Zertifikatbasierten Zugriff mit Endpunktprüfungszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff aktivieren (CBA) mit den von der Endpunktprüfung bereitgestellten Zertifikaten.

Mit der Endpunktprüfung können Sie selbst signierte Zertifikate automatisch für ein Gerät bereitstellen. Durch die von der Endpunktprüfung bereitgestellten Zertifikate können Sie die CBA ohne PKI verwenden und Infrastruktur. Diese Zertifikate werden unter macOS im Schlüsselbund, unter Windows in Zertifikatspeichern und unter Linux in Dateisystemen gespeichert.

Wenn Sie eine PKI-Infrastruktur haben, lesen Sie den Hilfeartikel Zertifikatbasierten Zugriff mit Ihren Unternehmenszertifikaten aktivieren, um den CBA zu aktivieren.

Sie können für die Endpunktprüfung bereitgestellte Zertifikate unter folgenden Betriebssystemen aktivieren:

• macOS und Windows mit Chrome-Browser
• macOS, Windows und Linux mit der Google Cloud CLI

Falls Ihr Betriebssystem nicht aufgeführt ist, lesen Sie Betriebssysteme, die nicht vollständig unterstützt werden

Hinweise

Bevor Sie fortfahren, sollten Sie prüfen, ob Sie die folgenden Anforderungen erfüllen:

• Sie haben CBA-Zugriffsebenen erstellt. für Ihr Google Cloud-Projekt.

• Sie können die CBA für Ihre Google Cloud-Ressourcen mit einer der folgenden Methoden erzwingen:

  • (Empfohlen) Konfigurieren Sie Regeln für Nutzer, indem Sie zertifikatsbasierte Richtlinien für den kontextsensitiven Zugriff einrichten.
  • Regeln für Daten konfigurieren, indem Erzwingen eines zertifikatsbasierten Zugriffs mit VPC Service Controls

• Sie sind berechtigt, den mTLS-Verbindungsprozess auszuführen. mit einem gültigen Clientzertifikat.

Endpunktprüfung einrichten

Folgen Sie der Anleitung, um die Chrome-Erweiterung „Endpunktprüfung“ auf allen Nutzergeräten in Ihrer Organisation zu installieren. Die Erweiterung stellt selbst signierte Inhalte bereit. auf Ihren Geräten und synchronisiert die Metadaten der Zertifikate mit Google Cloud.

Installieren Sie die Hilfs-App zur Endpunktprüfung. Diese App ist erforderlich für die Endpunktprüfung mit CBA verwenden.

Nutzer konfigurieren Chrome-Browser

Wenn Sie den Chrome-Browser der Nutzer so konfigurieren möchten, dass er von der Endpunktprüfung bereitgestellte Zertifikate verwendet, müssen Sie die Chrome-Richtlinie „AutoSelectCertificateForURLs“ so konfigurieren, dass die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.

1. Der Chrome-Browser der Nutzer muss über die Chrome-Verwaltung über die Cloud verwaltet werden.

2. Fügen Sie in der Admin-Konsole den AutoSelectCertificateForUrls-Richtlinie.

   1. Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.
   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu. Im folgenden Beispiel wird das AutoSelectCertificateForUrls hinzugefügt: Richtlinie:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
      

Nachdem Sie die Konfiguration abgeschlossen haben, können Nutzer mit dem Chrome-Browser unter console-secure.cloud.google.com auf geschützte Google Cloud-Ressourcen zugreifen.

(Optional) Richtlinienkonfiguration prüfen

1. Geben Sie im Chrome-Browser chrome://policy ein.
2. Prüfen Sie, ob „AutoSelectCertificateForUrls“ unter Chrome-Richtlinien aufgeführt ist.
3. Prüfen Sie, ob der Wert für Gilt für Computer lautet. Unter ChromeOS ist der Wert für Gilt für Aktueller Nutzer.
4. Der Status der Richtlinie darf keinen Konflikt aufweisen. Wenn der Status enthält einen Konflikt, findest du unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung .

Befehlszeilentools konfigurieren

Sie können die folgenden Tools so konfigurieren, dass von der Endpunktprüfung bereitgestellte Zertifikate verwendet werden:

• Google Cloud CLI
• Die Terraform-Befehlszeile (die gcloud-Befehlszeile ist zum Installieren und Konfigurieren von Hilfskomponenten erforderlich)

Da Gerätezertifikate in macOS- und Windows-Schlüsselspeichern gespeichert werden, Die gcloud CLI ist mit dem Enterprise Certificate Proxy (ECP) gebündelt. Open-Source-Komponente zur Interaktion mit den Key Management APIs

Wenn Sie ein Windows-System verwenden, benötigen Sie die Visual Studio C++-Laufzeit Bibliothek installiert ist.

