Auf dieser Seite wird beschrieben, wie Sie den zertifikatsbasierten Zugriff (CBA) mit Ihren Unternehmenszertifikaten aktivieren.
Wenn Sie keine Public-Key-Infrastruktur (PKI) haben, können Sie von der Endpunktprüfung bereitgestellte Zertifikate verwenden.
Eine wichtige Voraussetzung des Zero-Trust-Zugriffsmodells besteht darin, nur den Zugriff auf autorisierte Geräte zu erlauben. Die CBA für den kontextsensitiven Zugriff verwendet Zertifikate und ihre privaten Schlüssel, die in einem sicheren Schlüsselspeicher auf dem Gerät gespeichert sind, um festzustellen, ob das Gerät autorisiert ist. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren.
Hinweise
Prüfen Sie, ob Sie CBA-Zugriffsebenen für Ihr Google Cloud-Projekt erstellt haben. Informationen zum Erstellen von Zugriffsebenen finden Sie unter Zugriffsebenen für zertifikatsbasierten Zugriff erstellen.
Erzwingen Sie die CBA für Ihre Google Cloud-Ressourcen mithilfe einer der folgenden Methoden:
(Empfohlen) Erzwingen des zertifikatsbasierten Zugriffs mit Richtlinien für den kontextsensitiven Zugriff: Konfigurieren Sie Regeln für Nutzer.
Zertifikatbasierten Zugriff mit VPC Service Controls erzwingen: Konfigurieren Sie Regeln für Daten.
Wenn Sie die CBA für Ihre Google Cloud-Ressourcen erzwingen, muss ein autorisierter Nutzer für den Zugriff auf Ihre Google Cloud-Ressourcen auch ein gültiges Gerätezertifikat vorweisen.
Trust-Anchors hochladen
Damit der kontextsensitive Zugriff das Unternehmenszertifikat eines Geräts erfassen und validieren kann, müssen Sie die Trust-Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet werden. Die Trust-Anchors sind das selbst signierte Root-CA-Zertifikat und die relevanten Zwischen- und untergeordneten Zertifikate. So laden Sie die Trust-Anchors hoch:
Gehen Sie in der Google Admin-Konsole zu Geräte > Netzwerke > Zertifikate und wählen Sie die Organisationseinheit aus, für die Sie die Trust-Anchors hochladen möchten. Achten Sie darauf, dass die ausgewählte Organisationseinheit die Nutzer enthält, denen Sie Zugriff gewähren möchten.
Wählen Sie Zertifikat hinzufügen aus und geben Sie einen Namen für Ihr Root-Zertifikat ein.
Klicken Sie auf Hochladen, um das Zertifikat hochzuladen.
Wählen Sie Endpunktprüfung aktivieren aus und klicken Sie auf Hinzufügen.
Das hochzuladende Zertifikat sollte das CA-Zertifikat sein, das der Aussteller der Clientzertifikate ist, die auf Ihren Unternehmensgeräten installiert sind. Wenn Ihr Unternehmen noch kein CA-Zertifikat und die entsprechenden Clientzertifikate hat, können Sie diese über den Certificate Authority Service von Google Cloud erstellen. Die Schritte zum Installieren von Clientzertifikaten in nativen Schlüsselspeichern unterscheiden sich für jedes Betriebssystem und werden in diesem Dokument nicht behandelt.
Chrome-Browser der Nutzer für die Verwendung Ihres Unternehmenszertifikats konfigurieren
Folgen Sie der Anleitung unter Endpunktprüfung einrichten, um die Erweiterung „Endpunktprüfung“ für Chrome für alle Nutzer in Ihrer Organisation zu installieren. Mit dieser Erweiterung werden Zertifikatmetadaten mit dem Back-End von Google Cloud synchronisiert.
Konfigurieren Sie nach dem Einrichten der Browsererweiterung die Chrome-Richtlinie AutoSelectCertificateForURLs
, damit die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.
Achten Sie darauf, dass der Chrome-Browser der Nutzer über die Chrome-Verwaltung über die Cloud verwaltet wird:
Fügen Sie in der Admin-Konsole die Richtlinie
AutoSelectCertificateForUrls
hinzu:Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.
Wählen Sie die entsprechende Organisationseinheit aus.
Fügen Sie eine Richtlinie hinzu.
Im folgenden Beispiel wird die Richtlinie
AutoSelectCertificateForUrls
hinzugefügt:{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
Im Beispiel ist
CERT_ISSUER
der allgemeine Name Ihres CA-Zertifikats.
