Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat perusahaan Anda.
Jika tidak memiliki Infrastruktur Kunci Publik (PKI), Anda dapat menggunakan sertifikat yang disediakan oleh Verifikasi Endpoint.
Persyaratan penting dari model akses zero-trust adalah hanya mengizinkan akses ke perangkat yang diotorisasi. CBA akses kontekstual menggunakan sertifikat dan kunci pribadinya yang disimpan di keystore aman di perangkat untuk menentukan apakah perangkat diotorisasi. Untuk mengaktifkan fitur ini, selesaikan prosedur berikut.
Sebelum memulai
Pastikan Anda telah membuat tingkat akses CBA untuk project Google Cloud . Jika Anda perlu membuat tingkat akses, lihat Membuat tingkat akses untuk akses berbasis sertifikat.
Pastikan Anda menerapkan CBA pada resource Google Cloud menggunakan salah satu metode berikut:
(Direkomendasikan) Menerapkan akses berbasis sertifikat dengan kebijakan akses kontekstual: Mengonfigurasi aturan seputar pengguna.
Menerapkan akses berbasis sertifikat dengan Kontrol Layanan VPC: Mengonfigurasi aturan seputar data.
Saat Anda menerapkan CBA pada resource Google Cloud , pengguna yang diberi otorisasi juga harus menunjukkan sertifikat perangkat yang valid untuk mengakses resource Google Cloud .
Mengupload trust anchor
Untuk mengizinkan akses kontekstual mengumpulkan dan memvalidasi sertifikat perusahaan perangkat, Anda harus mengupload anchor kepercayaan yang digunakan untuk menerbitkan sertifikat perangkat. Anchor kepercayaan adalah sertifikat CA root yang ditandatangani sendiri dan sertifikat perantara dan bawahan yang relevan. Untuk mengupload anchor kepercayaan, selesaikan langkah-langkah berikut:
Di konsol Google Admin, buka Perangkat > Jaringan > Sertifikat, lalu pilih unit organisasi yang akan digunakan untuk mengupload anchor kepercayaan. Pastikan unit organisasi yang Anda pilih berisi pengguna yang ingin Anda beri akses.
Pilih Tambahkan Sertifikat, lalu masukkan nama untuk root certificate Anda.
Klik Upload untuk mengupload sertifikat.
Pilih Aktifkan Verifikasi Endpoint, lalu klik Tambahkan.
Sertifikat yang akan diupload harus berupa sertifikat CA, yang merupakan penerbit sertifikat klien yang diinstal di perangkat perusahaan Anda. Jika perusahaan Anda belum memiliki sertifikat CA dan sertifikat klien yang sesuai, Anda dapat membuatnya melalui Google Cloud Layanan Certificate Authority. Langkah-langkah untuk menginstal sertifikat klien ke keystore native berbeda untuk setiap sistem operasi dan berada di luar cakupan dokumen ini.
Mengonfigurasi browser Chrome pengguna untuk menggunakan sertifikat perusahaan Anda
Ikuti petunjuk di Menyiapkan Verifikasi Endpoint untuk menginstal ekstensi Verifikasi Endpoint untuk Chrome bagi semua pengguna di organisasi Anda. Ekstensi ini digunakan untuk menyinkronkan metadata sertifikat ke backend Google Cloud.
Setelah Anda menyiapkan ekstensi browser, konfigurasikan kebijakan Chrome AutoSelectCertificateForURLs
untuk
memungkinkan Verifikasi Endpoint menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.
Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome:
Di konsol Admin, tambahkan kebijakan
AutoSelectCertificateForUrls
:Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
Pilih unit organisasi yang sesuai.
Tambahkan kebijakan.
Contoh berikut menambahkan kebijakan
AutoSelectCertificateForUrls
:{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
Dalam contoh,
CERT_ISSUER
adalah nama umum sertifikat CA Anda.
Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi
dengan browser Chrome di console-secure.cloud.google.com
.
