Zertifikatbasierten Zugriff mit Unternehmenszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie Zertifikatsbasierter Zugriff (CBA) mit Ihren Unternehmenszertifikaten.

Wenn Sie keine Public-Key-Infrastruktur (PKI) haben, können Sie von der Endpunktprüfung bereitgestellte Zertifikate.

Eine wichtige Voraussetzung des Zero-Trust-Zugriffsmodells besteht darin, auf autorisierte Geräte. Die CBA nutzt Zertifikate und private Schlüssel, die in einem sicheren Schlüsselspeicher auf dem Gerät gespeichert sind, um festzustellen, ob der Gerät autorisiert ist. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren.

Hinweise

Prüfen Sie, ob Sie CBA-Zugriffsebenen für Ihr Google Cloud-Projekt erstellt haben. Wenn Sie Zugriffsebenen erstellen müssen, Siehe Zugriffsebenen für zertifikatsbasierten Zugriff erstellen.

Erzwingen Sie die CBA für Ihre Google Cloud-Ressourcen mithilfe einer der folgenden Methoden:

• (Empfohlen) Erzwingen Sie den zertifikatsbasierten Zugriff mit Richtlinien für den kontextsensitiven Zugriff: Konfigurieren Sie Regeln für Nutzer.

• Zertifikatbasierten Zugriff mit VPC Service Controls erzwingen: Konfigurieren Sie Regeln für Daten.

Wenn Sie CBA für Ihre Google Cloud-Ressourcen erzwingen, kann auf Ihre Für Google Cloud-Ressourcen muss ein autorisierter Nutzer auch eine gültige Gerätezertifikat.

Trust-Anchors hochladen

Um den kontextsensitiven Zugriff zum Erfassen und Validieren des Unternehmenszertifikats eines Gerät befindet, müssen Sie die Trust-Anchors hochladen, die zur Ausgabe des Geräts verwendet werden. Zertifikat. Die Trust-Anchors sind das selbst signierte Root-CA-Zertifikat und Zwischenzertifikate und untergeordnete Zertifikate. Zum Hochladen der Trust-Anchors führen Sie die folgenden Schritte aus:

1. Gehen Sie in der Admin-Konsole zu Geräte > Netzwerke > Zertifikate und wählen Sie dann die Organisationseinheit aus. Einheit, für die die Trust-Anchors hochgeladen werden sollen. Stellen Sie sicher, dass die Organisation die ausgewählte Einheit die Nutzer enthält, denen Sie Zugriff gewähren möchten.

2. Wählen Sie Zertifikat hinzufügen aus und geben Sie einen Namen für Ihr Root-Zertifikat ein.

3. Klicken Sie auf Hochladen, um das Zertifikat hochzuladen.

4. Wählen Sie Endpunktprüfung aktivieren aus und klicken Sie auf Hinzufügen.

Das hochzuladende Zertifikat sollte das CA-Zertifikat sein, den Aussteller der Clientzertifikate, die auf Ihren Unternehmensgeräten installiert sind. Wenn Ihr Unternehmen noch nicht über ein CA-Zertifikat und die entsprechenden Clientzertifikate verfügt, können Sie sie über die Google Cloud Certificate Authority Service Die Schritte zum Installieren von Clientzertifikaten in systemeigenen Schlüsselspeichern sind bei der einzelnen Betriebssysteme und wird in diesem Dokument nicht behandelt.

Nutzer konfigurieren Chrome-Browser zur Verwendung Ihres Unternehmenszertifikats

Folgen Sie der Anleitung unter Endpunktprüfung einrichten, um die Erweiterung zu installieren. die Chrome-Erweiterung „Endpunktprüfung“ für alle Nutzer in Ihrer Organisation. Diese Erweiterung wird für die Synchronisierung verwendet Zertifikatmetadaten in das Google Cloud-Back-End.

Nachdem du die Browsererweiterung eingerichtet hast, konfiguriere die Chrome-Richtlinie „AutoSelectCertificateForURLs“ so: Erlauben Sie der Endpunktprüfung, nach dem Gerätezertifikat zu suchen und es über Chrome zu erfassen.