Nach dieser Konfiguration können Nutzer über den Chrome-Browser unter console-secure.cloud.google.com
auf geschützte Google Cloud-Ressourcen zugreifen.
Richtlinienkonfiguration prüfen (optional)
Geben Sie im Chrome-Browser
chrome://policy
ein.Prüfen Sie, ob
AutoSelectCertificateForUrls
unter Chrome-Richtlinien aufgeführt ist.Achten Sie darauf, dass der Wert für Gilt für Computer lautet. Im Chrome-Betriebssystem lautet der Wert für Gilt für Aktueller Nutzer.
Achten Sie darauf, dass der Status der Richtlinie nicht den Wert Konflikt hat. Wenn beim Status ein Konflikt vorliegt, finden Sie unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung.
Befehlszeilentools für die Verwendung Ihres Unternehmenszertifikats konfigurieren
Wenn Nutzer in Ihrer Organisation über die Befehlszeile auf Google Cloud-Ressourcen zugreifen müssen, müssen sie die folgenden Schritte ausführen, um CBA mit Ihrem Unternehmenszertifikat in ihren Befehlszeilentools zu aktivieren.
Die folgenden Befehlszeilentools werden unterstützt:
Google Cloud CLI
Terraform-Befehlszeile (die gcloud CLI ist weiterhin erforderlich, um Hilfskomponenten zu installieren und zu konfigurieren.)
Da die Gerätezertifikate in nativen Schlüsselspeichern gespeichert werden, wird die Google Cloud CLI mit einer Open-Source-Komponente namens Enterprise Certificate Proxy (ECP) gebündelt, um mit Key Management APIs zu interagieren.
Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.
Die folgenden Betriebssysteme und ihre jeweiligen nativen Schlüsselspeicher werden unterstützt:
macOS mit Schlüsselbund
Microsoft Windows mit CryptoAPI
Linux mit PKCS #11
ECP muss mit den erforderlichen Metadateninformationen konfiguriert werden, um das Zertifikat in den Schlüsselspeichern zu finden.
ECP mit der Google Cloud CLI installieren und konfigurieren
Installieren Sie die Google Cloud CLI und aktivieren Sie CBA. Mit aktivierter Option
bundled python
installieren.Führen Sie unter macOS und Linux das Skript
install.sh
nach dem Download aus:$ ./google-cloud-sdk/install.sh
Installieren Sie die ECP-Hilfskomponente mit der Google Cloud CLI:
gcloud components install enterprise-certificate-proxy
Initialisieren Sie die Konfiguration des ECP-Zertifikats mit der Google Cloud CLI:
Linux
$ gcloud auth enterprise-certificate-config create linux
--label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>
Beispiel:
$ gcloud auth enterprise-certificate-config create linux
--label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567
macOS
$ gcloud auth enterprise-certificate-config create macos
--issuer=<CERT_ISSUER>
Beispiel:
$ gcloud auth enterprise-certificate-config create macos
--issuer="Google Endpoint Verification"
Windows
$ gcloud auth enterprise-certificate-config create windows
--issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>
Beispiel:
$ gcloud auth enterprise-certificate-config create windows
--issuer="Google Endpoint Verification" --provider=current_user --store=MY
Die ECP-Konfiguration kann auch manuell konfiguriert werden. Es wird als JSON-Datei an folgendem Speicherort auf dem Gerät des Nutzers gespeichert:
Linux und macOS:
~/.config/gcloud/certificate_config.json
Windows:
%APPDATA%\gcloud\certificate_config.json
Weitere Beispiele für Konfiguration und Schema finden Sie in der ECP-Dokumentation auf GitHub.
Linux
{
"cert_configs": {
"pkcs11": {
"label": "<CERT_LABEL>",
"slot": "<SLOT_ID>",
"module": "<PKCS11_MODULE_PATH>"
}
},
"libs": {
"ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
"ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
"tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
}
}
macOS
{
"cert_configs": {
"macos_keychain": {
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
"ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
"tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
}
}
Windows
{
"cert_configs": {
"windows_store": {
"store": "MY",
"provider": "current_user",
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
"ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
"tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
}
}
Nach dieser Konfiguration können Nutzer mithilfe von Befehlszeilentools auf geschützte Google Cloud-Ressourcen zugreifen, indem sie das CBA-Flag aktivieren.
Legen Sie das Attribut context_aware/use_client_certificate
auf true
fest, um CBA für die Google Cloud CLI zu aktivieren.
Wenn Sie die CBA für alle anderen Befehlszeilentools, einschließlich Terraform, aktivieren möchten, legen Sie die Umgebungsvariable GOOGLE_API_USE_CLIENT_CERTIFICATE
auf true
fest.