Configurer les conditions de certificat d'entreprise

L'un des principes fondamentaux de Chrome Enterprise Premium est que l'accès aux services est accordé en fonction que nous savons sur vous et votre appareil. » Le niveau d'accès accordé à un seul utilisateur ou un seul appareil est inféré de manière dynamique en interrogeant plusieurs données sources. Chrome Enterprise Premium utilise ce niveau de confiance dans son processus décisionnel.

Access Context Manager est le moteur de règles de confiance zéro de Chrome Enterprise Premium. Access Context Manager permet aux administrateurs de définir un contrôle d'accès précis et basé sur des attributs pour les applications et les ressources Google Cloud.

Utiliser des niveaux d'accès pour autoriser l'accès aux ressources en fonction d'informations contextuelles à propos de la demande. Grâce aux niveaux d'accès, vous pouvez commencer à organiser des niveaux de confiance. Par exemple, vous pouvez créer un niveau d'accès appelé High_Level qui autorise les requêtes provenant d'un petit groupe d'individus hautement privilégiés. Vous pourriez également identifier un groupe plus général digne de confiance, tel qu'une plage d'adresses IP pour autoriser les demandes. Dans ce cas, vous pouvez créer un niveau d'accès appelé Medium_Level pour autoriser ces requêtes.

L'une des exigences clés d'un accès zéro confiance est de n'autoriser l'accès l'appareil est géré ou détenu par l'entreprise. Il existe de nombreuses façons de déterminer si un appareil est détenu par l'entreprise, et l'une des méthodes consiste à déterminer si un appareil délivré par l'entreprise est présent sur l'appareil. La présence d'un certificat d'entreprise sur un appareil peut indiquer qu'il appartient à l'entreprise.

Les certificats d'entreprise pour l'accès contextuel sont une fonctionnalité de la solution d'accès basée sur les certificats Chrome Enterprise Premium. Cette fonctionnalité exploite les comme autre signal contextuel pour déterminer si un appareil un actif détenu par l'entreprise. Cette fonctionnalité est compatible avec le navigateur Chrome 110 ou plus tard.

Étant donné qu'un appareil peut posséder plusieurs certificats, les certificats d'entreprise peuvent est accessible dans le niveau d'accès personnalisé à l'aide des macros .exist(e,p):

device.certificates.exists(cert, predicate)

Dans l'exemple, cert est un identifiant à utiliser dans predicator, qui se lie au certificat de l'appareil. La macro exist() combine les résultats du prédicat par élément avec l'opérateur "or" (||), ce qui signifie que les macros renvoient "true" si au moins un certificat satisfait l'expression predicate.

Le certificat comporte les attributs suivants, qui peuvent être vérifiés ensemble. Notez que les comparaisons de chaînes sont sensibles à la casse.

Attribut Description Exemple d'expression de prédicat (pour laquelle cert est un identifiant de macros)
is_valid "True" si le certificat est valide et qu'il n'a pas expiré (booléen). cert.is_valid
cert_fingerprint Empreinte du certificat (SHA256 sans remplissage base64).

L'empreinte correspond au condensé SHA256 encodé en base64 sans remplissage, au format binaire, du certificat avec encodage DER. Vous pouvez générer la chaîne à partir du certificat au format PEM via la procédure suivante avec OpenSSL :

$ openssl x509 -in cert.pem -out cert.der -outform DER
$ openssl dgst -sha256 -binary cert.der > digest.sha
$ openssl base64 -in digest.sha

cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint Empreinte du certificat CA racine utilisé pour signer le certificat (SHA256 sans remplissage base64).

L'empreinte est le condensé SHA256 encodé en base64 sans remplissage, dans du certificat encodé au format DER. Vous pouvez générer la chaîne à partir du certificat au format PEM via la procédure suivante avec OpenSSL :

$ openssl x509 -in cert.pem -out cert.der -outform DER
$ openssl dgst -sha256 -binary cert.der > digest.sha
$ openssl base64 -in digest.sha

cert.root_ca_fingerprint == "the_fingerprint"
issuer Nom de l'émetteur (noms complets).

