Mengaktifkan akses berbasis sertifikat dengan sertifikat perusahaan Anda

Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat perusahaan Anda.

Jika tidak memiliki Infrastruktur Kunci Publik (PKI), Anda dapat menggunakan sertifikat yang disediakan oleh Verifikasi Endpoint.

Persyaratan penting dari model akses zero-trust adalah hanya mengizinkan akses ke perangkat yang diotorisasi. CBA akses kontekstual menggunakan sertifikat dan kunci pribadinya yang disimpan di keystore aman di perangkat untuk menentukan apakah perangkat diotorisasi. Untuk mengaktifkan fitur ini, selesaikan prosedur berikut.

Sebelum memulai

Pastikan Anda telah membuat tingkat akses CBA untuk project Google Cloud . Jika Anda perlu membuat tingkat akses, lihat Membuat tingkat akses untuk akses berbasis sertifikat.

Pastikan Anda menerapkan CBA pada resource Google Cloud menggunakan salah satu metode berikut:

Saat Anda menerapkan CBA pada resource Google Cloud , pengguna yang diberi otorisasi juga harus menunjukkan sertifikat perangkat yang valid untuk mengakses resource Google Cloud .

Mengupload trust anchor

Untuk mengizinkan akses kontekstual mengumpulkan dan memvalidasi sertifikat perusahaan perangkat, Anda harus mengupload anchor kepercayaan yang digunakan untuk menerbitkan sertifikat perangkat. Anchor kepercayaan adalah sertifikat CA root yang ditandatangani sendiri dan sertifikat perantara dan bawahan yang relevan. Untuk mengupload anchor kepercayaan, selesaikan langkah-langkah berikut:

  1. Di konsol Google Admin, buka Perangkat > Jaringan > Sertifikat, lalu pilih unit organisasi yang akan digunakan untuk mengupload anchor kepercayaan. Pastikan unit organisasi yang Anda pilih berisi pengguna yang ingin Anda beri akses.

  2. Pilih Tambahkan Sertifikat, lalu masukkan nama untuk root certificate Anda.

  3. Klik Upload untuk mengupload sertifikat.

  4. Pilih Aktifkan Verifikasi Endpoint, lalu klik Tambahkan.

Sertifikat yang akan diupload harus berupa sertifikat CA, yang merupakan penerbit sertifikat klien yang diinstal di perangkat perusahaan Anda. Jika perusahaan Anda belum memiliki sertifikat CA dan sertifikat klien yang sesuai, Anda dapat membuatnya melalui Google Cloud Layanan Certificate Authority. Langkah-langkah untuk menginstal sertifikat klien ke keystore native berbeda untuk setiap sistem operasi dan berada di luar cakupan dokumen ini.

Mengonfigurasi browser Chrome pengguna untuk menggunakan sertifikat perusahaan Anda

Ikuti petunjuk di Menyiapkan Verifikasi Endpoint untuk menginstal ekstensi Verifikasi Endpoint untuk Chrome bagi semua pengguna di organisasi Anda. Ekstensi ini digunakan untuk menyinkronkan metadata sertifikat ke backend Google Cloud.

Setelah Anda menyiapkan ekstensi browser, konfigurasikan kebijakan Chrome AutoSelectCertificateForURLs untuk memungkinkan Verifikasi Endpoint menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.

  1. Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome:

  2. Di konsol Admin, tambahkan kebijakan AutoSelectCertificateForUrls:

    1. Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.

    2. Pilih unit organisasi yang sesuai.

    3. Tambahkan kebijakan.

      Contoh berikut menambahkan kebijakan AutoSelectCertificateForUrls:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Dalam contoh, CERT_ISSUER adalah nama umum sertifikat CA Anda.

Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi dengan browser Chrome di console-secure.cloud.google.com.

Memverifikasi konfigurasi kebijakan (opsional)

  1. Di browser Chrome, masukkan chrome://policy.

  2. Pastikan AutoSelectCertificateForUrls tercantum di bagian Kebijakan Chrome.

  3. Pastikan nilai untuk Berlaku untuk adalah Perangkat. Di sistem operasi Chrome, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.

  4. Pastikan Status untuk kebijakan tidak memiliki Konflik. Jika statusnya memang memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mengetahui informasinya.

Mengonfigurasi alat command line untuk menggunakan sertifikat perusahaan Anda

Jika pengguna di organisasi Anda perlu mengakses Google Cloud resource dari command line, mereka harus menyelesaikan prosedur berikut untuk mengaktifkan CBA dengan sertifikat perusahaan Anda di alat command line mereka.

Alat command line berikut didukung:

  • Google Cloud CLI

  • Terraform CLI (gcloud CLI masih diperlukan untuk menginstal dan mengonfigurasi komponen helper.)

Karena sertifikat perangkat disimpan di keystore native, Google Cloud CLI dipaketkan dengan komponen open source yang disebut Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.

Jika menggunakan sistem Windows, Anda harus menginstal library runtime Visual Studio C++.

Sistem operasi berikut dan keystore native masing-masing didukung:

  • macOS dengan Keychain

  • Microsoft Windows dengan CryptoAPI

  • Linux dengan PKCS #11

ECP harus dikonfigurasi dengan informasi metadata yang diperlukan untuk menemukan sertifikat di keystore.

Menginstal dan mengonfigurasi ECP dengan Google Cloud CLI

  1. Instal Google Cloud CLI dan aktifkan CBA. Instal dengan opsi bundled python diaktifkan.

  2. Untuk macOS dan Linux, jalankan skrip install.sh setelah mendownloadnya:

    $ ./google-cloud-sdk/install.sh
    
  3. Instal komponen helper ECP dengan Google Cloud CLI:

    gcloud components install enterprise-certificate-proxy
    
  4. Lakukan inisialisasi konfigurasi sertifikat ECP dengan Google Cloud CLI:

Linux

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

Contoh:

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

macOS

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

Contoh:

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

Windows

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

Contoh:

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Konfigurasi ECP juga dapat dikonfigurasi secara manual. File ini disimpan sebagai file JSON di lokasi berikut di perangkat pengguna:

  • Linux dan macOS: ~/.config/gcloud/certificate_config.json

  • Windows: %APPDATA%\gcloud\certificate_config.json

Lihat dokumentasi ECP di GitHub untuk contoh tambahan konfigurasi dan skema.

Linux

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

macOS

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

Windows

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi menggunakan alat command line dengan mengaktifkan flag CBA.

Untuk mengaktifkan CBA untuk Google Cloud CLI, tetapkan properti context_aware/use_client_certificate ke true.

Untuk mengaktifkan CBA bagi semua alat command line lainnya, termasuk Terraform, tetapkan variabel lingkungan GOOGLE_API_USE_CLIENT_CERTIFICATE ke true.

Langkah selanjutnya