Memverifikasi konfigurasi kebijakan (opsional)
Di browser Chrome, masukkan
chrome://policy
.Pastikan
AutoSelectCertificateForUrls
tercantum di bagian Kebijakan Chrome.Pastikan nilai untuk Berlaku untuk adalah Perangkat. Di sistem operasi Chrome, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
Pastikan Status untuk kebijakan tidak memiliki Konflik. Jika statusnya memang memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mengetahui informasinya.
Mengonfigurasi alat command line untuk menggunakan sertifikat perusahaan Anda
Jika pengguna di organisasi Anda perlu mengakses Google Cloud resource dari command line, mereka harus menyelesaikan prosedur berikut untuk mengaktifkan CBA dengan sertifikat perusahaan Anda di alat command line mereka.
Alat command line berikut didukung:
Google Cloud CLI
Terraform CLI (gcloud CLI masih diperlukan untuk menginstal dan mengonfigurasi komponen helper.)
Karena sertifikat perangkat disimpan di keystore native, Google Cloud CLI dipaketkan dengan komponen open source yang disebut Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.
Jika menggunakan sistem Windows, Anda harus menginstal library runtime Visual Studio C++.
Sistem operasi berikut dan keystore native masing-masing didukung:
macOS dengan Keychain
Microsoft Windows dengan CryptoAPI
Linux dengan PKCS #11
ECP harus dikonfigurasi dengan informasi metadata yang diperlukan untuk menemukan sertifikat di keystore.
Menginstal dan mengonfigurasi ECP dengan Google Cloud CLI
Instal Google Cloud CLI dan aktifkan CBA. Instal dengan opsi
bundled python
diaktifkan.Untuk macOS dan Linux, jalankan skrip
install.sh
setelah mendownloadnya:$ ./google-cloud-sdk/install.sh
Instal komponen helper ECP dengan Google Cloud CLI:
gcloud components install enterprise-certificate-proxy
Lakukan inisialisasi konfigurasi sertifikat ECP dengan Google Cloud CLI:
Linux
$ gcloud auth enterprise-certificate-config create linux
--label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>
Contoh:
$ gcloud auth enterprise-certificate-config create linux
--label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567
macOS
$ gcloud auth enterprise-certificate-config create macos
--issuer=<CERT_ISSUER>
Contoh:
$ gcloud auth enterprise-certificate-config create macos
--issuer="Google Endpoint Verification"
Windows
$ gcloud auth enterprise-certificate-config create windows
--issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>
Contoh:
$ gcloud auth enterprise-certificate-config create windows
--issuer="Google Endpoint Verification" --provider=current_user --store=MY
Konfigurasi ECP juga dapat dikonfigurasi secara manual. File ini disimpan sebagai file JSON di lokasi berikut di perangkat pengguna:
Linux dan macOS:
~/.config/gcloud/certificate_config.json
Windows:
%APPDATA%\gcloud\certificate_config.json
Lihat dokumentasi ECP di GitHub untuk contoh tambahan konfigurasi dan skema.
Linux
{
"cert_configs": {
"pkcs11": {
"label": "<CERT_LABEL>",
"slot": "<SLOT_ID>",
"module": "<PKCS11_MODULE_PATH>"
}
},
"libs": {
"ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
"ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
"tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
}
}
macOS
{
"cert_configs": {
"macos_keychain": {
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
"ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
"tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
}
}
Windows
{
"cert_configs": {
"windows_store": {
"store": "MY",
"provider": "current_user",
"issuer": "<CERT_ISSUER>"
}
},
"libs": {
"ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
"ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
"tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
}
}
Setelah konfigurasi ini, pengguna dapat mengakses resource Google Cloud yang dilindungi menggunakan alat command line dengan mengaktifkan flag CBA.
Untuk mengaktifkan CBA untuk Google Cloud CLI, tetapkan properti context_aware/use_client_certificate
ke true
.
Untuk mengaktifkan CBA bagi semua alat command line lainnya, termasuk Terraform, tetapkan
variabel lingkungan GOOGLE_API_USE_CLIENT_CERTIFICATE
ke true
.