Auf dieser Seite wird beschrieben, wie Sie den zertifikatsbasierten Zugriff (CBA) mit Ihren von der Endpunktprüfung bereitgestellten Zertifikaten aktivieren.
Mit der Endpunktprüfung können Sie selbstsignierte Zertifikate für ein Gerät automatisch bereitstellen. Mit den von der Endpunktprüfung bereitgestellten Zertifikaten können Sie die CBA ohne PKI-Infrastruktur verwenden. Diese Zertifikate werden unter macOS im Schlüsselbund, unter Windows in Zertifikatspeichern und unter Linux in Dateisystemen gespeichert.
Wenn Sie eine PKI-Infrastruktur haben, finden Sie unter Zertifikatsbasierten Zugriff mit Unternehmenszertifikaten aktivieren Informationen zur Aktivierung der CBA.
Sie können von der Endpunktprüfung bereitgestellte Zertifikate unter den folgenden Betriebssystemen aktivieren:
- macOS und Windows im Chrome-Browser
- macOS, Windows und Linux mit der Google Cloud CLI
Wenn Ihr Betriebssystem nicht aufgeführt ist, lesen Sie die Informationen unter Betriebssysteme, die nicht vollständig unterstützt werden.
Hinweise
Bevor Sie fortfahren, prüfen Sie, ob die folgenden Anforderungen erfüllt sind:
Sie haben für Ihr Google Cloud-Projekt CBA-Zugriffsebenen erstellt.
Sie erzwingen die CBA für Ihre Google Cloud-Ressourcen mit einer der folgenden Methoden:
- (Empfohlen) Konfigurieren Sie Regeln für Nutzer, indem Sie den zertifikatsbasierten Zugriff mit Richtlinien für den kontextsensitiven Zugriff erzwingen.
- Konfigurieren Sie Regeln für Daten, indem Sie mit VPC Service Controls den zertifikatsbasierten Zugriff erzwingen.
Sie sind berechtigt, mit einem gültigen Clientzertifikat den mTLS-Verbindungsprozess durchzuführen.
Endpunktprüfung einrichten
Folgen Sie der Anleitung zur Installation der Chrome-Erweiterung „Endpunktprüfung“ für alle Nutzergeräte in Ihrer Organisation. Die Erweiterung stellt selbstsignierte Zertifikate auf Ihren Geräten bereit und synchronisiert die Zertifikatsmetadaten mit Google Cloud.
Installieren Sie die Hilfsanwendung zur Endpunktprüfung. Diese Anwendung ist für die Verwendung der Endpunktprüfung mit CBA erforderlich.
Chrome-Browser der Nutzer konfigurieren
Wenn Sie den Chrome-Browser der Nutzer so konfigurieren möchten, dass von der Endpunktprüfung bereitgestellte Zertifikate verwendet werden, müssen Sie die Chrome-Richtlinie „AutoSelectCertificateForURLs“ so konfigurieren, dass die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.
- Achten Sie darauf, dass der Chrome-Browser der Nutzer über die Chrome-Verwaltung über die Cloud verwaltet wird.
Fügen Sie in der Google Admin-Konsole die Richtlinie „AutoSelectCertificateForUrls“ hinzu.
- Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.
- Wählen Sie die entsprechende Organisationseinheit aus.
Fügen Sie eine Richtlinie hinzu. Im folgenden Beispiel wird die Richtlinie „AutoSelectCertificateForUrls“ hinzugefügt:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Nachdem die Konfiguration abgeschlossen ist, können Nutzer über den Chrome-Browser unter console-secure.cloud.google.com auf geschützte Google Cloud-Ressourcen zugreifen.
Optional: Richtlinienkonfiguration prüfen
- Geben Sie im Chrome-Browser
chrome://policyein. - Prüfen Sie, ob „AutoSelectCertificateForUrls“ unter Chrome-Richtlinien aufgeführt ist.
