Bedingungen für Unternehmenszertifikate konfigurieren

Ein wichtiges Prinzip von Chrome Enterprise Premium ist: „Der Zugriff auf Dienste wird basierend darauf gewährt, was wir über Sie und Ihr Gerät wissen.“ Die Zugriffsebene, die einem einzelnen Nutzer zugewiesen wird oder ein einzelnes Gerät wird dynamisch abgeleitet, indem mehrere Daten abgefragt werden. Quellen. Chrome Enterprise Premium verwendet diese Vertrauensebene als Teil des Entscheidungsprozesses.

Access Context Manager ist die Zero-Trust-Richtlinien-Engine von Chrome Enterprise Premium. Access Context Manager ermöglicht können Administratoren eine differenzierte, attributbasierte Zugriffssteuerung für und Google Cloud-Ressourcen.

Zugriffsebenen verwenden, um den Zugriff auf Ressourcen basierend auf Kontextinformationen zu erlauben über die Anfrage. Wenn Sie Zugriffsebenen verwenden, können Sie vertrauenswürdig sind. Sie können beispielsweise eine Zugriffsebene mit dem Namen High_Level erstellen, die Anfragen von einer kleinen Gruppe berechtigter Personen zulässt. Sie können auch eine allgemeinere Gruppe angeben, der Sie vertrauen möchten, z. B. einen IP-Bereich, für den Sie Anfragen zulassen möchten. In diesem Fall können Sie eine Zugriffsebene mit dem Namen Medium_Level erstellen, um diese Anfragen zuzulassen.

Eine der wichtigsten Voraussetzungen für den Zero-Trust-Zugriff besteht darin, den Zugriff nur zu erlauben, das Gerät vom Unternehmen verwaltet wird oder dem Unternehmen gehört. Es gibt viele Möglichkeiten, festzustellen, ob ein Gerät dem Unternehmen gehört. Eine davon ist, zu prüfen, ob sich auf dem Gerät ein gültiges Zertifikat befindet, das vom Unternehmen ausgestellt wurde. Das Vorhandensein eines Unternehmenszertifikats auf einem Gerät kann angezeigt werden, dem Unternehmen gehören.

Enterprise-Zertifikate für den kontextsensitiven Zugriff sind eine Funktion der gesamten zertifikatbasierten Zugriffslösung von Chrome Enterprise Premium. Bei dieser Funktion werden Gerätezertifikate als alternativer kontextbezogener Parameter verwendet, um zu bestimmen, ob es sich bei einem Gerät um ein unternehmenseigenes Asset handelt. Diese Funktion wird vom Chrome-Browser 110 und höher unterstützt.

Da ein Gerät mehrere Zertifikate haben kann, können kann auf der benutzerdefinierten Zugriffsebene über die Makros .exist(e,p) aufgerufen werden:

device.certificates.exists(cert, predicate)

Im Beispiel ist cert eine Kennung, die in predicator verwendet werden soll. wird an das Gerätezertifikat gebunden. Das Makro exist() kombiniert die Prädikatsergebnisse pro Element mit dem Operator „oder“ (||). Das bedeutet, dass Makros „wahr“ zurückgeben, wenn mindestens ein Zertifikat den Ausdruck predicate erfüllt.

Das Zertifikat hat die folgenden Attribute, die zusammen geprüft werden können. Hinweis dass bei Stringvergleichen zwischen Groß- und Kleinschreibung unterschieden wird.

Attribut Beschreibung Beispiel für einen Prädikatsausdruck (cert ist eine Kennung von Makros)
is_valid „True“, wenn das Zertifikat gültig und nicht abgelaufen ist (boolesch). cert.is_valid
cert_fingerprint Fingerabdruck des Zertifikats (SHA256 ohne Auffüllung mit base64).

Der Fingerabdruck ist der nicht aufgefüllte base64-codierte SHA256-Digest in Binärformat des DER-codierten Zertifikats verwendet wird. Sie können den String aus dem Zertifikat im PEM-Format mit folgendem Code: mit OpenSSL:

$ openssl x509 -in cert.pem -out cert.der -outform DER
$ openssl dgst -sha256 -binary cert.der > digest.sha
$ openssl base64 -in digest.sha

cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint Fingerabdruck des Stamm-CA-Zertifikats, das zum Signieren des Zertifikats verwendet wird (base64-codiertes, nicht aufgefülltes SHA256).

