Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat perusahaan Anda.
Jika tidak memiliki Infrastruktur Kunci Publik (PKI), Anda dapat menggunakan sertifikat yang disediakan oleh Verifikasi Endpoint.
Persyaratan penting dari model akses zero trust adalah hanya mengizinkan akses ke perangkat yang diberi otorisasi. CBA Akses Kontekstual menggunakan sertifikat dan kunci pribadinya yang disimpan di keystore yang aman di perangkat untuk menentukan apakah perangkat tersebut diizinkan. Untuk mengaktifkan fitur ini, selesaikan prosedur berikut.
Sebelum memulai
Pastikan Anda telah membuat tingkat akses CBA untuk Google Cloud project Anda. Jika Anda perlu membuat tingkat akses, lihat Membuat tingkat akses untuk akses berbasis sertifikat.
Pastikan Anda menerapkan CBA pada resource Google Cloud menggunakan salah satu metode berikut:
(Direkomendasikan) Terapkan akses berbasis sertifikat dengan kebijakan Akses Kontekstual: Konfigurasi aturan seputar pengguna.
Terapkan akses berbasis sertifikat dengan Kontrol Layanan VPC: Konfigurasi aturan terkait data.
Saat Anda menerapkan CBA pada resource Google Cloud , akses ke resourceGoogle Cloud Anda memerlukan pengguna yang berwenang untuk juga memberikan sertifikat perangkat yang valid.
Mengupload trust anchor
Untuk mengizinkan Akses Kontekstual mengumpulkan dan memvalidasi sertifikat perusahaan perangkat, Anda harus mengupload trust anchor yang digunakan untuk menerbitkan sertifikat perangkat. Trust anchor adalah sertifikat CA root yang ditandatangani sendiri dan sertifikat perantara dan bawahan yang relevan. Untuk mengupload anchor tepercaya, selesaikan langkah-langkah berikut:
Di konsol Google Admin, buka Perangkat > Jaringan > Sertifikat, lalu pilih unit organisasi yang akan diupload anchor kepercayaannya. Pastikan unit organisasi yang Anda pilih berisi pengguna yang ingin Anda beri akses.
Pilih Tambahkan Sertifikat, lalu masukkan nama untuk sertifikat root Anda.
Klik Upload untuk mengupload sertifikat.
Pilih Aktifkan Verifikasi Endpoint, lalu klik Tambahkan.
Sertifikat yang akan diupload harus berupa sertifikat CA, yang merupakan penerbit sertifikat klien yang diinstal di perangkat perusahaan Anda. Jika perusahaan Anda belum memiliki sertifikat CA dan sertifikat klien yang sesuai, Anda dapat membuatnya melalui Google Cloud Certificate Authority Service. Langkah-langkah untuk menginstal sertifikat klien ke keystore native berbeda untuk setiap sistem operasi dan berada di luar cakupan dokumen ini.
Mengonfigurasi browser Chrome pengguna untuk menggunakan sertifikat perusahaan Anda
Ikuti petunjuk di Menyiapkan Verifikasi Endpoint untuk menginstal ekstensi Verifikasi Endpoint untuk Chrome bagi semua pengguna di organisasi Anda. Ekstensi ini digunakan untuk menyinkronkan metadata sertifikat ke backend Google Cloud'.
Setelah menyiapkan ekstensi browser, konfigurasi AutoSelectCertificateForURLs
kebijakan Chrome untuk
mengizinkan Verifikasi Endpoint menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.
Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome:
Di konsol Admin, tambahkan kebijakan
AutoSelectCertificateForUrls
:Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
Pilih unit organisasi yang sesuai.
Tambahkan kebijakan.
Contoh berikut menambahkan kebijakan
AutoSelectCertificateForUrls
:{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
Dalam contoh ini,
CERT_ISSUER
adalah nama umum sertifikat CA Anda.
Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi
dengan browser Chrome di console-secure.cloud.google.com
.
