Se usó la API de Cloud Translation para traducir esta página.

Configuración de las condiciones del certificado empresarial

Un principio clave de Chrome Enterprise Premium es “El acceso a los servicios se otorga en función de lo que sabemos de ti y de tu dispositivo". El nivel de acceso otorgado a un solo usuario o un solo dispositivo se infiere de forma dinámica cuando se consultan varios datos fuentes de datos. Chrome Enterprise Premium usa este nivel de confianza como parte del proceso de toma de decisiones.

Access Context Manager es el motor de políticas de confianza cero de Chrome Enterprise Premium. Access Context Manager permite para los administradores definir un control de acceso detallado basado en atributos aplicaciones y recursos de Google Cloud.

Usa niveles de acceso para permitir el acceso a los recursos en función de la información contextual sobre la solicitud. Cuando usas los niveles de acceso, puedes comenzar a organizar confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permite solicitudes de un pequeño grupo de personas con un gran nivel de privilegios. Quizás identificar un grupo más general en el que confíes, como un rango de IP en el que desees desde donde permitir las solicitudes. En ese caso, podrías crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.

Uno de los requisitos clave para el acceso de confianza cero es permitir el acceso solo cuando La empresa administra el dispositivo o es propiedad de él. Hay muchas formas de determinar si un dispositivo es propiedad de la empresa y una forma es determinar si un dispositivo certificado emitido por la empresa en el dispositivo. La existencia de un certificado de la empresa en un dispositivo se puede utilizar para indicar que el dispositivo está propiedad de la empresa.

Los certificados empresariales para el acceso adaptado al contexto son una función del Solución de acceso basada en certificados de Chrome Enterprise Premium. Esta función aprovecha la administración como una señal alternativa adaptada al contexto para determinar si un dispositivo un activo de la empresa. Esta función es compatible con el navegador Chrome 110 o más adelante.

Como un dispositivo puede tener más de un certificado, los certificados empresariales pueden en el nivel de acceso personalizado mediante las macros .exist(e,p):

device.certificates.exists(cert, predicate)

En el ejemplo, cert es un identificador simple para usar en predicator, que se vincula al certificado del dispositivo. La macro exist() combina elementos por elemento resultados del predicado con la palabra “o” (||), lo que significa que las macros muestran el valor verdadero si al menos un certificado cumple con la expresión predicate.

El certificado tiene los siguientes atributos que se pueden verificar juntos. Nota que las comparaciones de cadenas distinguen mayúsculas de minúsculas.

Atributo	Descripción	Ejemplo de expresión de predicado (donde `cert` es un identificador de macros)
`is_valid`	Es verdadero si el certificado es válido y no está vencido (booleano).	`cert.is_valid`
`cert_fingerprint`	Huella digital del certificado (base64 sin rellenar SHA256). La huella digital es el resumen SHA256 codificado en Base64 sin rellenar, en formato binario, del certificado con codificación DER. Puedes generar el del certificado en formato PEM con la siguiente procedimiento con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Huella digital del certificado de la AC raíz que se usa para firmar el certificado (SHA256 sin rellenar en base64). La huella digital es el resumen SHA256 codificado en Base64 sin rellenar, en formato binario, del certificado con codificación DER. Puedes generar el del certificado en formato PEM con la siguiente procedimiento con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nombre de la entidad emisora (nombres completamente expandidos). Para encontrar el nombre de la entidad emisora, puedes usar el siguiente enfoque: Ejecuta el siguiente comando en el certificado: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` La cadena de entidad emisora que se usa en el nivel de acceso es la inversa del resultado y se reemplaza la / por una coma. Ejemplo: `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Es el nombre del asunto del certificado (nombres totalmente expandidos).	`cert.subject == "CA_SUB"`
`serial_number`	Número de serie del certificado (cadena).	`cert.serial_number = "123456789"`
`template_id`	ID de plantilla de la plantilla de certificado de la extensión X.509 para el certificado (cadena).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

En la siguiente tabla, se incluyen ejemplos de políticas que puedes establecer:

Ejemplo de una política	Expresión
El dispositivo tiene un certificado válido firmado por el certificado raíz de la empresa.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
El dispositivo tiene un certificado válido emitido por la entidad emisora `CA_ABC.`	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Configuración de certificados empresariales

Antes de configurar los certificados empresariales, asegúrate de haber configurado niveles de acceso. Para obtener instrucciones, consulta Crea un acceso personalizado nivel de almacenamiento.

Puedes usar una definición de nivel de acceso personalizado de Access Context Manager para establecer la las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto de Common Expression Language (CEL) para probar los atributos de una cliente realizando una solicitud.

Cómo subir anclas de confianza en la Consola del administrador

Para que Chrome Enterprise Premium recopile y valide el dispositivo empresarial debes subir las anclas de confianza que se usan para emitir el dispositivo certificado. Las anclas de confianza se refieren a la AC raíz autofirmada (autoridad certificadora) y los atributos intermedios e certificados subordinados. Completa los siguientes pasos para subir la relación de confianza anclas:

Ve a la Consola del administrador y navega a Dispositivos > Redes > Certificados.
Selecciona la unidad organizativa adecuada.
Selecciona Agregar certificado.
Ingresa el nombre del certificado.
Sube el certificado.
Habilita la casilla de verificación Verificación de extremos.
Haz clic en Agregar.
Asegúrate de que los usuarios pertenezcan a la unidad organizativa para la que se anclan las anclas de confianza cuando se suba la nueva imagen.

Configura una política AutoSelectCertificateForUrls

Para que la Verificación de extremos busque y recopile el certificado del dispositivo mediante Chrome, debes configurar AutoSelectCertificateForURLs Chrome completa los siguientes pasos:

Asegúrate de que la Administración en la nube para el navegador Chrome administre el navegador Chrome.
- [Win/OSX/Linux] Configuración del navegador Chrome administrado mediante CBCM https://support.google.com/chrome/a/answer/9301891.
- [Chrome] Inscribe el dispositivo en la empresa.
En la Consola del administrador, agrega la política AutoSelectCertificateForUrls:
1. Ve a la Consola del administrador y navega a Dispositivos > Chrome > Configuración > Usuarios y Configuración del navegador > Certificados de cliente.
2. Selecciona la unidad organizativa adecuada.
3. Agrega una política AutoSelectCertificateForUrls, como se muestra en el siguiente ejemplo:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Reemplaza CERTIFICATE_ISSUER_NAME por el nombre común. de la AC raíz. No modifiques el valor de pattern.

Para verificar la configuración de la política, completa los siguientes pasos:

En el navegador, ingresa a chrome://policy.
Verifica el valor configurado para AutoSelectCertificateForUrls.
Asegúrate de que el valor de la política Se aplica a esté configurado en Máquina. En la Sistema operativo Chrome, el valor se aplica a Usuario actual*.
Asegúrate de que el Status de la política no tenga un Conflict.

Cómo solucionar problemas con la configuración

Revisa los atributos del certificado en la página de detalles del dispositivo para asegurarte de lo siguiente: que los atributos de certificado estén indicados correctamente.

Puedes usar los registros de Verificación de extremos para que te ayuden a solucionar cualquier problema. Para descarga los registros de Verificación de extremos, completa los siguientes pasos:

Haz clic con el botón derecho en la extensión de Verificación de extremos y, luego, ve a Opciones.
Selecciona Nivel de registro > Todos > Descarga los registros.
Abre un caso de asistencia con Atención al cliente de Cloud y comparte los registros para obtener más detalles la depuración.