Zertifikatsbasierten Zugriff mit Ihren Unternehmenszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mit Ihren Unternehmenszertifikaten aktivieren.

Wenn Sie keine Public-Key-Infrastruktur (PKI) haben, können Sie Zertifikate verwenden, die über die Endpunktprüfung bereitgestellt werden.

Eine wichtige Anforderung des Zero-Trust-Zugriffsmodells besteht darin, den Zugriff nur auf autorisierte Geräte zuzulassen. Der kontextsensitive Zugriff (Context-Aware Access, CBA) verwendet Zertifikate und ihre privaten Schlüssel, die in einem sicheren Schlüsselspeicher auf dem Gerät gespeichert sind, um zu bestimmen, ob das Gerät autorisiert ist. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren.

Hinweis

Sie müssen Zugriffsebenen für die kundenspezifische Preisgestaltung für Ihr Google Cloud Projekt erstellt haben. Informationen zum Erstellen von Zugriffsebenen finden Sie unter Zugriffsebenen für den zertifikatbasierten Zugriff erstellen.

Sie können die Kosten-Nutzen-Analyse mit einer der folgenden Methoden auf Ihre Google Cloud Ressourcen anwenden:

• (Empfohlen) Zertifikatbasierten Zugriff mit Richtlinien für den kontextsensitiven Zugriff erzwingen: Konfigurieren Sie Regeln für Nutzer.

• Zertifikatbasierten Zugriff mit VPC Service Controls erzwingen: Konfigurieren Sie Regeln für Daten.

Wenn Sie die CBA für Ihre Google Cloud Ressourcen erzwingen, muss ein autorisierter Nutzer zum Zugriff auf IhreGoogle Cloud Ressourcen auch ein gültiges Gerätezertifikat vorlegen.

Trust-Anchors hochladen

Wenn Sie den kontextsensitiven Zugriff zulassen möchten, um das Unternehmenszertifikat eines Geräts zu erfassen und zu validieren, müssen Sie die Trust Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet werden. Die Trust Anchors sind das selbst signierte Stamm-CA-Zertifikat und die entsprechenden Zwischen- und untergeordneten Zertifikate. Führen Sie die folgenden Schritte aus, um die Trust Anchors hochzuladen:

1. Klicken Sie in der Admin-Konsole auf Geräte > Netzwerke > Zertifikate und wählen Sie dann die Organisationseinheit aus, für die Sie die Trust Anchors hochladen möchten. Die ausgewählte Organisationseinheit muss die Nutzer enthalten, denen Sie Zugriff gewähren möchten.

2. Wählen Sie Zertifikat hinzufügen aus und geben Sie einen Namen für das Root-Zertifikat ein.

3. Klicken Sie auf Hochladen, um das Zertifikat hochzuladen.

4. Wählen Sie Endpunktprüfung aktivieren aus und klicken Sie dann auf Hinzufügen.

Das hochzuladende Zertifikat sollte das CA-Zertifikat sein, das der Aussteller der Clientzertifikate ist, die auf Ihren Unternehmensgeräten installiert sind. Wenn Ihr Unternehmen noch kein CA-Zertifikat und die entsprechenden Clientzertifikate hat, können Sie diese über den Google Cloud Certificate Authority Service erstellen. Die Schritte zum Installieren von Clientzertifikaten in nativen Schlüsselspeichern unterscheiden sich je nach Betriebssystem und werden in diesem Dokument nicht behandelt.

Chrome-Browser der Nutzer so konfigurieren, dass Ihr Unternehmenszertifikat verwendet wird

Folgen Sie der Anleitung unter Endpunktprüfung einrichten, um die Erweiterung „Endpunktprüfung“ für Chrome für alle Nutzer in Ihrer Organisation zu installieren. Mit dieser Erweiterung werden Zertifikatsmetadaten mit dem Backend von Google Cloudsynchronisiert.

Nachdem Sie die Browsererweiterung eingerichtet haben, konfigurieren Sie die AutoSelectCertificateForURLs Chrome-Richtlinie so, dass die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.