Der Fingerabdruck ist der nicht aufgefüllte base64-codierte SHA256-Digest in Binärformat des DER-codierten Zertifikats verwendet wird. Sie können den String aus dem Zertifikat im PEM-Format mit folgendem Code: mit OpenSSL:

$ openssl x509 -in cert.pem -out cert.der -outform DER
$ openssl dgst -sha256 -binary cert.der > digest.sha
$ openssl base64 -in digest.sha

cert.root_ca_fingerprint == "the_fingerprint"
issuer Ausstellername (vollständig erweiterte Namen)

So ermitteln Sie den Namen des Ausstellers:

Führen Sie den folgenden Befehl auf dem Zertifikat aus:

$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in

Der in der Zugriffsebene verwendete Ausstellerstring ist die Umkehrung der Ausgabe und das Zeichen „/“ wird durch ein Komma ersetzt. Beispiel:

EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN

cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject Antragstellername des Zertifikats (vollständig erweiterte Namen). cert.subject == "CA_SUB"
serial_number Seriennummer des Zertifikats (String). cert.serial_number = "123456789"
template_id Vorlagen-ID der Zertifikatsvorlage der X.509-Erweiterung für das Zertifikat (String). cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

Die folgende Tabelle enthält Beispiele für Richtlinien, die Sie festlegen können:

Beispielrichtlinie Ausdruck
Das Gerät hat ein gültiges Zertifikat, das vom Root-Zertifikat des Unternehmens signiert ist. device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
Das Gerät hat ein gültiges Zertifikat, das vom Aussteller CA_ABC. ausgestellt wurde. device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

Unternehmenszertifikate konfigurieren

Bevor Sie Unternehmenszertifikate konfigurieren, müssen Sie benutzerdefinierte Zugriffsebenen konfiguriert haben. Eine entsprechende Anleitung finden Sie hier.

Sie können eine benutzerdefinierte Zugriffsebenendefinition in Access Context Manager verwenden, um die Richtlinien einhalten. Bei benutzerdefinierten Zugriffsebenen werden boolesche Ausdrücke in einer Teilmenge von Common Expression Language (CEL) verwendet, um die Attribute eines Anfrage senden.

Trust Anchors in der Admin-Konsole hochladen

Damit Chrome Enterprise Premium die Geräte des Unternehmens erfassen und validieren kann Zertifikat erhalten, müssen Sie die Trust-Anchors und alle Zwischenzertifikate hochladen. die zur Ausstellung des Gerätezertifikats verwendet werden. Die Trust-Anchors hier verweisen auf das selbst signierte Zertifikat der Zertifizierungsstelle (Certificate Authority) und das entsprechende Zwischen- und untergeordneten Zertifikaten. Führen Sie die folgenden Schritte aus, um laden Sie die Trust-Anchors hoch:

  1. Rufen Sie die Admin-Konsole auf und gehen Sie zu Geräte > Netzwerke > Zertifikate.
  2. Wählen Sie die entsprechende Organisationseinheit aus.
  3. Wählen Sie Zertifikat hinzufügen aus.
  4. Geben Sie den Namen des Zertifikats ein.
  5. Laden Sie das Zertifikat hoch.
  6. Klicken Sie das Kästchen Endpunktprüfung an.
  7. Klicken Sie auf Hinzufügen.
  8. Prüfen, ob die Nutzer zu der Organisationseinheit gehören, für die die Trust Anchors hochgeladen werden.

Richtlinie „AutoSelectCertificateForUrls“ konfigurieren

Damit die Endpunktprüfung das Gerätezertifikat durchsuchen und abrufen kann müssen Sie den Chrome-Browser "AutoSelectCertificateForURLs" indem Sie die folgenden Schritte ausführen:

  1. Achten Sie darauf, dass der Chrome-Browser über die Chrome-Verwaltung über die Cloud verwaltet wird.

  2. Fügen Sie in der Admin-Konsole die Richtlinie „AutoSelectCertificateForUrls“ hinzu:

    1. Öffnen Sie die Admin-Konsole und gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer & Browsereinstellungen > Clientzertifikate
    2. Wählen Sie die entsprechende Organisationseinheit aus.

    3. Fügen Sie die Richtlinie AutoSelectCertificateForUrls hinzu, wie im folgenden Beispiel gezeigt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

      Ersetzen Sie CERTIFICATE_ISSUER_NAME durch den gemeinsamen Namen der Stammzertifizierungsstelle. Ändern Sie den Wert von pattern nicht.

Führen Sie die folgenden Schritte aus, um die Richtlinienkonfiguration zu prüfen:

  1. Rufen Sie im Browser chrome://policy auf.
  2. Prüfen Sie den konfigurierten Wert für AutoSelectCertificateForUrls.
  3. Achten Sie darauf, dass der Wert der Richtlinie Gilt für auf Computer festgelegt ist. Am Chrome-Betriebssystem verwenden, wird der Wert auf Aktueller Nutzer* angewendet.
  4. Achten Sie darauf, dass der Status der Richtlinie nicht den Wert Konflikt hat.

Fehlerbehebung bei der Konfiguration

Prüfen Sie die Zertifikatsattribute auf der Seite mit den Gerätedetails, um sicherzustellen, dass sie korrekt aufgeführt sind.

Anhand der Protokolle der Endpunktprüfung können Sie Probleme beheben. Bis Laden Sie die Protokolle zur Endpunktprüfung herunter:

  1. Klicken Sie mit der rechten Maustaste auf die Erweiterung „Endpunktprüfung“ und wählen Sie Optionen aus.
  2. Wählen Sie Protokollebene > Alle > Protokolle herunterladen aus.
  3. Supportanfrage bei Cloud Customer Care stellen und die Logs zur weiteren Bearbeitung freigeben Debugging.