Activer l'accès basé sur des certificats avec vos certificats d'entreprise

Cette page explique comment activer l'accès basé sur les certificats avec vos certificats d'entreprise.

Si vous ne disposez pas d'une infrastructure à clé publique (PKI), vous pouvez utiliser les certificats provisionnés par la validation des points de terminaison.

Une exigence importante du modèle d'accès zéro confiance est de n'autoriser l'accès qu'aux appareils autorisés. L'accès contextuel utilise des certificats et leurs clés privées stockées dans un keystore sécurisé sur l'appareil pour déterminer si l'appareil est autorisé. Pour activer cette fonctionnalité, procédez comme suit.

Avant de commencer

Assurez-vous d'avoir créé des niveaux d'accès CBA pour votre Google Cloud projet. Si vous devez créer des niveaux d'accès, consultez Créer des niveaux d'accès pour l'accès basé sur les certificats.

Assurez-vous d'appliquer la CBA à vos ressources Google Cloud à l'aide de l'une des méthodes suivantes:

• (Recommandé) Appliquer un accès basé sur les certificats avec des règles d'accès contextuelles : configurez des règles concernant les utilisateurs.

• Appliquer un accès basé sur les certificats avec VPC Service Controls : configurez des règles concernant les données.

Lorsque vous appliquez le CBA à vos ressources Google Cloud , un utilisateur autorisé doit également présenter un certificat d'appareil valide pour accéder à vos ressourcesGoogle Cloud .

Importer les ancres de confiance

Pour autoriser l'accès contextuel à collecter et valider le certificat d'entreprise d'un appareil, vous devez importer les points d'ancrage de confiance utilisés pour émettre le certificat de l'appareil. Les ancres de confiance sont le certificat racine autosigné de l'autorité de certification et les certificats intermédiaires et subordonnés pertinents. Pour importer les ancrages de confiance, procédez comme suit:

1. Dans la console d'administration Google, accédez à Appareils > Réseaux > Certificats, puis sélectionnez l'unité organisationnelle pour laquelle importer les points d'ancrage de confiance. Assurez-vous que l'unité organisationnelle que vous sélectionnez contient les utilisateurs auxquels vous souhaitez accorder l'accès.

2. Sélectionnez Ajouter un certificat, puis attribuez un nom à votre certificat racine.

3. Cliquez sur Importer pour importer le certificat.

4. Sélectionnez Activer la validation des points de terminaison, puis cliquez sur Ajouter.

Le certificat à importer doit être le certificat de l'autorité de certification, qui est l'émetteur des certificats client installés sur vos appareils professionnels. Si votre entreprise ne dispose pas encore d'un certificat d'autorité de certification et des certificats client correspondants, vous pouvez les créer via le Google Cloud service d'autorité de certification. La procédure d'installation des certificats client dans les keystores natifs est différente pour chaque système d'exploitation et n'entre pas dans le champ d'application de ce document.

Configurer le navigateur Chrome des utilisateurs pour qu'il utilise votre certificat d'entreprise

Suivez les instructions de la section Configurer la validation des points de terminaison pour installer l'extension Endpoint Verification pour Chrome pour tous les utilisateurs de votre organisation. Cette extension permet de synchroniser les métadonnées de certificat avec le backend de Google Cloud.

Après avoir configuré l'extension du navigateur, configurez la règle Chrome AutoSelectCertificateForURLs pour autoriser Endpoint Verification à rechercher le certificat de l'appareil et à le collecter via Chrome.

1. Assurez-vous que le navigateur Chrome des utilisateurs est géré par la gestion cloud du navigateur Chrome:

   • Configurer la gestion cloud du navigateur Chrome

2. Dans la console d'administration, ajoutez la règle AutoSelectCertificateForUrls:

   1. Accédez à Appareils > Chrome > Paramètres > Paramètres des utilisateurs et du navigateur > Certificats client.

   2. Sélectionnez l'unité organisationnelle appropriée.

   3. Ajoutez une règle.

      L'exemple suivant ajoute la stratégie AutoSelectCertificateForUrls:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Dans l'exemple, CERT_ISSUER est le nom commun de votre certificat d'autorité de certification.

Après cette configuration, les utilisateurs peuvent accéder aux ressources Google Cloud protégées avec le navigateur Chrome sur console-secure.cloud.google.com.

Vérifier la configuration des règles (facultatif)

1. Dans le navigateur Chrome, saisissez chrome://policy.

2. Vérifiez que AutoSelectCertificateForUrls est listé sous Règles Chrome.

3. Vérifiez que la valeur de S'applique à est Machine. Sur le système d'exploitation Chrome, la valeur de S'applique à est Utilisateur actuel.

4. Assurez-vous que l'état Status (État) de la règle n'indique pas Conflict (Conflit). Si l'état présente un conflit, consultez Fonctionnement de la gestion des règles Chrome pour en savoir plus.

Configurer les outils de ligne de commande pour qu'ils utilisent votre certificat d'entreprise

Si les utilisateurs de votre organisation doivent accéder aux ressources Google Cloud à partir de la ligne de commande, ils doivent suivre les procédures suivantes pour activer la CBA avec votre certificat d'entreprise dans leurs outils de ligne de commande.

Les outils de ligne de commande suivants sont compatibles:

• Google Cloud CLI

• CLI Terraform (la CLI gcloud est toujours nécessaire pour installer et configurer les composants d'assistance.)

Étant donné que les certificats de l'appareil sont stockés dans des keystores natifs, la CLI Google Cloud est fournie avec un composant Open Source appelé Enterprise Certificate Proxy (ECP) pour interagir avec les API de gestion des clés.

Si vous utilisez un système Windows, vous devez avoir installé la bibliothèque d'exécution Visual Studio C++.

Les systèmes d'exploitation suivants et leurs keystores natifs respectifs sont compatibles:

• macOS avec Keychain

• Microsoft Windows avec CryptoAPI

• Linux avec PKCS #11

L'ECP doit être configuré avec les informations de métadonnées nécessaires pour localiser le certificat dans les keystores.

Installer et configurer ECP avec la Google Cloud CLI

1. Installez la Google Cloud CLI et activez la CBA. Installez avec l'option bundled python activée.

2. Pour macOS et Linux, exécutez le script install.sh après l'avoir téléchargé:

   $ ./google-cloud-sdk/install.sh
   

3. Installez le composant d'assistance ECP avec la Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. Initialisez la configuration du certificat ECP avec la Google Cloud CLI:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Vous pouvez également configurer manuellement la configuration ECP. Il est stocké sous forme de fichier JSON à l'emplacement suivant sur l'appareil de l'utilisateur:

• Linux et macOS : ~/.config/gcloud/certificate_config.json

• Windows : %APPDATA%\gcloud\certificate_config.json

Pour obtenir d'autres exemples de configuration et de schéma, consultez la documentation de l'ECP sur GitHub.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Après cette configuration, les utilisateurs peuvent accéder aux ressources Google Cloud protégées à l'aide d'outils de ligne de commande en activant l'indicateur CBA.

Pour activer la CBA pour Google Cloud CLI, définissez la propriété context_aware/use_client_certificate sur true.

Pour activer la CBA pour tous les autres outils de ligne de commande, y compris Terraform, définissez la variable d'environnement GOOGLE_API_USE_CLIENT_CERTIFICATE sur true.

Étape suivante

• Présentation de l'accès basé sur les certificats

• Comprendre le protocole TLS mutuel dans Google Cloud