Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mit den für die Endpunktprüfung bereitgestellten Zertifikaten aktivieren.
Mit der Endpunktprüfung können Sie selbst signierte Zertifikate automatisch für ein Gerät bereitstellen. Mit Zertifikaten, die für die Endpunktprüfung bereitgestellt wurden, können Sie CBA ohne PKI-Infrastruktur verwenden. Diese Zertifikate werden unter macOS im Schlüsselbund, unter Windows in Zertifikatspeichern und unter Linux in Dateisystemen gespeichert.
Wenn Sie eine PKI-Infrastruktur haben, lesen Sie den Hilfeartikel Zertifikatbasierten Zugriff mit Ihren Unternehmenszertifikaten aktivieren, um den CBA zu aktivieren.
Sie können für die Endpunktprüfung bereitgestellte Zertifikate unter folgenden Betriebssystemen aktivieren:
- macOS und Windows mit Chrome-Browser
- macOS, Windows und Linux mit der Google Cloud CLI
Wenn Ihr Betriebssystem nicht aufgeführt ist, lesen Sie den Hilfeartikel Nicht vollständig unterstützte Betriebssysteme verwenden.
Hinweis
Bevor Sie fortfahren, sollten Sie prüfen, ob Sie die folgenden Anforderungen erfüllen:
Sie haben Zugriffsebenen für die Kundenbefragung für Ihr Google Cloud Projekt erstellt.
Sie können die CBA für Ihre Google Cloud -Ressourcen mit einer der folgenden Methoden erzwingen:
- (Empfohlen) Konfigurieren Sie Regeln für Nutzer, indem Sie den zertifikatbasierten Zugriff mithilfe von Richtlinien für den kontextsensitiven Zugriff erzwingen.
- Konfigurieren Sie Regeln für Daten, indem Sie den zertifikatbasierten Zugriff mit VPC Service Controls erzwingen.
Sie sind berechtigt, den mTLS-Verbindungsprozess mit einem gültigen Clientzertifikat durchzuführen.
Endpunktprüfung einrichten
Folgen Sie der Anleitung, um die Chrome-Erweiterung „Endpunktprüfung“ auf allen Nutzergeräten in Ihrer Organisation zu installieren. Die Erweiterung stellt selbstsignierte Zertifikate auf Ihren Geräten bereit und synchronisiert die Zertifikatmetadaten mit Google Cloud.
Installieren Sie die Hilfsanwendung für die Endpunktprüfung. Diese App ist erforderlich, um die Endpunktprüfung mit der kundenspezifischen Bestätigung zu verwenden.
Chrome-Browser der Nutzer konfigurieren
Wenn Sie den Chrome-Browser der Nutzer so konfigurieren möchten, dass er von der Endpunktprüfung bereitgestellte Zertifikate verwendet, müssen Sie die Chrome-Richtlinie „AutoSelectCertificateForURLs“ so konfigurieren, dass die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.
- Der Chrome-Browser der Nutzer muss über die Chrome-Verwaltung über die Cloud verwaltet werden.
Fügen Sie in der Admin-Konsole die Richtlinie „AutoSelectCertificateForUrls“ hinzu.
- Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.
- Wählen Sie die entsprechende Organisationseinheit aus.
Fügen Sie eine Richtlinie hinzu. Im folgenden Beispiel wird die Richtlinie „AutoSelectCertificateForUrls“ hinzugefügt:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Nachdem Sie die Konfiguration abgeschlossen haben, können Nutzer mit dem Chrome-Browser unter console-secure.cloud.google.com auf geschützteGoogle Cloud -Ressourcen zugreifen.
(Optional) Richtlinienkonfiguration prüfen
- Geben Sie im Chrome-Browser
chrome://policy
ein. - Prüfen Sie, ob „AutoSelectCertificateForUrls“ unter Chrome-Richtlinien aufgeführt ist.
- Prüfen Sie, ob der Wert für Gilt für Computer ist. Unter ChromeOS ist der Wert für Gilt für Aktueller Nutzer.