1. Installieren Sie das gcloud-CLI. Installieren Sie die Option „Python gebündelt“ aktiviert.
2. Aktivieren Sie die CBA.

3. Für macOS und Linux: Laden Sie das install.sh-Script herunter und führen Sie es aus.

   ./google-cloud-sdk/install.sh
   

4. Linux-Nutzer: Fahren Sie mit dem Schritt Zertifikat für die CBA und Endpoint Verification bereitstellen fort. macOS- und Windows-Nutzer: Führen Sie die folgenden Schritte aus.

   1. Installieren Sie die ECP-Hilfskomponente mit der gcloud CLI.

      
      gcloud components install enterprise-certificate-proxy
      

   2. Initialisieren Sie die Konfiguration des ECP-Zertifikats mit der gcloud CLI.

      macOS

      
      gcloud auth enterprise-certificate-config create macos \
      --issuer="Google Endpoint Verification"
      

      Windows

      
      gcloud auth enterprise-certificate-config create windows \
      --issuer="Google Endpoint Verification" \
      --provider=current_user \
      --store=MY
      

      (Optional) Konfigurieren Sie das ECP-Zertifikat manuell, indem Sie Folgendes ausführen: .

      macOS

      Die ECP-Konfiguration wird in einer JSON-Datei unter ~/.config/gcloud/certificate_config.json gespeichert.

      {
        "cert_configs": {
            "macos_keychain": {
              "issuer": "Google Endpoint Verification"
            }
        },
        "libs": {
          "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
          "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
          "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
        }
      }
      

      Windows

      Die ECP-Konfiguration wird in einer JSON-Datei unter %APPDATA%\gcloud\certificate_config.json gespeichert.

      {
        "cert_configs": {
          "windows_store": {
            "store": "MY",
            "provider": "current_user",
            "issuer":"Google Endpoint Verification"
          }
        },
        "libs": {
          "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
          "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
          "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
        }
      }
      

5. Aktivieren Sie die für die kundenspezifische Bindung und die Endpunktprüfung bereitgestellten Zertifikate.

   • Führen Sie für die gcloud CLI den folgenden Befehl aus.

     gcloud config set context_aware/use_client_certificate true
     

   • Legen Sie für alle anderen Befehlszeilentools, einschließlich Terraform, die Umgebung fest, .

     export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
     

Nicht vollständig unterstützte Betriebssysteme verwenden

Falls Ihr Betriebssystem nicht in der Liste der unterstützten Betriebssysteme aufgeführt ist: und Sie die bereitgestellte Endpunktprüfung verwenden möchten können Sie die Umgebungen von der zertifikatsbasierten Erzwingung ausnehmen und sie stattdessen mit anderen Maßnahmen zu schützen. Wenn Sie beispielsweise mit einer unternehmenseigenen Geräterichtlinie.

Die zertifikatsbasierte Erzwingung bietet im Vergleich zu anderen da jede Anfrage, die von einem Gerät kommt, erzwungen wird. über den mTLS-Handshake.

Im Folgenden finden Sie ein Beispiel dafür, wie Sie Umgebungen von der zertifikatbasierten Erzwingung ausnehmen und sie mit einer anderen Art der Erzwingung schützen.

In diesem Beispiel verwendet eine Organisation macOS, Windows und ChromeOS Geräte. Die Organisation möchte den Zugriff über die Google Cloud Console schützen.

1. Erstellen Sie eine Zugriffsebene, die den zertifikatbasierten Zugriff für alle Geräte erzwingt, mit Ausnahme von ChromeOS-Geräten, für die eine Richtlinie für unternehmenseigene Geräte erforderlich ist. Ersetzen Sie die YAML-Datei durch den folgenden benutzerdefinierten Ausdruck:

   certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
    || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)
   

2. Führen Sie die oben beschriebenen Schritte aus.

   1. Kontextsensitive Richtlinie erstellen
   2. Endpunktprüfung einrichten
   3. Nutzereinstellungen konfigurieren Chrome-Browser zur Verwendung der von der Endpunktprüfung bereitgestellten Zertifikate