Pour trouver le nom de l'émetteur, vous pouvez utiliser l'approche suivante:

Exécutez la commande suivante sur le certificat :

$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in

La chaîne d'émetteur utilisée dans le niveau d'accès est l'inverse de la sortie et le / est remplacé par une virgule. Exemple :

EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN

cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject Nom de l'objet du certificat (noms entiers). cert.subject == "CA_SUB"
serial_number Numéro de série du certificat (chaîne). cert.serial_number = "123456789"
template_id ID du modèle de l'extension X.509 du modèle de certificat pour le certificat (chaîne). cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

Le tableau suivant contient des exemples de règles que vous pouvez définir :

Exemple de règle Expression
L'appareil dispose d'un certificat valide signé par le certificat racine de l'entreprise. device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
L'appareil dispose d'un certificat valide émis par l'émetteur CA_ABC. device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

Configurer des certificats d'entreprise

Avant de configurer des certificats d'entreprise, assurez-vous d'avoir configuré des niveaux d'accès personnalisés. Pour obtenir des instructions, consultez la section Créer un accès personnalisé niveau supérieur.

Vous pouvez utiliser une définition de niveau d'accès personnalisée Access Context Manager pour définir les stratégies appropriées. Les niveaux d'accès personnalisés utilisent des expressions booléennes écrites dans un sous-ensemble du langage CEL (Common Expression Language) pour tester les attributs d'un client à l'origine d'une requête.

Importer des points d'ancrage de confiance dans la console d'administration

Pour que Chrome Enterprise Premium collecte et valide l'entreprise de l'appareil certificat, vous devez importer les ancres de confiance et tous les certificats intermédiaires utilisées pour émettre le certificat de l'appareil. Les points d'ancrage de confiance font ici référence au certificat d'autorité de certification racine autosigné et aux certificats intermédiaires et subalternes pertinents. Pour importer les ancrages de confiance, procédez comme suit :

  1. Accédez à la console d'administration, puis accédez à Appareils > Réseaux > Certificats.
  2. Sélectionnez l'unité organisationnelle appropriée.
  3. Sélectionnez Ajouter un certificat.
  4. Saisissez le nom du certificat.
  5. Importez le certificat.
  6. Cochez la case Validation des points de terminaison.
  7. Cliquez sur Ajouter.
  8. Assurez-vous que les utilisateurs appartiennent à l'unité organisationnelle pour laquelle les ancrages de confiance sont importés.

Configurer une règle AutoSelectCertificateForUrls

Pour que la validation des points de terminaison puisse rechercher le certificat de l'appareil et le collecter via Chrome, vous devez configurer le fichier Chrome AutoSelectCertificateForURLs en procédant comme suit:

  1. Assurez-vous que le navigateur Chrome est géré par la gestion cloud du navigateur Chrome.

  2. Dans la console d'administration, ajoutez la règle AutoSelectCertificateForUrls:

    1. Accédez à la console d'administration, puis à Appareils > Chrome > Paramètres > Utilisateur et Paramètres du navigateur > Les certificats client.
    2. Sélectionnez l'unité organisationnelle appropriée.
    3. Ajoutez une règle AutoSelectCertificateForUrls, comme illustré dans l'exemple suivant :

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
      

      Remplacez CERTIFICATE_ISSUER_NAME par le nom commun de l'autorité de certification racine. Ne modifiez pas la valeur de pattern.

Pour vérifier la configuration de la stratégie, procédez comme suit:

  1. Accédez à chrome://policy dans le navigateur.
  2. Vérifiez la valeur configurée pour AutoSelectCertificateForUrls.
  3. Assurez-vous que la valeur de la stratégie S'applique à est définie sur Machine. Le système d'exploitation Chrome, la valeur est appliquée à Utilisateur actuel*.
  4. Assurez-vous que l'état de la stratégie n'indique pas Conflit.

Résoudre les problèmes de configuration

Vérifiez les attributs du certificat sur la page d'informations détaillées sur l'appareil pour vous assurer qu'ils sont listés correctement.

Vous pouvez utiliser les journaux Endpoint Verification pour résoudre les problèmes que vous rencontrez. À téléchargez les journaux Endpoint Verification, puis procédez comme suit:

  1. Faites un clic droit sur l'extension Endpoint Verification, puis accédez à Options.
  2. Sélectionnez Niveau de journalisation > Tout > Télécharger les journaux.
  3. Ouvrez une demande d'assistance auprès du service client Cloud et partagez les journaux pour un débogage plus approfondi.