- Der Status der Richtlinie darf keinen Konflikt aufweisen. Wenn der Status einen Konflikt aufweist, finden Sie unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung weitere Informationen.
Befehlszeilentools konfigurieren
Sie können die folgenden Tools so konfigurieren, dass sie von der Endpunktprüfung bereitgestellte Zertifikate verwenden:
- Google Cloud CLI
- Die Terraform-Befehlszeile (die gcloud-Befehlszeile ist zum Installieren und Konfigurieren von Hilfskomponenten erforderlich)
Da Gerätezertifikate in macOS- und Windows-Keystores gespeichert werden, ist die gcloud CLI mit der Open-Source-Komponente Enterprise Certificate Proxy (ECP) gebündelt, um mit den APIs zur Schlüsselverwaltung zu interagieren.
Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.
- Installieren Sie das gcloud-CLI. Installieren Sie die Option „Python gebündelt“ aktiviert.
- Kostenbasierte Attribution aktivieren
Für macOS und Linux: Laden Sie das
install.sh
-Script herunter und führen Sie es aus../google-cloud-sdk/install.sh
Linux-Nutzer: Fahren Sie mit dem Schritt Zertifikat für die CBA und die bereitgestellte Endpoint Verification aktivieren fort. macOS- und Windows-Nutzer: Führen Sie die folgenden Schritte aus.
Installieren Sie die ECP-Hilfskomponente mit der gcloud CLI.
gcloud components install enterprise-certificate-proxy
Initialisieren Sie die ECP-Zertifikatskonfiguration mit der gcloud CLI.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"
Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY
Optional: Konfigurieren Sie das ECP-Zertifikat manuell, indem Sie den folgenden Befehl ausführen.
macOS
Die ECP-Konfiguration wird in einer JSON-Datei unter
~/.config/gcloud/certificate_config.json
gespeichert.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }
Windows
Die ECP-Konfiguration wird in einer JSON-Datei unter
%APPDATA%\gcloud\certificate_config.json
gespeichert.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Aktivieren Sie die für die kundenspezifische Bindung und die Endpunktprüfung bereitgestellten Zertifikate.
Führen Sie für die gcloud CLI den folgenden Befehl aus.
gcloud config set context_aware/use_client_certificate true
Legen Sie die Umgebungsvariable für alle anderen Befehlszeilentools fest, einschließlich Terraform.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Nicht vollständig unterstützte Betriebssysteme verwenden
Wenn sich Ihr Betriebssystem nicht in der Liste der unterstützten Betriebssysteme befindet und Sie für die Endpunktprüfung bereitgestellte Zertifikate verwenden möchten, können Sie die Umgebungen von der zertifikatbasierten Erzwingung ausnehmen und stattdessen mit anderen Arten der Erzwingung schützen. Beispielsweise mit einer Richtlinie für unternehmenseigene Geräte.
Die zertifikatbasierte Erzwingung bietet einen besseren Schutz als andere Arten der Erzwingung, da jede Anfrage, die von einem Gerät stammt, über den mTLS-Handshake erzwungen wird.
Im Folgenden finden Sie ein Beispiel dafür, wie Sie Umgebungen von der zertifikatbasierten Erzwingung ausnehmen und mit einer anderen Art der Erzwingung schützen.
In diesem Beispiel verwendet eine Organisation macOS-, Windows- und ChromeOS-Geräte. Die Organisation möchte den Zugriff über die Google Cloud Console schützen.
Erstellen Sie eine Zugriffsebene, die den zertifikatbasierten Zugriff für alle Geräte erzwingt, mit Ausnahme von ChromeOS-Geräten, für die eine Richtlinie für unternehmenseigene Geräte erforderlich ist. Ersetzen Sie die YAML-Datei durch den folgenden benutzerdefinierten Ausdruck:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)
Führen Sie die Schritte in den vorherigen Anleitungen aus.