Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat yang disediakan Verifikasi Endpoint Anda.
Anda dapat menggunakan Verifikasi Endpoint untuk otomatis menyediakan sertifikat yang ditandatangani sendiri untuk perangkat. Sertifikat yang disediakan Verifikasi Endpoint memungkinkan Anda menggunakan CBA tanpa infrastruktur IKP. Sertifikat ini disimpan dalam keychain di macOS, di penyimpanan sertifikat di Windows, dan dalam sistem file di Linux.
Jika Anda memiliki infrastruktur IKP, lihat Mengaktifkan akses berbasis sertifikat dengan sertifikat perusahaan untuk mengaktifkan CBA.
Anda dapat mengaktifkan sertifikat yang disediakan Verifikasi Endpoint pada sistem operasi berikut:
- macOS dan Windows menggunakan browser Chrome
- macOS, Windows, dan Linux menggunakan Google Cloud CLI
Jika sistem operasi Anda tidak tercantum, lihat Menggunakan sistem operasi tidak didukung sepenuhnya.
Sebelum memulai
Sebelum melanjutkan, pastikan Anda memenuhi persyaratan berikut:
Anda telah membuat tingkat akses CBA untuk project Google Cloud.
Anda menerapkan CBA pada resource Google Cloud menggunakan salah satu metode berikut:
- (Direkomendasikan) Konfigurasi aturan di seputar pengguna dengan menerapkan akses berbasis sertifikat dengan kebijakan akses kontekstual.
- Konfigurasikan aturan seputar data dengan menerapkan akses berbasis sertifikat dengan Kontrol Layanan VPC.
Anda diizinkan untuk melakukan proses koneksi mTLS menggunakan sertifikat klien yang valid.
Menyiapkan Endpoint Verification
Ikuti petunjuk untuk menginstal ekstensi Verifikasi Endpoint Chrome untuk semua perangkat pengguna di organisasi Anda. Ekstensi ini menyediakan sertifikat yang ditandatangani sendiri ke perangkat Anda dan menyinkronkan metadata sertifikat ke Google Cloud.
Instal aplikasi helper Verifikasi Endpoint. Aplikasi ini diperlukan untuk menggunakan Verifikasi Endpoint dengan CBA.
Mengonfigurasi browser Chrome pengguna
Untuk mengonfigurasi browser Chrome pengguna agar menggunakan sertifikat yang disediakan Verifikasi Endpoint, Anda harus mengonfigurasi kebijakan Chrome AutoSelectCertificateForURLs untuk mengizinkan Verifikasi Endpoint menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.
- Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome.
Di konsol Google Admin, tambahkan kebijakan AutoSelectCertificateForUrls.
- Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
- Pilih unit organisasi yang sesuai.
Tambahkan kebijakan. Contoh berikut menambahkan kebijakan AutoSelectCertificateForUrls:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Setelah Anda menyelesaikan konfigurasi, pengguna dapat mengakses resource Google Cloud yang dilindungi dengan browser Chrome di console-secure.cloud.google.com.
(Opsional) Memverifikasi konfigurasi kebijakan
- Di browser Chrome, masukkan
chrome://policy
. - Pastikan AutoSelectCertificateForUrls tercantum di bagian Kebijakan Chrome.
- Pastikan nilai untuk Applies to adalah Machine. Di ChromeOS, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
- Pastikan status untuk kebijakan tidak bertentangan. Jika statusnya memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mendapatkan informasi.
Mengonfigurasi alat command line
Anda dapat mengonfigurasi alat berikut untuk menggunakan sertifikat yang disediakan Verifikasi Endpoint:
- Google Cloud CLI
- CLI Terraform (gcloud CLI diperlukan untuk menginstal dan mengonfigurasi komponen helper.)
Karena sertifikat perangkat disimpan di keystore macOS dan Windows, gcloud CLI dipaketkan dengan komponen open source Proxy Sertifikat Perusahaan (ECP) untuk berinteraksi dengan API pengelolaan kunci.
Jika menggunakan sistem Windows, Anda harus menginstal library runtime C++ Visual Studio.
- Instal gcloud CLI. Instal dengan opsi paket Python yang diaktifkan.
- Aktifkan CBA.
Untuk macOS dan Linux, download lalu jalankan skrip
install.sh
../google-cloud-sdk/install.sh
Untuk pengguna Linux, buka langkah Aktifkan sertifikat yang disediakan Verifikasi Endpoint dan CBA . Untuk pengguna macOS dan Windows, selesaikan langkah-langkah berikut.
Menginstal komponen pembantu ECP dengan gcloud CLI.
gcloud components install enterprise-certificate-proxy
Melakukan inisialisasi konfigurasi sertifikat ECP dengan gcloud CLI.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"
Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY
(Opsional) Konfigurasi sertifikat ECP secara manual dengan menjalankan perintah berikut.
macOS
Konfigurasi ECP disimpan dalam file JSON yang berada di
~/.config/gcloud/certificate_config.json
.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }
Windows
Konfigurasi ECP disimpan dalam file JSON yang berada di
%APPDATA%\gcloud\certificate_config.json
.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Aktifkan sertifikat yang disediakan CBA dan Verifikasi Endpoint.
Untuk gcloud CLI, jalankan perintah berikut.
gcloud config set context_aware/use_client_certificate true
Untuk semua alat command line lainnya, termasuk Terraform, tetapkan variabel lingkungan.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Menggunakan sistem operasi tidak didukung sepenuhnya
Jika sistem operasi Anda tidak ada dalam daftar sistem operasi yang didukung, dan Anda ingin menggunakan sertifikat yang disediakan Verifikasi Endpoint, Anda dapat mengecualikan lingkungan dari penerapan berbasis sertifikat dan sebagai gantinya, melindungi lingkungan menggunakan jenis penerapan lainnya. Misalnya, dengan menggunakan kebijakan perangkat milik perusahaan.
Perlu diperhatikan bahwa penerapan berbasis sertifikat menawarkan perlindungan yang lebih kuat dibandingkan jenis penerapan lainnya karena penerapan ini menerapkan setiap permintaan yang berasal dari perangkat melalui handshake mTLS.
Berikut adalah contoh cara mengecualikan lingkungan dari penegakan berbasis sertifikat dan melindunginya menggunakan jenis penegakan lainnya.
Dalam contoh ini, organisasi menggunakan perangkat macOS, Windows, dan ChromeOS. Organisasi ingin melindungi akses yang berasal dari Konsol Google Cloud.
Buat tingkat akses yang menerapkan akses berbasis sertifikat untuk semua perangkat, kecuali untuk perangkat ChromeOS yang mewajibkan kebijakan perangkat milik perusahaan. Ganti file YAML dengan ekspresi kustom berikut:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)
Selesaikan langkah-langkah dalam prosedur sebelumnya.