本页面介绍了如何启用基于证书的访问权限 (CBA) 与端点验证配置的证书相关联。
您可以使用端点验证来自动为 。借助端点验证预配的证书,您可以在没有 PKI 的情况下使用 CBA 基础架构这些证书存储在 macOS 上的钥匙串中、Windows 上的证书存储区中,以及 Linux 上的文件系统中。
如果您有公钥基础设施 (PKI) 基础架构,请参阅 使用企业证书启用基于证书的访问权限,以启用 CBA。
您可以在以下操作系统上启用已配置端点验证的证书:
- 使用 Chrome 浏览器的 macOS 和 Windows
- 使用 Google Cloud CLI 的 macOS、Windows 和 Linux
如果您的操作系统未列出,请参阅使用不完全受支持的操作系统。
准备工作
在继续操作之前,请确保您满足以下要求:
您创建了 CBA 访问权限级别 Google Cloud 项目的配额。
您可以使用以下任一方式对 Google Cloud 资源强制执行 CBA 方法:
- (推荐)通过强制执行基于证书的用户配置规则 和情境感知访问权限政策。
- 配置数据规则的依据: 使用 VPC Service Controls 强制执行基于证书的访问权限。
您有权完成 mTLS 连接过程 使用有效的客户端证书
设置“端点验证”
按照说明为贵组织中的所有用户设备安装 Chrome 端点验证扩展程序。该扩展程序会向您的设备预配自签名证书,并将证书元数据同步到 Google Cloud。
安装端点验证帮助程序应用。以下应用为必备应用: 结合使用端点验证和 CBA
配置用户的Chrome 浏览器
要配置用户的Chrome 浏览器,以便使用端点验证配置的证书。 您必须配置 AutoSelectCertificateFor网址s Chrome 政策 使用端点验证搜索设备证书并通过 Chrome 收集该证书。
- 确保用户的 Chrome 浏览器由 Chrome 浏览器云管理。
在 Google 管理控制台中,添加 AutoSelectCertificateForUrls 政策。
- 依次前往设备 > Chrome > 设置 > 用户和浏览器设置 > 客户端证书。
- 选择适当的组织单元。
添加政策。以下示例展示了如何添加 AutoSelectCertificateForUrls 政策:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
完成配置后,用户可以使用 Chrome 浏览器访问 console-secure.cloud.google.com 中受保护的 Google Cloud 资源。
(可选)验证政策配置
- 在 Chrome 浏览器中,输入
chrome://policy。 - 验证 AutoSelectCertificateForUrls 是否列在 Chrome 政策下。
- 确认应用对象的值为机器。在 ChromeOS 上, Apply to 的值为 Current User。
- 确保政策的状态不冲突。如果状态 请参阅了解 Chrome 政策管理 获取相关信息。
配置命令行工具
您可以将以下工具配置为使用端点验证配置的证书:
- Google Cloud CLI
- Terraform CLI(安装和 配置辅助组件)。
由于设备证书存储在 macOS 和 Windows 密钥库中, gcloud CLI 捆绑了企业证书代理 (ECP) 开源组件,与密钥管理 API 进行交互。
如果您使用的是 Windows 系统,则必须使用 Visual Studio C++ 运行时 库。
- 安装 gcloud CLI。 在启用捆绑的 Python 选项的情况下进行安装。
- 启用 CBA。
对于 macOS 和 Linux,请下载并运行
install.sh脚本。./google-cloud-sdk/install.shLinux 用户 启用 CBA 和端点验证已配置证书 步骤。 如果您是 macOS 和 Windows 用户,请完成以下步骤。
使用 gcloud CLI 安装 ECP 辅助组件。
gcloud components install enterprise-certificate-proxy使用 gcloud CLI 初始化 ECP 证书配置。
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(可选)运行以下命令,手动配置 ECP 证书 命令。
macOS
ECP 配置存储在位于
~/.config/gcloud/certificate_config.json中的 JSON 文件中。{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
ECP 配置存储在 JSON 文件中,该 JSON 文件位于
%APPDATA%\gcloud\certificate_config.json。{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
启用 CBA 和 Endpoint Verification 预配的证书。
对于 gcloud CLI,请运行以下命令。
gcloud config set context_aware/use_client_certificate true对于所有其他命令行工具(包括 Terraform),请设置环境 变量。
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
使用不完全支持的操作系统
如果您的操作系统不在支持的操作系统 系统,而您想使用 则可以免除基于证书的强制执行 而是采用其他类型的强制执行方式来保护它们。例如, 使用公司自有设备政策
请注意,与其他类型的强制执行相比,基于证书的强制执行可提供更强的保护,因为它会通过 mTLS 握手强制执行来自设备的每个请求。
以下示例展示了如何为环境豁免基于证书的环境 并使用其他类型的强制执行来保护它们。
在此示例中,组织使用的是 macOS、Windows 和 ChromeOS 设备。该组织希望保护源自 Google Cloud 控制台。
创建访问权限级别 对所有设备强制执行基于证书的访问权限,但 需要公司自有设备政策的 ChromeOS 设备。将 包含以下自定义表达式的 YAML 文件:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)完成前述过程中的步骤。