1. Stellen Sie sicher, dass die Der Chrome-Browser wird über die Chrome-Verwaltung über die Cloud verwaltet:

   • Chrome-Verwaltung über die Cloud einrichten

2. Fügen Sie in der Admin-Konsole die Richtlinie AutoSelectCertificateForUrls hinzu:

   1. Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer und Browsereinstellungen > Kunde Zertifikate.

   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu.

      Im folgenden Beispiel wird die Richtlinie AutoSelectCertificateForUrls hinzugefügt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Im Beispiel ist CERT_ISSUER der allgemeine Name Ihres CA-Zertifikats.

Nach dieser Konfiguration können Nutzer auf geschützte Google Cloud-Ressourcen zugreifen im Chrome-Browser unter console-secure.cloud.google.com.

Richtlinienkonfiguration prüfen (optional)

1. Geben Sie im Chrome-Browser chrome://policy ein.

2. Prüfen Sie, ob AutoSelectCertificateForUrls unter Chrome-Richtlinien.

3. Achten Sie darauf, dass der Wert für Gilt für Computer lautet. Am Chrome-Betriebssystem verwenden, lautet der Wert für Gilt für: Aktueller Nutzer:

4. Achten Sie darauf, dass der Status der Richtlinie nicht den Wert Konflikt hat. Wenn beim Status ein Konflikt vorliegt, finden Sie unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung.

Befehlszeilentools für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Wenn Nutzer in Ihrer Organisation auf Google Cloud-Ressourcen zugreifen müssen, in der Befehlszeile ausführen, müssen sie die folgenden Schritte ausführen, um die CBA mit Unternehmenszertifikat in die Befehlszeilentools einfließen lassen.

Die folgenden Befehlszeilentools werden unterstützt:

• Google Cloud CLI

• Terraform-CLI (gcloud CLI ist weiterhin erforderlich, um die Terraform-Befehlszeile zu installieren und Hilfskomponenten konfigurieren.)

Da die Gerätezertifikate in systemeigenen Schlüsselspeichern gespeichert sind, Die Google Cloud CLI ist mit einer Open-Source-Komponente namens Enterprise Zertifikat-Proxy (Certificate Proxy, ECP), um mit Key Management APIs zu interagieren.

Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.

Die folgenden Betriebssysteme und ihre jeweiligen nativen Schlüsselspeicher werden unterstützt:

• macOS mit Schlüsselbund

• Microsoft Windows mit CryptoAPI

• Linux mit PKCS #11

Der ECP muss mit den erforderlichen Metadateninformationen konfiguriert sein, um den in den Schlüsselspeichern.

ECP mit der Google Cloud CLI installieren und konfigurieren

1. Installieren Sie die Google Cloud CLI und aktivieren Sie CBA. Mit aktivierter Option bundled python installieren.

2. Führen Sie unter macOS und Linux das Skript install.sh nach dem Download aus:

   $ ./google-cloud-sdk/install.sh
   

3. Installieren Sie die ECP-Hilfskomponente mit der Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. Initialisieren Sie die Konfiguration des ECP-Zertifikats mit der Google Cloud CLI:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Die ECP-Konfiguration kann auch manuell konfiguriert werden. Sie wird im JSON-Format gespeichert, an folgendem Speicherort auf dem Gerät des Nutzers gespeichert:

• Linux und macOS: ~/.config/gcloud/certificate_config.json

• Windows: %APPDATA%\gcloud\certificate_config.json

Weitere Informationen finden Sie in der ECP-Dokumentation auf GitHub finden Sie weitere Beispiele zur Konfiguration und zum Schema.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Nach dieser Konfiguration können Nutzer auf geschützte Google Cloud-Ressourcen zugreifen Befehlszeilentools einsetzen, indem Sie das CBA-Flag aktivieren.

Legen Sie zum Aktivieren der CBA für die Google Cloud CLI context_aware/use_client_certificate fest zu true.

Um die CBA für alle anderen Befehlszeilentools, einschließlich Terraform, zu aktivieren, legen Sie Umgebungsvariable GOOGLE_API_USE_CLIENT_CERTIFICATE auf true.

Nächste Schritte

• Übersicht über den zertifikatsbasierten Zugriff

• Informationen zu gegenseitigem TLS in Google Cloud