配置企业证书条件

Chrome Enterprise Premium 的一项关键原则是“对服务的访问权限基于 我们十分了解您和您的设备。”向单个用户授予的访问权限级别 还是通过询问多个数据来动态推断单一设备 来源。Chrome Enterprise Premium 将这种信任度作为决策过程的一部分。

Access Context Manager 是 Chrome Enterprise Premium 的零信任政策引擎。借助 Access Context Manager， 管理员可为管理员定义基于特性、精细的访问权限控制， 和 Google Cloud 资源。

使用访问权限级别以允许根据情境信息访问资源 有关该请求的信息。通过使用访问权限级别，您可以开始整理 信任。例如，您可以创建一个名为 High_Level 的访问权限级别， 会允许少量具有较高特权的个人提出的请求。您可能会 还可以确定要信任的更宽泛的群组，例如 来允许提出请求在这种情况下，您可以创建名为 Medium_Level以允许这些请求。

零信任访问权限的一个关键要求是，仅当出现以下情况时允许访问： 设备由公司管理或拥有。您可以通过多种方式 方法之一是确定设备是否归公司所有 设备上存在由该公司颁发的证书。不存在 企业证书，即可表明该设备 归公司所有。

用于情境感知访问权限的企业证书是 Chrome Enterprise Premium 基于证书的访问解决方案。此功能利用的是 作为备用的情境感知信号，用于确定设备是否 企业所有资产。Chrome 浏览器 110 或 。

由于一台设备可以有多个证书，因此企业证书 可通过宏 .exist(e,p) 在自定义访问权限级别中访问：

device.certificates.exists(cert, predicate)

在此示例中，cert 是要在 predicator 中使用的简单标识符， 绑定到设备证书。exist()宏用于组合每个元素 使用“or”对结果进行谓词(||) 运算符，这表示宏会返回 true 如果至少有一个证书满足 predicate 表达式，就返回该行。

该证书具有以下可以一起检查的属性。注意事项 字符串比较区分大小写。

属性	说明	谓词表达式示例（其中 cert 是宏的标识符）
is_valid	如果证书有效且未过期，则返回 true（布尔值）。	cert.is_valid
cert_fingerprint	证书指纹（未填充字符的 base64 编码 SHA256） 指纹是未填充的 base64 编码 SHA256 摘要， 二进制格式。您可以生成 PEM 格式的证书中 使用 OpenSSL 的步骤如下： $ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha	cert.cert_fingerprint == origin.clientCertFingerprint()
root_ca_fingerprint	用于签署证书的根 CA 证书的指纹（未填充字符的 base64 编码 SHA256）。 指纹是未填充的 base64 编码 SHA256 摘要， 二进制格式。您可以生成 PEM 格式的证书中 使用 OpenSSL 的步骤如下： $ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha	cert.root_ca_fingerprint == "the_fingerprint"
issuer	证书颁发者名称（全称） 如需查找证书颁发者名称，您可以使用以下方法： 在证书上运行以下命令： $ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in 访问权限级别中使用的证书颁发者字符串是输出的相反值，并且将“/”替换为逗号。例如： EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN	cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"
subject	证书的主题名称（全称）。	cert.subject == "CA_SUB"
serial_number	证书的序列号（字符串）	cert.serial_number = "123456789"
template_id	证书的 X.509 扩展程序证书模板的模板 ID（字符串）。	cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"

下表包含您可以设置的政策示例：

政策示例	表达式
设备具有由公司根证书签署的有效证书。	device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")
设备具有由颁发者 CA_ABC. 颁发的有效证书	device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")

配置企业证书

在配置企业证书之前，请确保您已配置自定义 访问权限级别。有关说明，请参阅创建自定义访问权限 级别。

您可以使用 Access Context Manager 自定义访问权限级别定义来设置 适当的政策。自定义访问权限级别使用以 常用表达式语言的子集 (CEL) 测试 发出请求。

在管理控制台中上传信任锚

为了让 Chrome Enterprise Premium 能够收集并验证设备企业版 证书，那么您必须上传用于颁发设备的信任锚 证书。此处的信任锚是指自签名的根 CA 证书和相关中间证书 从属证书要上传信任关系，请完成以下步骤 锚点：

1. 前往管理控制台，然后转到 设备 >投放网络 >证书。
2. 选择适当的组织单元。
3. 选择添加证书。
4. 输入证书名称。
5. 上传证书。
6. 选中端点验证复选框。
7. 点击添加。
8. 确保用户属于信任锚的组织部门 文件。

配置 AutoSelectCertificateForUrls 政策

为了让端点验证能够搜索并收集设备证书 您必须配置 AutoSelectCertificateFor网址s Chrome 政策：

1. 确保 Chrome 浏览器由 Chrome 浏览器云管理服务管理。

   • [Win/OSX/Linux] 使用 CBCM https://support.google.com/chrome/a/answer/9301891 设置托管 Chrome 浏览器。
   • [Chrome]：将设备注册到企业。

2. 在管理控制台中，添加 AutoSelectCertificateForUrls 政策：

   1. 前往管理控制台，然后转到 设备 >Chrome 浏览器 >设置 >用户和浏览器设置 >客户端证书。
   2. 选择适当的组织单元。

   3. 添加 AutoSelectCertificateForUrls 政策， 如以下示例中所示：

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
      

      将 CERTIFICATE_ISSUER_NAME 替换为通用名称 根 CA 证书颁发机构的名称 请勿修改 pattern 的值。

。

要验证政策配置，请完成以下步骤：

1. 导航到浏览器中的 chrome://policy。
2. 验证 AutoSelectCertificateForUrls 的已配置值。
3. 确保将政策适用对象值设置为机器。在 Chrome 操作系统，该值会应用于“当前用户”*。
4. 确保政策的状态没有冲突。

排查配置问题

请查看设备详细信息页面上的证书属性， 正确列出了证书属性。

您可以借助端点验证日志来排查任何问题。接收者 要下载端点验证日志，请完成以下步骤：

1. 右键点击端点验证扩展程序，然后转到选项。
2. 选择日志级别 > 全部 > 下载日志。
3. 向 Cloud Customer Care 提交支持请求并分享日志，以供后续操作 调试。