทคีย์เครื่องขององค์กร จากนั้นคุณจะเชื่อมโยงคีย์กับใบรับรองและใช้คีย์การรับรองอื่นๆ ได้ คีย์นี้คือ RSA 2048 บิต การเรียกใช้ฟังก์ชันนี้ในภายหลังจะเป็นการสร้างคีย์เครื่อง Enterprise ใหม่
Callback

ฟังก์ชัน

พารามิเตอร์ callback มีลักษณะดังนี้
```
(response: ArrayBuffer)=>void
```
- การตอบกลับ
  
  ArrayBuffer
  
  การตอบคำถาม

challengeUserKey()

Chrome 50+ เลิกใช้งานตั้งแต่ Chrome 110

chrome.enterprise.platformKeys.challengeUserKey(
  challenge: ArrayBuffer,
  registerKey: boolean,
  callback: function,
)

โปรดใช้ challengeKey แทน

ท้าทายคีย์ผู้ใช้ Enterprise ที่รองรับฮาร์ดแวร์และส่งการตอบสนองเป็นส่วนหนึ่งของโปรโตคอลเอกสารรับรองระยะไกล มีประโยชน์เฉพาะใน Chrome OS และใช้ร่วมกับ Verified Access Web API ที่แก้ปัญหาและยืนยันคำตอบได้ การยืนยันที่สำเร็จโดย Verified Access Web API ถือเป็นสัญญาณที่ชัดเจนของทุกสิ่งต่อไปนี้ * อุปกรณ์ปัจจุบันเป็นอุปกรณ์ ChromeOS ที่ถูกต้อง * อุปกรณ์ปัจจุบันได้รับการจัดการโดยโดเมนที่ระบุไว้ในระหว่างการยืนยัน * ผู้ใช้ที่ลงชื่อเข้าใช้ในปัจจุบันจะได้รับการจัดการโดยโดเมนที่ระบุไว้ในระหว่างการยืนยัน * สถานะอุปกรณ์ปัจจุบันเป็นไปตามนโยบายผู้ใช้ขององค์กร ตัวอย่างเช่น นโยบายอาจระบุว่าอุปกรณ์ต้องไม่อยู่ในโหมดนักพัฒนาซอฟต์แวร์ * คีย์สาธารณะที่เกิดจากการยืนยันจะผูกกับฮาร์ดแวร์ของอุปกรณ์ปัจจุบันและผู้ใช้ที่ลงชื่อเข้าใช้ในปัจจุบันอย่างเข้มงวด ฟังก์ชันนี้มีข้อจำกัดอย่างมากและจะล้มเหลวหากอุปกรณ์ปัจจุบันไม่ได้รับการจัดการ ผู้ใช้ปัจจุบันไม่ได้รับการจัดการ หรือหากไม่ได้เปิดใช้การดำเนินการนี้อย่างชัดเจนสำหรับผู้โทรตามนโยบายผู้ใช้ขององค์กร คีย์ผู้ใช้ Enterprise ไม่ได้อยู่ในโทเค็น "user" และไม่สามารถเข้าถึงได้โดย API อื่น

พารามิเตอร์

ชาเลนจ์

ArrayBuffer

ความท้าทายจาก Verified Access Web API
registerKey

boolean

หากมีการตั้งค่า คีย์ผู้ใช้ Enterprise ปัจจุบันจะลงทะเบียนด้วยโทเค็น "user" และเลิกใช้บทบาทคีย์ผู้ใช้ Enterprise จากนั้นคุณจะเชื่อมโยงคีย์กับใบรับรองและใช้คีย์การรับรองอื่นๆ ได้ คีย์นี้คือ RSA 2048 บิต การเรียกใช้ฟังก์ชันนี้ในภายหลังจะเป็นการสร้างคีย์ผู้ใช้ Enterprise ใหม่
Callback

ฟังก์ชัน

พารามิเตอร์ callback มีลักษณะดังนี้
```
(response: ArrayBuffer)=>void
```
- การตอบกลับ
  
