Zertifikatbasierten Zugriff mit Endpunktprüfungszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mit den für die Endpunktprüfung bereitgestellten Zertifikaten aktivieren.

Mit der Endpunktprüfung können Sie selbst signierte Zertifikate automatisch für ein Gerät bereitstellen. Mit bereitgestellten Zertifikaten für die Endpunktprüfung können Sie die CBA ohne PKI-Infrastruktur verwenden. Diese Zertifikate werden unter macOS im Schlüsselbund, unter Windows in Zertifikatspeichern und unter Linux in Dateisystemen gespeichert.

Wenn Sie eine PKI-Infrastruktur haben, lesen Sie den Abschnitt Zertifikatbasierte Authentifizierung mit Ihren Unternehmenszertifikaten aktivieren, um die CBA zu aktivieren.

Sie können bereitgestellte Zertifikate für die Endpunktprüfung auf den folgenden Betriebssystemen aktivieren:

• macOS und Windows mit dem Chrome-Browser
• macOS, Windows und Linux mit der Google Cloud CLI

Wenn Ihr Betriebssystem nicht aufgeführt ist, lesen Sie den Abschnitt Verwenden von Betriebssystemen, die nicht vollständig unterstützt werden.

Hinweise

Bevor Sie fortfahren, sollten Sie prüfen, ob die folgenden Anforderungen erfüllt sind:

• Sie haben Zugriffsebenen für die kontenbasierte Authentifizierung für Ihr Google Cloud Projekt erstellt.

• Sie können die CBA für Ihre Google Cloud Ressourcen mit einer der folgenden Methoden erzwingen:

  • (Empfohlen) Regeln für Nutzer konfigurieren, indem Sie zertifikatbasierten Zugriff mit Richtlinien für den kontextsensitiven Zugriff erzwingen.
  • Konfigurieren Sie Regeln für Daten, indem Sie mit VPC Service Controls den zertifikatbasierten Zugriff erzwingen.

• Sie sind berechtigt, den mTLS-Verbindungsprozess mit einem gültigen Clientzertifikat zu durchlaufen.

Endpunktprüfung einrichten

Folgen Sie der Anleitung, um die Chrome-Erweiterung „Endpunktprüfung“ auf allen Nutzergeräten in Ihrer Organisation zu installieren. Die Erweiterung stellt selbstsignierte Zertifikate auf Ihren Geräten bereit und synchronisiert Zertifikatsmetadaten mit Google Cloud.

Installieren Sie die Hilfsanwendung für die Endpunktprüfung. Diese App ist erforderlich, um die Endpunktprüfung mit der kontoübergreifenden Authentifizierung zu verwenden.

Chrome-Browser von Nutzern konfigurieren

Wenn Sie den Chrome-Browser von Nutzern so konfigurieren möchten, dass er für die Endpunktprüfung bereitgestellte Zertifikate verwendet, müssen Sie die Chrome-Richtlinie „AutoSelectCertificateForURLs“ so konfigurieren, dass die Endpunktprüfung über Chrome nach dem Gerätezertifikat suchen und es erfassen kann.

1. Der Chrome-Browser der Nutzer muss über die Chrome-Verwaltung über die Cloud verwaltet werden.

2. Fügen Sie in der Google Admin-Konsole die Richtlinie „AutoSelectCertificateForUrls“ hinzu.

   1. Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.
   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu. Im folgenden Beispiel wird die Richtlinie „AutoSelectCertificateForUrls“ hinzugefügt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
      

Nachdem Sie die Konfiguration abgeschlossen haben, können Nutzer mit dem Chrome-Browser unter console-secure.cloud.google.com auf geschützteGoogle Cloud -Ressourcen zugreifen.

(Optional) Richtlinienkonfiguration prüfen

1. Geben Sie im Chrome-Browser chrome://policy ein.
2. Prüfen Sie, ob „AutoSelectCertificateForUrls“ unter Chrome-Richtlinien aufgeführt ist.
3. Prüfen Sie, ob der Wert für Gilt für Computer ist. In ChromeOS ist der Wert für Gilt für Aktueller Nutzer.
4. Der Status der Richtlinie darf keinen Konflikt aufweisen. Wenn der Status einen Konflikt aufweist, finden Sie weitere Informationen unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung.

