Bedingungen für Unternehmenszertifikate konfigurieren

Ein Grundprinzip von Chrome Enterprise Premium ist: „Der Zugriff auf Dienste wird basierend auf die wir über Sie und Ihr Gerät wissen.“ Die Zugriffsebene, die einem einzelnen Nutzer zugewiesen wird oder ein einzelnes Gerät dynamisch durch die Abfrage mehrerer Daten Quellen. Dieses Maß an Vertrauen spielt bei Chrome Enterprise Premium eine wichtige Rolle bei der Entscheidungsfindung.

Access Context Manager ist die Zero-Trust-Richtlinien-Engine von Chrome Enterprise Premium. Access Context Manager ermöglicht können Administratoren eine differenzierte, attributbasierte Zugriffssteuerung für und Google Cloud-Ressourcen.

Zugriffsebenen verwenden, um den Zugriff auf Ressourcen basierend auf Kontextinformationen zu erlauben über die Anfrage. Wenn Sie Zugriffsebenen verwenden, können Sie vertrauenswürdig sind. Sie können beispielsweise eine Zugriffsebene mit dem Namen High_Level erstellen, die Ersuchen von einer kleinen Gruppe stark privilegierter Personen gestattet. Möglicherweise Legen Sie auch eine allgemeinere Gruppe fest, der Sie vertrauen möchten, z. B. einen IP-Bereich, von denen Anfragen zugelassen werden sollen. In diesem Fall können Sie eine Zugriffsebene namens Medium_Level, um diese Anfragen zuzulassen.

Eine der wichtigsten Voraussetzungen für den Zero-Trust-Zugriff besteht darin, den Zugriff nur zu erlauben, das Gerät vom Unternehmen verwaltet wird oder dem Unternehmen gehört. Es gibt viele Möglichkeiten, ob es sich um ein unternehmenseigenes Gerät handelt. Sie können z. B. feststellen, ob ein gültiges das vom Unternehmen ausgestellt wurde, auf dem Gerät vorhanden ist. Das Vorhandensein eines Unternehmenszertifikats auf einem Gerät kann angezeigt werden, dem Unternehmen gehören.

Enterprise-Zertifikate für den kontextsensitiven Zugriff sind ein Feature des Zertifikatbasierte Zugriffslösung in Chrome Enterprise Premium. Diese Funktion nutzt das Gerät als alternatives kontextsensitives Signal, um festzustellen, ein unternehmenseigenes Asset ist. Diese Funktion wird für den Chrome-Browser 110 oder .

Da ein Gerät mehrere Zertifikate haben kann, können kann auf der benutzerdefinierten Zugriffsebene über die Makros .exist(e,p) aufgerufen werden:

device.certificates.exists(cert, predicate)

Im Beispiel ist cert eine einfache Kennung, die in predicator verwendet wird. wird an das Gerätezertifikat gebunden. Das exist()-Makro kombiniert Elemente Ergebnisse mit dem „oder“ (||), was bedeutet, dass Makros "true" wenn mindestens ein Zertifikat den Ausdruck predicate erfüllt.

Das Zertifikat hat die folgenden Attribute, die zusammen geprüft werden können. Hinweis dass bei Stringvergleichen zwischen Groß- und Kleinschreibung unterschieden wird.

Attribut	Beschreibung	Beispiel für einen Prädikatausdruck (wobei cert eine Kennung von Makros ist)
is_valid	„True“, wenn das Zertifikat gültig und nicht abgelaufen ist (boolesch).	cert.is_valid
cert_fingerprint	Fingerabdruck des Zertifikats (SHA256 ohne Auffüllung mit base64). Der Fingerabdruck ist der nicht aufgefüllte base64-codierte SHA256-Digest in Binärformat des DER-codierten Zertifikats verwendet wird. Sie können den String aus dem Zertifikat im PEM-Format mit folgendem Code: mit OpenSSL: $ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha	cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint	Fingerabdruck des Root-CA-Zertifikats, das zum Signieren des Zertifikats verwendet wird (SHA256 ohne Padding). Der Fingerabdruck ist der nicht aufgefüllte base64-codierte SHA256-Digest in Binärformat des DER-codierten Zertifikats verwendet wird. Sie können den String aus dem Zertifikat im PEM-Format mit folgendem Code: mit OpenSSL: $ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha	cert.root_ca_fingerprint == "the_fingerprint"
issuer	Ausstellername (vollständig erweiterte Namen). So finden Sie den Ausstellernamen: Führen Sie den folgenden Befehl für das Zertifikat aus: $ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in Der in der Zugriffsebene verwendete Ausstellerstring ist die Umkehrung der Ausgabe und wird durch ein Komma ersetzt. Beispiel: EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN	cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject	Antragstellername des Zertifikats (vollständig erweiterte Namen).	cert.subject == "CA_SUB"
serial_number	Seriennummer des Zertifikats (String).	cert.serial_number = "123456789"
template_id	Vorlagen-ID der Zertifikatsvorlage der X.509-Erweiterung für das Zertifikat (String).	cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

