Esta página se ha traducido con Cloud Translation API.

Configurar condiciones de certificados empresariales

Un principio clave de Chrome Enterprise Premium es que el acceso a los servicios se concede en función de lo que sabemos de ti y de tu dispositivo. El nivel de acceso que se concede a un usuario o a un dispositivo se infiere de forma dinámica interrogando varias fuentes de datos. Chrome Enterprise Premium usa este nivel de confianza como parte de su proceso de toma de decisiones.

Access Context Manager es el motor de políticas de confianza cero de Chrome Enterprise Premium. Administrador de contextos de acceso permite a los administradores definir un control de acceso pormenorizado y basado en atributos para aplicaciones y recursos. Google Cloud

Usa los niveles de acceso para permitir el acceso a los recursos en función de la información contextual sobre la solicitud. Con los niveles de acceso, puedes empezar a organizar los niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita solicitudes de un pequeño grupo de personas con muchos privilegios. También puedes identificar un grupo más general en el que confías, como un intervalo de IPs desde el que quieres permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.

Uno de los requisitos clave para el acceso de confianza cero es permitir el acceso solo cuando el dispositivo esté gestionado o sea propiedad de la empresa. Hay muchas formas de determinar si un dispositivo es propiedad de una empresa. Una de ellas es comprobar si el dispositivo tiene un certificado válido emitido por la empresa. La existencia de un certificado de empresa en un dispositivo se puede usar para indicar que el dispositivo es propiedad de la empresa.

Los certificados de empresa para el acceso contextual son una función de la solución de acceso basada en certificados de Chrome Enterprise Premium. Esta función utiliza certificados de dispositivo como señal alternativa contextual para determinar si un dispositivo es propiedad de la empresa. Esta función está disponible en el navegador Chrome 110 o versiones posteriores.

Como un dispositivo puede tener más de un certificado, se puede acceder a los certificados de empresa en el nivel de acceso personalizado mediante macros .exist(e,p):

device.certificates.exists(cert, predicate)

En el ejemplo, cert es un identificador que se usa en predicator, que se vincula al certificado del dispositivo. La macro exist() combina resultados de predicados por elemento con el operador "o" (||), lo que significa que las macros devuelven "true" si al menos un certificado se corresponde con la expresión predicate.

El certificado tiene los siguientes atributos, que se pueden comprobar conjuntamente. Ten en cuenta que las comparaciones de cadenas distinguen entre mayúsculas y minúsculas.

Atributo	Descripción	Ejemplo de expresión de predicado (donde `cert` es un identificador de macros)
`is_valid`	Devuelve true si el certificado es válido y no ha caducado (booleano).	`cert.is_valid`
`cert_fingerprint`	Huella digital del certificado (SHA256 sin relleno en base64). La huella digital es el algoritmo SHA256 digest codificado en base64 sin relleno, en formato binario, del certificado codificado en DER. Puedes generar la cadena a partir del certificado en formato PEM mediante el siguiente procedimiento con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Huella digital del certificado de AC raíz utilizado para firmar el certificado (SHA256 sin relleno en base64). La huella digital es el algoritmo SHA256 digest codificado en base64 sin relleno, en formato binario, del certificado codificado en DER. Puedes generar la cadena a partir del certificado en formato PEM mediante el siguiente procedimiento con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nombre del emisor (nombres totalmente ampliados). Para encontrar el nombre del emisor, puedes usar el siguiente método: Ejecuta el siguiente comando en el certificado: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` La cadena de emisor que se utiliza en el nivel de acceso es la inversa del resultado de este comando, con la barra diagonal (/) sustituida por una coma. Ejemplo: `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Nombre del sujeto del certificado (nombres totalmente ampliados).	`cert.subject == "CA_SUB"`
`serial_number`	Número de serie del certificado (cadena).	`cert.serial_number = "123456789"`
`template_id`	ID de plantilla de Certificate Template de la extensión X.509 para el certificado (cadena).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

En la siguiente tabla se incluyen ejemplos de políticas que puedes definir:

Política de ejemplo	Expresión
El dispositivo tiene un certificado válido firmado por el certificado raíz de la empresa.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
El dispositivo tiene un certificado válido emitido por `CA_ABC.`.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Configurar certificados empresariales

Antes de configurar los certificados de empresa, asegúrate de haber configurado niveles de acceso personalizados. Para ver instrucciones, consulta el artículo Crear un nivel de acceso personalizado.

Puedes usar una definición de nivel de acceso personalizado del Administrador de contextos de acceso para definir las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto del lenguaje de expresión común (CEL) para probar los atributos de un cliente que hace una solicitud.

Subir anclas de confianza en la consola de administración

Para que Chrome Enterprise Premium recoja y valide el certificado empresarial del dispositivo, debes subir las anclas de confianza y los certificados intermedios que se han usado para emitir el certificado del dispositivo. Las anclas de confianza son el certificado de la autoridad de certificación (AC) raíz autofirmado y los certificados intermedios y subordinados pertinentes. Sigue estos pasos para subir los anclajes de confianza:

Ve a la consola de administración y, a continuación, a Dispositivos > Redes > Certificados.
Selecciona la unidad organizativa adecuada.
Selecciona Añadir certificado.
Escribe el nombre del certificado.
Sube el certificado.
Marca la casilla Verificación de puntos finales.
Haz clic en Añadir.
Asegúrate de que los usuarios pertenecen a la unidad organizativa en la que se han subido las anclas de confianza.

Configurar una política AutoSelectCertificateForUrls

Para que Endpoint Verification busque el certificado del dispositivo y lo recoja a través de Chrome, debes configurar la política de Chrome AutoSelectCertificateForURLs siguiendo estos pasos:

Asegúrate de que Gestión en la nube del navegador Chrome gestione el navegador Chrome.
- [Win/OSX/Linux] Configuración del navegador Chrome gestionado con CBCM https://support.google.com/chrome/a/answer/9301891
- [Chrome] Registra el dispositivo en la empresa.
En la consola de administración, añade la política AutoSelectCertificateForUrls:
1. Ve a la consola de administración y, a continuación, a Dispositivos > Chrome > Configuración > Configuración de usuario y de navegador > Certificados de cliente.
2. Selecciona la unidad organizativa adecuada.
3. Añade una política AutoSelectCertificateForUrls, como se muestra en el siguiente ejemplo:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Sustituye CERTIFICATE_ISSUER_NAME por el nombre común de la AC raíz. No modifiques el valor de pattern.

Para verificar la configuración de la política, sigue estos pasos:

Ve a chrome://policy en el navegador.
Verifica el valor configurado de AutoSelectCertificateForUrls.
Asegúrate de que el valor de Aplicable a de la política sea Equipo. En el sistema operativo Chrome, el valor se aplica a Usuario actual*.
Comprueba que el valor de Estado de la política no sea Conflicto.

Solucionar problemas de configuración

Revise los atributos del certificado en la página de detalles del dispositivo para asegurarse de que los atributos del certificado se muestran correctamente.

Puedes usar los registros de Endpoint Verification para solucionar cualquier problema. Para descargar los registros de Endpoint Verification, sigue estos pasos:

Haz clic con el botón derecho en la extensión Endpoint Verification y, a continuación, ve a Opciones.
Selecciona Nivel de registro > Todos > Descargar registros.
Abre un caso de asistencia con Cloud Customer Care y comparte los registros para seguir depurando.