- Achten Sie darauf, dass der Wert für Gilt für Computer lautet. Unter ChromeOS lautet der Wert für Gilt für Aktueller Nutzer.
- Achten Sie darauf, dass der Status der Richtlinie keinen Konflikt hat. Kommt es bei dem Status zu einem Konflikt, finden Sie unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung weitere Informationen.
Befehlszeilentools konfigurieren
Sie können die folgenden Tools so konfigurieren, dass von der Endpunktprüfung bereitgestellte Zertifikate verwendet werden:
- Google Cloud CLI
- Die Terraform-Befehlszeile. Die gcloud CLI wird zum Installieren und Konfigurieren von Hilfskomponenten benötigt.
Da Gerätezertifikate in macOS- und Windows-Schlüsselspeichern gespeichert werden, ist die gcloud CLI mit der Open-Source-Komponente Enterprise Certificate Proxy (ECP) gebündelt, um mit den Key Management APIs zu interagieren.
Wenn Sie ein Windows-System verwenden, muss die C++-Laufzeitbibliothek von Visual Studio installiert sein.
- Installieren Sie das gcloud-CLI. Mit aktivierter gebündelter Python-Option installieren.
- Aktivieren Sie die CBA.
Für macOS und Linux laden Sie das Skript
install.shherunter und führen Sie es aus../google-cloud-sdk/install.shLinux-Nutzer gehen zum Schritt Bereitgestellte Zertifikate der CBA und Endpunktprüfung aktivieren . MacOS- und Windows-Nutzer führen die folgenden Schritte aus.
Installieren Sie die ECP-Hilfskomponente mit der gcloud CLI.
gcloud components install enterprise-certificate-proxyInitialisieren Sie die Konfiguration des ECP-Zertifikats mit der gcloud CLI.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Optional) Konfigurieren Sie das ECP-Zertifikat manuell, indem Sie den folgenden Befehl ausführen.
macOS
Die ECP-Konfiguration wird in einer JSON-Datei in
~/.config/gcloud/certificate_config.jsongespeichert.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
Die ECP-Konfiguration wird in einer JSON-Datei in
%APPDATA%\gcloud\certificate_config.jsongespeichert.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Aktivieren Sie von der CBA und von der Endpunktprüfung bereitgestellte Zertifikate.
Führen Sie für die gcloud CLI den folgenden Befehl aus.
gcloud config set context_aware/use_client_certificate trueLegen Sie für alle anderen Befehlszeilentools, einschließlich Terraform, die Umgebungsvariable fest.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Nicht vollständig unterstützte Betriebssysteme
Wenn Ihr Betriebssystem nicht in der Liste der unterstützten Betriebssysteme aufgeführt ist und Sie von der Endpunktprüfung bereitgestellte Zertifikate verwenden möchten, können Sie die Umgebungen von der zertifikatsbasierten Erzwingung ausnehmen und stattdessen mit anderen Erzwingungsarten schützen. Zum Beispiel durch die Verwendung einer unternehmenseigenen Geräterichtlinie.
Die zertifikatsbasierte Erzwingung bietet einen stärkeren Schutz gegenüber anderen Erzwingungstypen, da sie jede Anfrage von einem Gerät über den mTLS-Handshake erzwingt.
Das folgende Beispiel zeigt, wie Umgebungen von zertifikatsbasierter Erzwingung ausgenommen und mit einer anderen Art der Erzwingung geschützt werden.
In diesem Beispiel verwendet eine Organisation macOS-, Windows- und ChromeOS-Geräte. Die Organisation möchte den von der Google Cloud Console stammenden Zugriff schützen.
Erstellen Sie eine Zugriffsebene, die den zertifikatsbasierten Zugriff für alle Geräte erzwingt, mit Ausnahme von ChromeOS-Geräten, für die eine unternehmenseigene Geräterichtlinie erforderlich ist. Ersetzen Sie die YAML-Datei durch den folgenden benutzerdefinierten Ausdruck:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Führen Sie die oben beschriebenen Schritte aus.