Zertifikatbasierten Zugriff mit Unternehmenszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatsbasierten Zugriff (CBA) mit Ihren Unternehmenszertifikaten aktivieren.

Wenn Sie keine Public-Key-Infrastruktur (PKI) haben, können Sie von der Endpunktprüfung bereitgestellte Zertifikate verwenden.

Eine wichtige Voraussetzung des Zero-Trust-Zugriffsmodells besteht darin, nur den Zugriff auf autorisierte Geräte zu erlauben. Die CBA für den kontextsensitiven Zugriff verwendet Zertifikate und ihre privaten Schlüssel, die in einem sicheren Schlüsselspeicher auf dem Gerät gespeichert sind, um festzustellen, ob das Gerät autorisiert ist. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren.

Hinweise

Prüfen Sie, ob Sie CBA-Zugriffsebenen für Ihr Google Cloud-Projekt erstellt haben. Informationen zum Erstellen von Zugriffsebenen finden Sie unter Zugriffsebenen für zertifikatsbasierten Zugriff erstellen.

Erzwingen Sie die CBA für Ihre Google Cloud-Ressourcen mithilfe einer der folgenden Methoden:

• (Empfohlen) Erzwingen des zertifikatsbasierten Zugriffs mit Richtlinien für den kontextsensitiven Zugriff: Konfigurieren Sie Regeln für Nutzer.

• Zertifikatbasierten Zugriff mit VPC Service Controls erzwingen: Konfigurieren Sie Regeln für Daten.

Wenn Sie die CBA für Ihre Google Cloud-Ressourcen erzwingen, muss ein autorisierter Nutzer für den Zugriff auf Ihre Google Cloud-Ressourcen auch ein gültiges Gerätezertifikat vorweisen.

Trust-Anchors hochladen

Damit der kontextsensitive Zugriff das Unternehmenszertifikat eines Geräts erfassen und validieren kann, müssen Sie die Trust-Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet werden. Die Trust-Anchors sind das selbst signierte Root-CA-Zertifikat und die relevanten Zwischen- und untergeordneten Zertifikate. So laden Sie die Trust-Anchors hoch:

1. Gehen Sie in der Google Admin-Konsole zu Geräte > Netzwerke > Zertifikate und wählen Sie die Organisationseinheit aus, für die Sie die Trust-Anchors hochladen möchten. Achten Sie darauf, dass die ausgewählte Organisationseinheit die Nutzer enthält, denen Sie Zugriff gewähren möchten.

2. Wählen Sie Zertifikat hinzufügen aus und geben Sie einen Namen für Ihr Root-Zertifikat ein.

3. Klicken Sie auf Hochladen, um das Zertifikat hochzuladen.

4. Wählen Sie Endpunktprüfung aktivieren aus und klicken Sie auf Hinzufügen.

Das hochzuladende Zertifikat sollte das CA-Zertifikat sein, das der Aussteller der Clientzertifikate ist, die auf Ihren Unternehmensgeräten installiert sind. Wenn Ihr Unternehmen noch kein CA-Zertifikat und die entsprechenden Clientzertifikate hat, können Sie diese über den Certificate Authority Service von Google Cloud erstellen. Die Schritte zum Installieren von Clientzertifikaten in nativen Schlüsselspeichern unterscheiden sich für jedes Betriebssystem und werden in diesem Dokument nicht behandelt.

Chrome-Browser der Nutzer für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Folgen Sie der Anleitung unter Endpunktprüfung einrichten, um die Erweiterung „Endpunktprüfung“ für Chrome für alle Nutzer in Ihrer Organisation zu installieren. Mit dieser Erweiterung werden Zertifikatmetadaten mit dem Back-End von Google Cloud synchronisiert.

Konfigurieren Sie nach dem Einrichten der Browsererweiterung die Chrome-Richtlinie AutoSelectCertificateForURLs, damit die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.