Memverifikasi konfigurasi kebijakan (opsional)
Di browser Chrome, masukkan
chrome://policy
.Pastikan
AutoSelectCertificateForUrls
tercantum di bagian Kebijakan Chrome.Pastikan nilai untuk Berlaku untuk adalah Perangkat. Di sistem operasi Chrome, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
Pastikan Status untuk kebijakan tidak memiliki Konflik. Jika statusnya mengalami konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mengetahui informasinya.
Mengonfigurasi alat command line untuk menggunakan sertifikat perusahaan Anda
Jika pengguna di organisasi Anda perlu mengakses Google Cloud resource dari command line, mereka harus menyelesaikan prosedur berikut untuk mengaktifkan CBA dengan sertifikat perusahaan di alat command line mereka.
Alat command line berikut didukung:
Google Cloud CLI
Terraform CLI (gcloud CLI masih diperlukan untuk menginstal dan mengonfigurasi komponen pendukung.)
Karena sertifikat perangkat disimpan di keystore native, Google Cloud CLI dibundel dengan komponen open source yang disebut Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.
Jika menggunakan sistem Windows, Anda harus menginstal library runtime C++ Visual Studio.
Sistem operasi berikut dan keystore native masing-masing didukung:
macOS dengan Keychain
Microsoft Windows dengan CryptoAPI
Linux dengan PKCS #11
ECP harus dikonfigurasi dengan informasi metadata yang diperlukan untuk menemukan sertifikat di keystore.
Menginstal dan mengonfigurasi ECP dengan Google Cloud CLI
Instal Google Cloud CLI dan aktifkan CBA. Instal dengan opsi
bundled python
diaktifkan.Untuk macOS dan Linux, jalankan skrip
install.sh
setelah mendownloadnya:$ ./google-cloud-sdk/install.sh
Instal komponen helper ECP dengan Google Cloud CLI:
gcloud components install enterprise-certificate-proxy
Lakukan inisialisasi konfigurasi sertifikat ECP dengan Google Cloud CLI:
Linux
$ gcloud auth enterprise-certificate-config create linux
--label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>
Contoh:
$ gcloud auth enterprise-certificate-config create linux
--label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567
macOS
$ gcloud auth enterprise-certificate-config create macos
--issuer=<CERT_ISSUER>
Contoh:
$ gcloud auth enterprise-certificate-config create macos
--issuer="Google Endpoint Verification"
Windows
$ gcloud auth enterprise-certificate-config create windows
--issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>
Contoh:
$ gcloud auth enterprise-certificate-config create windows
--issuer="Google Endpoint Verification" --provider=current_user --store=MY
Konfigurasi ECP juga dapat dikonfigurasi secara manual. File ini disimpan sebagai file JSON di lokasi berikut di perangkat pengguna:
Linux dan macOS:
~/.config/gcloud/certificate_config.json
Windows:
%APPDATA%\gcloud\certificate_config.json
Lihat dokumentasi ECP di GitHub untuk contoh tambahan konfigurasi dan skema.
Linux
{
"cert_configs": {
"pkcs11": {
"label": "<CERT_LABEL>",
"slot": "<SLOT_ID>",
"module": "<PKCS11_MODULE_PATH>"
}
},
"libs": {
"ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
"ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
"tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
}
}
macOS
{
"cert_configs": {
"macos_keychain": {
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
"ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
"tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
}
}
Windows
{
"cert_configs": {
"windows_store": {
"store": "MY",
"provider": "current_user",
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
"ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
"tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
}
}
Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi menggunakan alat command line dengan mengaktifkan flag CBA.
Untuk mengaktifkan CBA bagi Google Cloud CLI, tetapkan properti context_aware/use_client_certificate
ke true
.
Untuk mengaktifkan CBA bagi semua alat command line lainnya, termasuk Terraform, setel variabel lingkungan GOOGLE_API_USE_CLIENT_CERTIFICATE
ke true
.