Befehlszeilentools konfigurieren

Sie können die folgenden Tools so konfigurieren, dass sie mit der Endpunktprüfung bereitgestellte Zertifikate verwenden:

• Google Cloud CLI
• Die Terraform CLI (die gcloud CLI ist erforderlich, um Hilfskomponenten zu installieren und zu konfigurieren)

Da Geräte-Zertifikate in macOS- und Windows-Keystores gespeichert werden, ist die gcloud CLI mit der Open-Source-Komponente Enterprise Certificate Proxy (ECP) gebündelt, um mit den APIs zur Schlüsselverwaltung interagieren zu können.

Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.

1. Installieren Sie das gcloud-CLI. Installieren Sie das Tool mit aktivierter Option „Gebündeltes Python“.
2. CBA aktivieren

3. Laden Sie für macOS und Linux das install.sh-Skript herunter und führen Sie es aus.

   ./google-cloud-sdk/install.sh
   

4. Linux-Nutzer fahren mit dem Schritt CBA und bereitgestellte Zertifikate für Endpoint Verification aktivieren fort. macOS- und Windows-Nutzer führen die folgenden Schritte aus.

   1. Installieren Sie die ECP-Hilfskomponente mit der gcloud CLI.

      
      gcloud components install enterprise-certificate-proxy
      

   2. Initialisieren Sie die ECP-Zertifikatskonfiguration mit der gcloud CLI.

      macOS

      
      gcloud auth enterprise-certificate-config create macos \
      --issuer="Google Endpoint Verification"
      

      Windows

      
      gcloud auth enterprise-certificate-config create windows \
      --issuer="Google Endpoint Verification" \
      --provider=current_user \
      --store=MY
      

      Optional: Konfigurieren Sie das ECP-Zertifikat manuell, indem Sie den folgenden Befehl ausführen.

      macOS

      Die ECP-Konfiguration wird in einer JSON-Datei unter ~/.config/gcloud/certificate_config.json gespeichert.

      {
        "cert_configs": {
            "macos_keychain": {
              "issuer": "Google Endpoint Verification"
            }
        },
        "libs": {
          "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
          "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
          "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
        }
      }
      

      Windows

      Die ECP-Konfiguration wird in einer JSON-Datei unter %APPDATA%\gcloud\certificate_config.json gespeichert.

      {
        "cert_configs": {
          "windows_store": {
            "store": "MY",
            "provider": "current_user",
            "issuer":"Google Endpoint Verification"
          }
        },
        "libs": {
          "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
          "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
          "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
        }
      }
      

5. Aktivieren Sie die Bereitstellung von CBA- und Endpunktprüfungszertifikaten.

   • Führen Sie für die gcloud CLI den folgenden Befehl aus.

     gcloud config set context_aware/use_client_certificate true
     

   • Legen Sie für alle anderen Befehlszeilentools, einschließlich Terraform, die Umgebungsvariable fest.

     export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
     

Verwendung von Betriebssystemen, die nicht vollständig unterstützt werden

Wenn Ihr Betriebssystem nicht in der Liste der unterstützten Betriebssysteme aufgeführt ist und Sie bereitgestellte Zertifikate für die Endpunktüberprüfung verwenden möchten, können Sie die Umgebungen von der zertifikatbasierten Erzwingung ausnehmen und sie stattdessen mit anderen Arten der Erzwingung schützen. Das kann beispielsweise durch die Verwendung einer Richtlinie für unternehmenseigene Geräte erfolgen.

Die zertifikatbasierte Erzwingung bietet einen besseren Schutz als andere Arten der Erzwingung, da jede Anfrage von einem Gerät über den mTLS-Handshake erzwungen wird.

Im Folgenden finden Sie ein Beispiel dafür, wie Sie Umgebungen von der zertifikatbasierten Durchsetzung ausnehmen und sie mit einer anderen Art der Durchsetzung schützen können.

In diesem Beispiel verwendet eine Organisation Geräte mit macOS, Windows und ChromeOS. Die Organisation möchte den Zugriff über dieGoogle Cloud -Konsole schützen.

1. Erstellen Sie eine Zugriffsebene, die den zertifikatbasierten Zugriff für alle Geräte erzwingt, mit Ausnahme von ChromeOS-Geräten, für die eine Richtlinie für unternehmenseigene Geräte erforderlich ist. Ersetzen Sie die YAML-Datei durch den folgenden benutzerdefinierten Ausdruck:

   certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
    || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)
   

2. Führen Sie die Schritte in den vorherigen Anleitungen aus.

   1. Kontextsensitiven Zugriff einrichten
   2. Endpunktprüfung einrichten
   3. Chrome-Browser der Nutzer für die Verwendung von Zertifikaten konfigurieren, die durch die Endpunktprüfung bereitgestellt werden