Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat yang disediakan Verifikasi Endpoint.
Anda dapat menggunakan Verifikasi Endpoint untuk menyediakan sertifikat yang ditandatangani sendiri secara otomatis untuk perangkat. Sertifikat yang disediakan Verifikasi Endpoint memungkinkan Anda menggunakan CBA tanpa infrastruktur PKI. Sertifikat ini disimpan di keychain di macOS, di penyimpanan sertifikat di Windows, dan di sistem file di Linux.
Jika Anda memiliki infrastruktur PKI, lihat Mengaktifkan akses berbasis sertifikat dengan sertifikat perusahaan Anda untuk mengaktifkan CBA.
Anda dapat mengaktifkan sertifikat yang disediakan Verifikasi Endpoint di sistem operasi berikut:
- macOS dan Windows menggunakan browser Chrome
- macOS, Windows, dan Linux menggunakan Google Cloud CLI
Jika sistem operasi Anda tidak tercantum, lihat Menggunakan sistem operasi yang tidak sepenuhnya didukung.
Sebelum memulai
Sebelum melanjutkan, pastikan Anda memenuhi persyaratan berikut:
Anda telah membuat tingkat akses CBA untuk Google Cloud project.
Anda menerapkan CBA pada resource Google Cloud menggunakan salah satu metode berikut:
- (Direkomendasikan) Konfigurasikan aturan seputar pengguna dengan menerapkan akses berbasis sertifikat dengan kebijakan akses kontekstual.
- Konfigurasikan aturan seputar data dengan menerapkan akses berbasis sertifikat dengan Kontrol Layanan VPC.
Anda diberi otorisasi untuk melalui proses koneksi mTLS menggunakan sertifikat klien yang valid.
Menyiapkan Verifikasi Endpoint
Ikuti petunjuk untuk menginstal ekstensi Verifikasi Endpoint Chrome untuk semua perangkat pengguna di organisasi Anda. Ekstensi ini menyediakan sertifikat yang ditandatangani sendiri ke perangkat Anda dan menyinkronkan metadata sertifikat ke Google Cloud.
Instal aplikasi pendukung Verifikasi Endpoint. Aplikasi ini diperlukan untuk menggunakan Verifikasi Endpoint dengan CBA.
Mengonfigurasi browser Chrome pengguna
Untuk mengonfigurasi browser Chrome pengguna agar menggunakan sertifikat yang disediakan Verifikasi Endpoint, Anda harus mengonfigurasi kebijakan Chrome AutoSelectCertificateForURLs untuk mengizinkan Verifikasi Endpoint menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.
- Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome.
Di konsol Google Admin, tambahkan kebijakan AutoSelectCertificateForUrls.
- Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
- Pilih unit organisasi yang sesuai.
Tambahkan kebijakan. Contoh berikut menambahkan kebijakan AutoSelectCertificateForUrls:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Setelah Anda menyelesaikan konfigurasi, pengguna dapat mengakses resourceGoogle Cloud yang dilindungi dengan browser Chrome di console-secure.cloud.google.com.
(Opsional) Verifikasi konfigurasi kebijakan
- Di browser Chrome, masukkan
chrome://policy. - Pastikan AutoSelectCertificateForUrls tercantum di bagian Kebijakan Chrome.
- Verifikasi bahwa nilai untuk Berlaku untuk adalah Perangkat. Di ChromeOS, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
- Pastikan status kebijakan tidak mengalami konflik. Jika statusnya memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mengetahui informasinya.
Mengonfigurasi alat command line
Anda dapat mengonfigurasi alat berikut untuk menggunakan sertifikat yang disediakan Verifikasi Endpoint:
- Google Cloud CLI
- Terraform CLI (gcloud CLI diperlukan untuk menginstal dan mengonfigurasi komponen helper.)
Karena sertifikat perangkat disimpan di keystore macOS dan Windows, gcloud CLI dipaketkan dengan komponen open source Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.
Jika menggunakan sistem Windows, Anda harus menginstal library runtime Visual Studio C++.
- Instal gcloud CLI. Instal dengan opsi Python yang dipaketkan diaktifkan.
- Aktifkan CBA.
Untuk macOS dan Linux, download, lalu jalankan skrip
install.sh../google-cloud-sdk/install.shPengguna Linux, buka langkah Mengaktifkan sertifikat yang disediakan CBA dan Verifikasi Endpoint . Pengguna macOS dan Windows, selesaikan langkah-langkah berikut.
Instal komponen helper ECP dengan gcloud CLI.
gcloud components install enterprise-certificate-proxyLakukan inisialisasi konfigurasi sertifikat ECP dengan gcloud CLI.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Opsional) Konfigurasikan sertifikat ECP secara manual dengan menjalankan perintah berikut.
macOS
Konfigurasi ECP disimpan dalam file JSON, yang terletak di
~/.config/gcloud/certificate_config.json.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
Konfigurasi ECP disimpan dalam file JSON, yang terletak di
%APPDATA%\gcloud\certificate_config.json.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Aktifkan sertifikat yang disediakan CBA dan Verifikasi Endpoint.
Untuk gcloud CLI, jalankan perintah berikut.
gcloud config set context_aware/use_client_certificate trueUntuk semua alat command line lainnya, termasuk Terraform, tetapkan variabel lingkungan.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Menggunakan sistem operasi yang tidak sepenuhnya didukung
Jika sistem operasi Anda tidak ada dalam daftar sistem operasi yang didukung, dan Anda ingin menggunakan sertifikat yang disediakan Endpoint Verification, Anda dapat mengecualikan lingkungan dari penerapan berbasis sertifikat dan sebagai gantinya melindunginya menggunakan jenis penerapan lainnya. Misalnya, dengan menggunakan kebijakan perangkat milik perusahaan.
Perhatikan bahwa penerapan berbasis sertifikat menawarkan perlindungan yang lebih kuat dibandingkan jenis penerapan lainnya karena menerapkan setiap permintaan yang berasal dari perangkat melalui handshake mTLS.
Berikut adalah contoh cara mengecualikan lingkungan dari penerapan berbasis sertifikat dan melindunginya menggunakan jenis penerapan lain.
Dalam contoh ini, organisasi menggunakan perangkat macOS, Windows, dan ChromeOS. Organisasi ingin melindungi akses yang berasal dari konsol Google Cloud.
Buat tingkat akses yang menerapkan akses berbasis sertifikat untuk semua perangkat, kecuali untuk perangkat ChromeOS yang mewajibkan kebijakan perangkat milik perusahaan. Ganti file YAML dengan ekspresi kustom berikut:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Selesaikan langkah-langkah dalam prosedur sebelumnya.