  ArrayBuffer
  
  การตอบคำถาม

getCertificates()

chrome.enterprise.platformKeys.getCertificates(
  tokenId: string,
  callback: function,
)

แสดงรายการใบรับรองไคลเอ็นต์ทั้งหมดที่พร้อมใช้งานจากโทเค็นที่ระบุ ใช้เพื่อตรวจสอบการมีอยู่และการหมดอายุของใบรับรองไคลเอ็นต์ที่ใช้กับการตรวจสอบสิทธิ์บางอย่างได้

พารามิเตอร์

tokenId

string

รหัสของโทเค็นที่ getTokens แสดงผล
Callback

ฟังก์ชัน

พารามิเตอร์ callback มีลักษณะดังนี้
```
(certificates: ArrayBuffer[])=>void
```
- ใบรับรอง
  
  บัฟเฟอร์อาร์เรย์[]
  
  รายการใบรับรอง แต่ละรายการมีการเข้ารหัส DER ของใบรับรอง X.509

getTokens()

chrome.enterprise.platformKeys.getTokens(
  callback: function,
)

แสดงผลโทเค็นที่ใช้ได้ ในเซสชันของผู้ใช้ทั่วไป รายการจะมีโทเค็นของผู้ใช้ที่มี id "user" เสมอ หากโทเค็น TPM ทั้งระบบพร้อมใช้งาน รายการที่แสดงผลจะมีโทเค็นที่ใช้ทั่วทั้งระบบซึ่งมี id "system" ด้วย โทเค็นที่ใช้ทั่วทั้งระบบจะเหมือนกันสำหรับทุกเซสชันในอุปกรณ์นี้ (ในรูปของ Chromebook)

พารามิเตอร์

Callback

ฟังก์ชัน

พารามิเตอร์ callback มีลักษณะดังนี้
```
(tokens: Token[])=>void
```
- โทเค็น
  
  โทเค็น[]
  
  รายการโทเค็นที่ใช้ได้

importCertificate()

chrome.enterprise.platformKeys.importCertificate(
  tokenId: string,
  certificate: ArrayBuffer,
  callback?: function,
)

นำเข้า certificate ไปยังโทเค็นที่ระบุหากคีย์ที่ผ่านการรับรองเก็บไว้ในโทเค็นนี้แล้ว หลังจากส่งคำขอใบรับรองสำเร็จ ควรใช้ฟังก์ชันนี้เพื่อจัดเก็บใบรับรองที่ได้รับ รวมถึงทำให้สามารถใช้ในระบบปฏิบัติการและเบราว์เซอร์เพื่อการตรวจสอบสิทธิ์ได้

พารามิเตอร์

tokenId

string

รหัสของโทเค็นที่ getTokens แสดงผล
ใบรับรอง

ArrayBuffer

การเข้ารหัส DER ของใบรับรอง X.509
Callback

ฟังก์ชัน ไม่บังคับ

พารามิเตอร์ callback มีลักษณะดังนี้
```
()=>void
```

removeCertificate()

chrome.enterprise.platformKeys.removeCertificate(
  tokenId: string,
  certificate: ArrayBuffer,
  callback?: function,
)

นํา certificate ออกจากโทเค็นที่ระบุ หากมี ควรใช้เพื่อนำใบรับรองที่ล้าสมัยออกเพื่อไม่ให้ได้รับการพิจารณาในระหว่างการตรวจสอบสิทธิ์และไม่ทำให้ตัวเลือกใบรับรองรก ควรใช้เพื่อเพิ่มพื้นที่ว่างในที่เก็บใบรับรอง

พารามิเตอร์

tokenId

string

รหัสของโทเค็นที่ getTokens แสดงผล
ใบรับรอง

ArrayBuffer

การเข้ารหัส DER ของใบรับรอง X.509
Callback

ฟังก์ชัน ไม่บังคับ

พารามิเตอร์ callback มีลักษณะดังนี้
```
()=>void
```