Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat perusahaan Anda.
Persyaratan penting dari model akses zero-trust adalah hanya mengizinkan akses ke perangkat yang diizinkan. CBA BeyondCorp Enterprise menggunakan sertifikat dan kunci pribadinya yang disimpan di keystore aman pada perangkat untuk menentukan apakah perangkat diotorisasi atau tidak. Untuk mengaktifkan fitur ini, selesaikan prosedur berikut.
Sebelum memulai
Pastikan Anda telah membuat tingkat akses CBA untuk project Google Cloud. Jika Anda perlu membuat tingkat akses, lihat Membuat tingkat akses untuk akses berbasis sertifikat.
Pastikan Anda menerapkan CBA di resource Google Cloud menggunakan salah satu metode berikut:
Terapkan akses berbasis sertifikat dengan Kontrol Layanan VPC: Konfigurasikan aturan seputar data.
Terapkan akses berbasis sertifikat dengan grup pengguna: Mengonfigurasi aturan seputar pengguna.
Saat menerapkan CBA di resource Google Cloud, mengakses resource Google Cloud mengharuskan pengguna yang diotorisasi untuk menunjukkan sertifikat perangkat yang valid.
Mengupload trust anchor
Agar BeyondCorp Enterprise dapat mengumpulkan dan memvalidasi sertifikat perusahaan perangkat, Anda harus mengupload trust anchor yang digunakan untuk menerbitkan sertifikat perangkat. Anchor kepercayaan adalah sertifikat root CA yang ditandatangani sendiri serta sertifikat perantara dan bawahan yang relevan. Untuk mengupload trust anchor, selesaikan langkah-langkah berikut:
Di konsol Google Admin, buka Perangkat > Jaringan > Sertifikat, lalu pilih unit organisasi yang akan mengupload trust anchor. Pastikan unit organisasi yang Anda pilih berisi pengguna yang ingin Anda berikan aksesnya.
Pilih Add Certificate, lalu masukkan nama untuk root certificate Anda.
Klik Upload untuk mengupload sertifikat.
Pilih Aktifkan Verifikasi Endpoint, lalu klik Tambahkan.
Sertifikat yang akan diupload harus berupa sertifikat CA, yang merupakan penerbit sertifikat klien yang diinstal di perangkat perusahaan Anda. Jika perusahaan Anda belum memiliki sertifikat CA dan sertifikat klien yang sesuai, Anda dapat membuatnya melalui Certificate Authority Service Google Cloud. Langkah-langkah untuk menginstal sertifikat klien ke keystore native berbeda untuk setiap sistem operasi dan berada di luar cakupan dokumen ini.
Mengonfigurasi browser Chrome pengguna untuk menggunakan sertifikat perusahaan Anda
Ikuti petunjuk di bagian Menyiapkan Verifikasi Endpoint untuk menginstal ekstensi Verifikasi Endpoint untuk Chrome bagi semua pengguna di organisasi Anda. Ekstensi ini digunakan untuk menyinkronkan metadata sertifikat ke backend Google Cloud.
Setelah Anda menyiapkan ekstensi browser, konfigurasikan kebijakan Chrome AutoSelectCertificateForURLs untuk
mengizinkan Verifikasi Endpoint menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.
Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome:
Di konsol Admin, tambahkan kebijakan
AutoSelectCertificateForUrls:Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
Pilih unit organisasi yang sesuai.
Tambahkan kebijakan.
Contoh berikut menambahkan kebijakan
AutoSelectCertificateForUrls:{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}Dalam contoh,
CERT_ISSUERadalah nama umum sertifikat CA Anda.
Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi
dengan browser Chrome di console-secure.cloud.google.com.
Memverifikasi konfigurasi kebijakan (opsional)
Di browser Chrome, masukkan
chrome://policy.Pastikan
AutoSelectCertificateForUrlstercantum di bagian Kebijakan Chrome.Pastikan nilai untuk Berlaku untuk adalah Machine. Pada sistem operasi Chrome, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
Pastikan Status untuk kebijakan tidak memiliki Konflik. Jika statusnya memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mendapatkan informasinya.
Mengonfigurasi alat command line untuk menggunakan sertifikat perusahaan
Jika pengguna di organisasi Anda perlu mengakses resource Google Cloud dari command line, mereka harus menyelesaikan prosedur berikut untuk mengaktifkan CBA dengan sertifikat perusahaan Anda di alat command line.
Alat command line berikut ini didukung:
Google Cloud CLI
Terraform CLI (gcloud CLI masih diperlukan untuk menginstal dan mengonfigurasi komponen helper).
Karena sertifikat perangkat disimpan dalam keystore native, Google Cloud CLI dipaketkan dengan komponen open source yang disebut Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.
Jika menggunakan sistem Windows, Anda harus menginstal library runtime Visual Studio C++.
Sistem operasi berikut dan keystore native masing-masing didukung:
macOS dengan Keychain
Microsoft Windows dengan CryptoAPI
Linux dengan PKCS #11
ECP harus dikonfigurasi dengan informasi metadata yang diperlukan untuk menemukan sertifikat di keystore.
Menginstal dan mengonfigurasi ECP dengan Google Cloud CLI
Instal Google Cloud CLI dan aktifkan CBA. Instal dengan opsi
bundled pythondiaktifkan.Untuk macOS dan Linux, jalankan skrip
install.shsetelah mendownloadnya:$ ./google-cloud-sdk/install.shInstal komponen helper ECP dengan Google Cloud CLI:
gcloud components install enterprise-certificate-proxyLakukan inisialisasi konfigurasi sertifikat ECP dengan Google Cloud CLI:
Linux
$ gcloud auth enterprise-certificate-config create linux
--label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>
Contoh:
$ gcloud auth enterprise-certificate-config create linux
--label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567
macOS
$ gcloud auth enterprise-certificate-config create macos
--issuer=<CERT_ISSUER>
Contoh:
$ gcloud auth enterprise-certificate-config create macos
--issuer="Google Endpoint Verification"
Windows
$ gcloud auth enterprise-certificate-config create windows
--issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>
Contoh:
$ gcloud auth enterprise-certificate-config create windows
--issuer="Google Endpoint Verification" --provider=current_user --store=MY
Konfigurasi ECP juga dapat dikonfigurasi secara manual. File ini disimpan sebagai file JSON di lokasi berikut pada perangkat pengguna:
Linux dan macOS:
~/.config/gcloud/certificate_config.jsonWindows:
%APPDATA%\gcloud\certificate_config.json
Lihat dokumentasi EPC di GitHub untuk mengetahui contoh konfigurasi dan skema lainnya.
Linux
{
"cert_configs": {
"pkcs11": {
"label": "<CERT_LABEL>",
"slot": "<SLOT_ID>",
"module": "<PKCS11_MODULE_PATH>"
}
},
"libs": {
"ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
"ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
"tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
}
}
macOS
{
"cert_configs": {
"macos_keychain": {
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
"ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
"tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
}
}
Windows
{
"cert_configs": {
"windows_store": {
"store": "MY",
"provider": "current_user",
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
"ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
"tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
}
}
Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi menggunakan alat command line dengan mengaktifkan flag CBA.
Guna mengaktifkan CBA untuk Google Cloud CLI, tetapkan properti context_aware/use_client_certificate ke true.
Guna mengaktifkan CBA untuk semua alat command line lainnya, termasuk Terraform, tetapkan variabel lingkungan GOOGLE_API_USE_CLIENT_CERTIFICATE ke true.