Nesta página, descrevemos como ativar o acesso baseado em certificado (CBA) com seus certificados provisionados pela verificação de endpoints.
Use a Verificação de endpoints para provisionar automaticamente certificados autoassinados para um dispositivo. Os certificados provisionados da Verificação de endpoints permitem usar a CBA sem uma ICP do Google Cloud. Esses certificados são armazenados no conjunto de chaves no macOS, em repositórios de certificados no Windows e nos sistemas de arquivos do Linux.
Se você tiver uma infraestrutura de ICP, consulte Ativar o acesso baseado em certificado com seus certificados corporativos para ativar o CBA.
É possível ativar os certificados provisionados pela Verificação de endpoints nos seguintes sistemas operacionais:
- macOS e Windows com o navegador Chrome
- macOS, Windows e Linux usando a Google Cloud CLI
Caso seu sistema operacional não esteja listado, acesse Uso de sistemas operacionais sem suporte total.
Antes de começar
Antes de continuar, verifique se você atende aos seguintes requisitos:
Você criou níveis de acesso à CBA para seu projeto do Google Cloud.
Você pode aplicar o CBA aos seus recursos do Google Cloud usando um dos seguintes métodos:
- (Recomendado) Configure regras para usuários aplicando o acesso baseado em certificado com políticas de acesso baseadas em contexto.
- Configure regras sobre dados como aplicar o acesso baseado em certificado com o VPC Service Controls.
Você tem autorização para passar pelo processo de conexão mTLS usando um certificado do cliente válido.
Configurar a Verificação de pontos de extremidade
Siga as instruções para instalar a extensão Verificação de endpoints do Chrome em todos os dispositivos dos usuários da sua organização. A extensão provisiona certificados autoassinados nos seus dispositivos e sincroniza os metadados do certificado com o Google Cloud.
Instale o app assistente da Verificação de endpoints. Esse app é necessário para usar a Verificação de endpoints com a CBA.
Configurar o navegador Chrome dos usuários
Para configurar as o navegador Chrome para usar os certificados provisionados da verificação de endpoints; você precisa configurar a política AutoSelectCertificateForURLs do Chrome para permitir Verificação de endpoints para pesquisar o certificado do dispositivo e coletá-lo no Chrome.
- Garanta que as respostas O navegador Chrome é gerenciados pelo Gerenciamento de nuvem do navegador Chrome.
No Google Admin Console, adicione a política AutoSelectCertificateForUrls.
- Acesse Dispositivos > Chrome > Configurações > Configurações do navegador e do usuário > Certificados do cliente.
- Selecione a unidade organizacional apropriada.
Adicione uma política. O exemplo a seguir adiciona a classe AutoSelectCertificateForUrls política:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Depois de concluir a configuração, os usuários poderão acessar os recursos protegidos do Google Cloud com o navegador Chrome em console-secure.cloud.google.com.
(Opcional) Verificar a configuração da política
- No navegador Chrome, digite
chrome://policy. - Verifique se a política AutoSelectCertificateForUrls está listada em Políticas do Chrome.
- Verifique se o valor de Aplica-se a é Máquina. No ChromeOS, a o valor de Aplica-se a é Usuário atual.
- Verifique se o status da política não gera conflito. Se o status tiver um conflito, consulte Entender o gerenciamento de políticas do Chrome. para mais informações.
Configurar ferramentas de linha de comando
É possível configurar as ferramentas a seguir para usar certificados provisionados pela Verificação de endpoints:
- A Google Cloud CLI
- A CLI do Terraform (a CLI da gcloud é necessária para instalar e configurar componentes auxiliares).
Como os certificados do dispositivo são armazenados em keystores do macOS e do Windows, a CLI do gcloud é empacotada com o componente de código aberto Enterprise Certificate Proxy (ECP) para interagir com as APIs de gerenciamento de chaves.
Se você estiver usando um sistema Windows, é necessário ter a biblioteca de tempo de execução do C++ do Visual Studio instalada.
- Instale a CLI da gcloud. Instale com a opção Python do pacote ativada.
- Ative a CBA.
Para macOS e Linux, faça o download e execute o script
install.sh../google-cloud-sdk/install.shUsuários do Linux: acesse a etapa Ativar certificados provisionados de CBA e Verificação de endpoint. Usuários do macOS e do Windows: siga as etapas abaixo.
Instale o componente auxiliar de ECP com a CLI gcloud.
gcloud components install enterprise-certificate-proxyInicializar a configuração do certificado ECP com a CLI gcloud.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Opcional) Configure o certificado ECP manualmente executando o seguinte comando.
macOS
A configuração do ECP é armazenada em um arquivo JSON, localizado em
~/.config/gcloud/certificate_config.json.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
A configuração do ECP é armazenada em um arquivo JSON, localizado em
%APPDATA%\gcloud\certificate_config.json:{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Ative os certificados provisionados da CBA e da verificação de endpoints.
Para a CLI gcloud, execute o comando a seguir.
gcloud config set context_aware/use_client_certificate truePara todas as outras ferramentas de linha de comando, incluindo o Terraform, defina a variável de ambiente.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
O uso de sistemas operacionais não é totalmente compatível
Se o sistema operacional não estiver na lista de sistemas operacionais compatíveis e você quiser usar certificados provisionados pela Verificação de endpoints, é possível isentar os ambientes da aplicação de regras baseadas em certificados e protegê-los usando outros tipos de aplicação de regras. Por exemplo, usando uma política de dispositivo da empresa.
A aplicação com base no certificado oferece mais proteção em relação a outros tipos de restrição, já que ela impõe todas as solicitações provenientes de um dispositivo pelo handshake mTLS.
Este é um exemplo de como isentar ambientes de ambientes aplicação de políticas e protegê-las usando outro tipo de aplicação.
Neste exemplo, uma organização usa macOS, Windows e ChromeOS dispositivos. A organização quer proteger o acesso originado do console do Google Cloud.
Criar um nível de acesso que aplique o acesso baseado em certificado para todos os dispositivos, exceto Dispositivos ChromeOS em que uma política de dispositivo da empresa é obrigatória. Substitua o arquivo YAML pela seguinte expressão personalizada:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Conclua as etapas dos procedimentos anteriores.