Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat yang disediakan Endpoint Verification.
Anda dapat menggunakan Verifikasi Endpoint untuk menyediakan sertifikat yang ditandatangani sendiri secara otomatis untuk perangkat. Sertifikat yang disediakan Verifikasi Endpoint memungkinkan Anda menggunakan CBA tanpa infrastruktur PKI. Sertifikat ini disimpan di keychain di macOS, di penyimpanan sertifikat di Windows, dan di sistem file di Linux.
Jika Anda memiliki infrastruktur PKI, lihat Mengaktifkan akses berbasis sertifikat dengan sertifikat perusahaan Anda untuk mengaktifkan CBA.
Anda dapat mengaktifkan sertifikat yang disediakan Verifikasi Endpoint di sistem operasi berikut:
- macOS dan Windows menggunakan browser Chrome
- macOS, Windows, dan Linux menggunakan Google Cloud CLI
Jika sistem operasi Anda tidak tercantum, lihat Menggunakan sistem operasi yang tidak sepenuhnya didukung.
Sebelum memulai
Sebelum melanjutkan, pastikan Anda memenuhi persyaratan berikut:
Anda telah membuat tingkat akses CBA untuk Google Cloud project Anda.
Anda menerapkan CBA pada resource Google Cloud menggunakan salah satu metode berikut:
- (Direkomendasikan) Konfigurasi aturan terkait pengguna dengan menerapkan akses berbasis sertifikat dengan kebijakan Akses Kontekstual.
- Konfigurasi aturan terkait data dengan menerapkan akses berbasis sertifikat dengan Kontrol Layanan VPC.
Anda diberi otorisasi untuk melalui proses koneksi mTLS menggunakan sertifikat klien yang valid.
Menyiapkan Endpoint Verification
Ikuti petunjuk untuk menginstal ekstensi Verifikasi Endpoint Chrome untuk semua perangkat pengguna di organisasi Anda. Ekstensi ini menyediakan sertifikat yang ditandatangani sendiri di perangkat Anda dan menyinkronkan metadata sertifikat ke Google Cloud.
Instal aplikasi pendukung Verifikasi Endpoint. Aplikasi ini diperlukan untuk menggunakan Verifikasi Endpoint dengan CBA.
Mengonfigurasi browser Chrome pengguna
Untuk mengonfigurasi browser Chrome pengguna agar menggunakan sertifikat yang disediakan Verifikasi Endpoint, Anda harus mengonfigurasi kebijakan Chrome AutoSelectCertificateForURLs agar Verifikasi Endpoint dapat menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.
- Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome.
Di konsol Google Admin, tambahkan kebijakan AutoSelectCertificateForUrls.
- Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
- Pilih unit organisasi yang sesuai.
Tambahkan kebijakan. Contoh berikut menambahkan kebijakan AutoSelectCertificateForUrls:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Setelah Anda menyelesaikan konfigurasi, pengguna dapat mengakses Google Cloud resource yang dilindungi dengan browser Chrome di console-secure.cloud.google.com.
(Opsional) Verifikasi konfigurasi kebijakan
- Di browser Chrome, masukkan
chrome://policy. - Pastikan AutoSelectCertificateForUrls tercantum di bagian Kebijakan Chrome.
- Pastikan nilai untuk Berlaku untuk adalah Perangkat. Di ChromeOS, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
- Pastikan status kebijakan tidak memiliki konflik. Jika status memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mengetahui informasinya.
Mengonfigurasi alat command line
Anda dapat mengonfigurasi alat berikut untuk menggunakan sertifikat yang disediakan Verifikasi Endpoint:
- Google Cloud CLI
- Terraform CLI (gcloud CLI diperlukan untuk menginstal dan mengonfigurasi komponen pendukung.)
Karena sertifikat perangkat disimpan di keystore macOS dan Windows, gcloud CLI dibundel dengan komponen open source Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.
Jika menggunakan sistem Windows, Anda harus menginstal library runtime C++ Visual Studio.
- Instal gcloud CLI. Instal dengan opsi Python yang dipaketkan diaktifkan.
- Aktifkan CBA.
Untuk macOS dan Linux, download lalu jalankan skrip
install.sh../google-cloud-sdk/install.shPengguna Linux, buka langkah Aktifkan sertifikat yang disediakan untuk CBA dan Verifikasi Endpoint . Pengguna macOS dan Windows, selesaikan langkah-langkah berikut.
Instal komponen helper ECP dengan gcloud CLI.
gcloud components install enterprise-certificate-proxyLakukan inisialisasi konfigurasi sertifikat ECP dengan gcloud CLI.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Opsional) Konfigurasi sertifikat ECP secara manual dengan menjalankan perintah berikut.
macOS
Konfigurasi ECP disimpan dalam file JSON, yang berada di
~/.config/gcloud/certificate_config.json.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
Konfigurasi ECP disimpan dalam file JSON, yang berada di
%APPDATA%\gcloud\certificate_config.json.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Aktifkan sertifikat yang disediakan CBA dan Verifikasi Endpoint.
Untuk gcloud CLI, jalankan perintah berikut.
gcloud config set context_aware/use_client_certificate trueUntuk semua alat command line lainnya, termasuk Terraform, tetapkan variabel lingkungan.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Menggunakan sistem operasi yang tidak didukung sepenuhnya
Jika sistem operasi Anda tidak ada dalam daftar sistem operasi yang didukung, dan Anda ingin menggunakan sertifikat yang disediakan oleh Verifikasi Endpoint, Anda dapat mengecualikan lingkungan dari penerapan berbasis sertifikat dan melindungi lingkungan tersebut menggunakan jenis penerapan lainnya. Misalnya, dengan menggunakan kebijakan perangkat milik perusahaan.
Perhatikan bahwa penerapan berbasis sertifikat menawarkan perlindungan yang lebih kuat dibandingkan jenis penerapan lainnya karena menerapkan setiap permintaan yang berasal dari perangkat melalui handshake mTLS.
Berikut adalah contoh cara mengecualikan lingkungan dari penerapan berbasis sertifikat dan melindunginya menggunakan jenis penerapan lain.
Dalam contoh ini, organisasi menggunakan perangkat macOS, Windows, dan ChromeOS. Organisasi ingin melindungi akses yang berasal dari konsolGoogle Cloud .
Buat tingkat akses yang menerapkan akses berbasis sertifikat untuk semua perangkat, kecuali perangkat ChromeOS yang memerlukan kebijakan perangkat milik perusahaan. Ganti file YAML dengan ekspresi kustom berikut:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Selesaikan langkah-langkah dalam prosedur sebelumnya.