Die folgende Tabelle enthält Beispiele für Richtlinien, die Sie festlegen können:

Beispielrichtlinie	Ausdruck
Das Gerät hat ein gültiges Zertifikat, das vom Root-Zertifikat des Unternehmens signiert ist.	device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
Gerät hat ein gültiges Zertifikat, das vom Aussteller CA_ABC. ausgestellt wurde	device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

Unternehmenszertifikate konfigurieren

Stellen Sie vor dem Konfigurieren von Unternehmenszertifikaten sicher, dass Sie benutzerdefinierte Zugriffsebenen. Eine Anleitung finden Sie unter Benutzerdefinierten Zugriff erstellen Level

Sie können eine benutzerdefinierte Zugriffsebenendefinition in Access Context Manager verwenden, um die Richtlinien einhalten. Bei benutzerdefinierten Zugriffsebenen werden boolesche Ausdrücke in einer Teilmenge von Common Expression Language (CEL) verwendet, um die Attribute eines Anfrage senden.

Trust-Anchors in der Admin-Konsole hochladen

Damit Chrome Enterprise Premium die Geräte des Unternehmens erfassen und validieren kann Zertifikat erhalten, müssen Sie die Trust-Anchors hochladen, die zur Ausgabe des Geräts verwendet werden. Zertifikat. Die Trust-Anchors hier verweisen auf die selbst signierte Root-Zertifizierungsstelle. (Zertifizierungsstelle) sowie das entsprechende Zwischen- und untergeordnete Zertifikate. Führen Sie die folgenden Schritte aus, um die Vertrauensstellung hochzuladen Anker:

1. Öffnen Sie die Admin-Konsole und gehen Sie zu Geräte > Netzwerke > Zertifikate.
2. Wählen Sie die entsprechende Organisationseinheit aus.
3. Wählen Sie Zertifikat hinzufügen aus.
4. Geben Sie den Namen des Zertifikats ein.
5. Laden Sie das Zertifikat hoch.
6. Klicken Sie das Kästchen Endpunktprüfung an.
7. Klicken Sie auf Hinzufügen.
8. Achten Sie darauf, dass Nutzer zu der Organisationseinheit gehören, für die der Trust-Anchors erstellt werden hochgeladen werden.

Richtlinie „AutoSelectCertificateForUrls“ konfigurieren

Damit die Endpunktprüfung das Gerätezertifikat durchsuchen und abrufen kann müssen Sie den Chrome-Browser "AutoSelectCertificateForURLs" indem Sie die folgenden Schritte ausführen:

1. Achten Sie darauf, dass der Chrome-Browser über die Chrome-Verwaltung über die Cloud verwaltet wird.

   • [Win/OSX/Linux] Einrichtung für einen verwalteten Chrome-Browser mit CBCM https://support.google.com/chrome/a/answer/9301891.
   • [Chrome] Registrieren Sie das Gerät im Unternehmen.

2. Fügen Sie in der Admin-Konsole die Richtlinie „AutoSelectCertificateForUrls“ hinzu:

   1. Öffnen Sie die Admin-Konsole und gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer & Browsereinstellungen > Clientzertifikate
   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie die Richtlinie AutoSelectCertificateForUrls hinzu, wie im folgenden Beispiel gezeigt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
      

      Ersetzen Sie CERTIFICATE_ISSUER_NAME durch den allgemeinen Namen. der Stammzertifizierungsstelle. Ändern Sie den Wert von pattern nicht.

Führen Sie die folgenden Schritte aus, um die Richtlinienkonfiguration zu prüfen:

1. Rufen Sie im Browser chrome://policy auf.
2. Überprüfen Sie den konfigurierten Wert für AutoSelectCertificateForUrls.
3. Achten Sie darauf, dass der Wert der Richtlinie Gilt für auf Computer festgelegt ist. Am Chrome-Betriebssystem verwenden, wird der Wert auf Aktueller Nutzer* angewendet.
4. Achten Sie darauf, dass der Status der Richtlinie nicht den Wert Konflikt hat.

Fehlerbehebung bei der Konfiguration

Prüfen Sie anhand der Zertifikatsattribute auf der Seite mit den Gerätedetails, ob Zertifikatsattribute sind korrekt aufgeführt.

Die Protokolle der Endpunktprüfung können Ihnen bei der Fehlerbehebung helfen. Bis Laden Sie die Protokolle zur Endpunktprüfung herunter:

1. Klicken Sie mit der rechten Maustaste auf die Erweiterung „Endpunktprüfung“ und gehen Sie zu Optionen.
2. Wählen Sie Protokollebene > Alle > Protokolle herunterladen.
3. Stellen Sie eine Supportanfrage bei Cloud Customer Care und geben Sie die Logs zur weiteren Bearbeitung frei. Debugging.