1. Achten Sie darauf, dass der Chrome-Browser der Nutzer über die Chrome-Verwaltung über die Cloud verwaltet wird:

   • Chrome-Verwaltung über die Cloud einrichten

2. Fügen Sie in der Admin-Konsole die Richtlinie AutoSelectCertificateForUrls hinzu:

   1. Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.

   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu.

      Im folgenden Beispiel wird die Richtlinie AutoSelectCertificateForUrls hinzugefügt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Im Beispiel ist CERT_ISSUER der allgemeine Name Ihres CA-Zertifikats.

Nach dieser Konfiguration können Nutzer über den Chrome-Browser unter console-secure.cloud.google.com auf geschützte Google Cloud-Ressourcen zugreifen.

Richtlinienkonfiguration prüfen (optional)

1. Geben Sie im Chrome-Browser chrome://policy ein.

2. Prüfen Sie, ob AutoSelectCertificateForUrls unter Chrome-Richtlinien aufgeführt ist.

3. Achten Sie darauf, dass der Wert für Gilt für Computer lautet. Im Chrome-Betriebssystem lautet der Wert für Gilt für Aktueller Nutzer.

4. Achten Sie darauf, dass der Status der Richtlinie nicht den Wert Konflikt hat. Wenn beim Status ein Konflikt vorliegt, finden Sie unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung.

Befehlszeilentools für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Wenn Nutzer in Ihrer Organisation über die Befehlszeile auf Google Cloud-Ressourcen zugreifen müssen, müssen sie die folgenden Schritte ausführen, um CBA mit Ihrem Unternehmenszertifikat in ihren Befehlszeilentools zu aktivieren.

Die folgenden Befehlszeilentools werden unterstützt:

• Google Cloud CLI

• Terraform-Befehlszeile (die gcloud CLI ist weiterhin erforderlich, um Hilfskomponenten zu installieren und zu konfigurieren.)

Da die Gerätezertifikate in nativen Schlüsselspeichern gespeichert werden, wird die Google Cloud CLI mit einer Open-Source-Komponente namens Enterprise Certificate Proxy (ECP) gebündelt, um mit Key Management APIs zu interagieren.

Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.

Die folgenden Betriebssysteme und ihre jeweiligen nativen Schlüsselspeicher werden unterstützt:

• macOS mit Schlüsselbund

• Microsoft Windows mit CryptoAPI

• Linux mit PKCS #11

ECP muss mit den erforderlichen Metadateninformationen konfiguriert werden, um das Zertifikat in den Schlüsselspeichern zu finden.

ECP mit der Google Cloud CLI installieren und konfigurieren

1. Installieren Sie die Google Cloud CLI und aktivieren Sie CBA. Mit aktivierter Option bundled python installieren.

2. Führen Sie unter macOS und Linux das Skript install.sh nach dem Download aus:

   $ ./google-cloud-sdk/install.sh
   

3. Installieren Sie die ECP-Hilfskomponente mit der Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. Initialisieren Sie die Konfiguration des ECP-Zertifikats mit der Google Cloud CLI:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Die ECP-Konfiguration kann auch manuell konfiguriert werden. Es wird als JSON-Datei an folgendem Speicherort auf dem Gerät des Nutzers gespeichert:

• Linux und macOS: ~/.config/gcloud/certificate_config.json

• Windows: %APPDATA%\gcloud\certificate_config.json

Weitere Beispiele für Konfiguration und Schema finden Sie in der ECP-Dokumentation auf GitHub.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Nach dieser Konfiguration können Nutzer mithilfe von Befehlszeilentools auf geschützte Google Cloud-Ressourcen zugreifen, indem sie das CBA-Flag aktivieren.

Legen Sie das Attribut context_aware/use_client_certificate auf true fest, um CBA für die Google Cloud CLI zu aktivieren.

Wenn Sie die CBA für alle anderen Befehlszeilentools, einschließlich Terraform, aktivieren möchten, legen Sie die Umgebungsvariable GOOGLE_API_USE_CLIENT_CERTIFICATE auf true fest.

Nächste Schritte

• Übersicht über den zertifikatsbasierten Zugriff

• Informationen zu gegenseitigem TLS in Google Cloud