1. Prüfen Sie, ob der Chrome-Browser der Nutzer über die Chrome-Verwaltung über die Cloud verwaltet wird:

   • Chrome-Verwaltung über die Cloud einrichten

2. Fügen Sie in der Admin-Konsole die Richtlinie AutoSelectCertificateForUrls hinzu:

   1. Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.

   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu.

      Im folgenden Beispiel wird die AutoSelectCertificateForUrls-Richtlinie hinzugefügt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      In diesem Beispiel ist CERT_ISSUER der allgemeine Name Ihres Zertifizierungsstellenzertifikats.

Nach dieser Konfiguration können Nutzer mit dem Chrome-Browser unter console-secure.cloud.google.com auf geschützte Google Cloud Ressourcen zugreifen.

Richtlinienkonfiguration prüfen (optional)

1. Geben Sie im Chrome-Browser chrome://policy ein.

2. Prüfen Sie, ob AutoSelectCertificateForUrls unter Chrome-Richtlinien aufgeführt ist.

3. Prüfen Sie, ob der Wert für Gilt für Computer ist. Unter ChromeOS ist der Wert für Gilt für Aktueller Nutzer.

4. Der Status der Richtlinie darf keinen Konflikt aufweisen. Wenn der Status einen Konflikt aufweist, finden Sie unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung weitere Informationen.

Befehlszeilentools für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Wenn Nutzer in Ihrer Organisation über die Befehlszeile auf Google Cloud -Ressourcen zugreifen müssen, müssen sie die folgenden Schritte ausführen, um die CBA mit Ihrem Unternehmenszertifikat in ihren Befehlszeilentools zu aktivieren.

Die folgenden Befehlszeilentools werden unterstützt:

• Google Cloud CLI

• Terraform CLI (die gcloud CLI ist weiterhin erforderlich, um Hilfskomponenten zu installieren und zu konfigurieren)

Da die Gerätezertifikate in nativen Schlüsselspeichern gespeichert werden, ist die Google Cloud CLI mit einer Open-Source-Komponente namens Enterprise Certificate Proxy (ECP) gebündelt, um mit Schlüsselverwaltungs-APIs zu interagieren.

Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.

Die folgenden Betriebssysteme und ihre jeweiligen nativen Schlüsselspeicher werden unterstützt:

• macOS mit Schlüsselbund

• Microsoft Windows mit CryptoAPI

• Linux mit PKCS #11

ECP muss mit den erforderlichen Metadateninformationen konfiguriert werden, um das Zertifikat in den Schlüsselspeichern zu finden.

ECP mit der Google Cloud CLI installieren und konfigurieren

1. Installieren Sie die Google Cloud CLI und aktivieren Sie die CBA. Installieren Sie das Paket mit aktivierter Option bundled python.

2. Unter macOS und Linux führen Sie das install.sh-Script nach dem Herunterladen aus:

   $ ./google-cloud-sdk/install.sh
   

3. Installieren Sie die ECP-Hilfskomponente mit der Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. ECP-Zertifikatskonfiguration mit der Google Cloud CLI initialisieren:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Die ECP-Konfiguration kann auch manuell konfiguriert werden. Sie wird als JSON-Datei am folgenden Speicherort auf dem Gerät des Nutzers gespeichert:

• Linux und macOS: ~/.config/gcloud/certificate_config.json

• Windows: %APPDATA%\gcloud\certificate_config.json

Weitere Beispiele für die Konfiguration und das Schema finden Sie in der ECP-Dokumentation auf GitHub.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Nach dieser Konfiguration können Nutzer über Befehlszeilentools auf geschützte Google Cloud -Ressourcen zugreifen, indem sie das CBA-Flag aktivieren.

Wenn Sie die CBA für die Google Cloud CLI aktivieren möchten, legen Sie das Attribut context_aware/use_client_certificate auf true fest.

Wenn Sie die CBA für alle anderen Befehlszeilentools, einschließlich Terraform, aktivieren möchten, legen Sie die Umgebungsvariable GOOGLE_API_USE_CLIENT_CERTIFICATE auf true fest.

Nächste Schritte

• Zertifikatsbasierter Zugriff

• Weitere Informationen zur mTLS-Authentifizierung in Google Cloud