Esta página descreve como ativar o acesso baseado em certificados (CBA) com os seus certificados aprovisionados da validação de pontos finais.
Pode usar a validação de pontos finais para aprovisionar automaticamente certificados autoassinados para um dispositivo. Os certificados aprovisionados da validação de pontos finais permitem-lhe usar a CBA sem uma infraestrutura de PKI. Estes certificados são armazenados no porta-chaves no macOS, em armazenamentos de certificados no Windows e em sistemas de ficheiros no Linux.
Se tiver uma infraestrutura de PKI, consulte o artigo Ative o acesso baseado em certificados com os certificados da sua empresa para ativar o CBA.
Pode ativar os certificados aprovisionados da validação de pontos finais nos seguintes sistemas operativos:
- macOS e Windows com o navegador Chrome
- macOS, Windows e Linux através da Google Cloud CLI
Se o seu sistema operativo não estiver listado, consulte o artigo Usar sistemas operativos não totalmente suportados.
Antes de começar
Antes de continuar, certifique-se de que cumpre os seguintes requisitos:
Criou níveis de acesso baseados em atributos para o seu Google Cloud projeto.
Pode aplicar a CBA aos seus recursos Google Cloud através de um dos seguintes métodos:
- (Recomendado) Configure regras em torno dos utilizadores aplicando o acesso baseado em certificados com políticas de acesso sensível ao contexto.
- Configurar regras em torno dos dados aplicando o acesso baseado em certificados com os VPC Service Controls.
Tem autorização para passar pelo processo de ligação mTLS com um certificado de cliente válido.
Configure a validação de pontos finais
Siga as instruções para instalar a extensão de validação de pontos finais do Chrome para todos os dispositivos dos utilizadores na sua organização. A extensão aprovisiona certificados autossinados nos seus dispositivos e sincroniza os metadados dos certificados com o Google Cloud.
Instale a app auxiliar da validação de pontos finais. Esta app é necessária para usar a validação de pontos finais com a CBA.
Configure o navegador Chrome dos utilizadores
Para configurar o navegador Chrome dos utilizadores para usar certificados aprovisionados de validação de pontos finais, tem de configurar a política do Chrome AutoSelectCertificateForURLs para permitir que a validação de pontos finais procure o certificado do dispositivo e o recolha através do Chrome.
- Certifique-se de que o navegador Chrome dos utilizadores é gerido pelo Chrome Browser Cloud Management.
Na consola do administrador Google, adicione a política AutoSelectCertificateForUrls.
- Aceda a Dispositivos > Chrome > Definições > Definições de utilizadores e navegadores > Certificados de cliente.
- Selecione a unidade organizacional adequada.
Adicione uma política. O exemplo seguinte adiciona a política AutoSelectCertificateForUrls:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Depois de concluir a configuração, os utilizadores podem aceder a recursos protegidos com o navegador Chrome em console-secure.cloud.google.com.Google Cloud
(Opcional) Valide a configuração da política
- No navegador Chrome, introduza
chrome://policy. - Verifique se AutoSelectCertificateForUrls está listado em Políticas do Chrome.
- Verifique se o valor de Aplica-se a é Máquina. No ChromeOS, o valor de Aplica-se a é Utilizador atual.
- Certifique-se de que o estado da política não tem um conflito. Se o estado tiver um conflito, consulte o artigo Compreenda a gestão de políticas do Chrome para obter informações.
Configure ferramentas de linha de comandos
Pode configurar as seguintes ferramentas para usar certificados aprovisionados da validação de pontos finais:
- A CLI do Google Cloud
- A CLI Terraform (a CLI gcloud é necessária para instalar e configurar componentes auxiliares).
Uma vez que os certificados de dispositivos estão armazenados nos repositórios de chaves do macOS e Windows, a CLI gcloud é fornecida com o componente de código aberto Enterprise Certificate Proxy (ECP) para interagir com as APIs de gestão de chaves.
Se estiver a usar um sistema Windows, tem de ter a biblioteca de tempo de execução do Visual Studio C++ instalada.
- Instale a CLI gcloud. Instale com a opção Python incluída ativada.
- Ative a CBA.
Para macOS e Linux, transfira e, em seguida, execute o
install.shscript../google-cloud-sdk/install.shOs utilizadores do Linux devem aceder ao passo Ative os certificados aprovisionados da CBA e da validação de pontos finais . Os utilizadores do macOS e Windows devem concluir os passos seguintes.
Instale o componente auxiliar da ECP com a CLI gcloud.
gcloud components install enterprise-certificate-proxyInicialize a configuração do certificado ECP com a CLI gcloud.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Opcional) Configure o certificado ECP manualmente executando o seguinte comando.
macOS
A configuração do ECP é armazenada num ficheiro JSON, localizado em
~/.config/gcloud/certificate_config.json.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
A configuração do ECP é armazenada num ficheiro JSON, localizado em
%APPDATA%\gcloud\certificate_config.json.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Ativar a CBA e os certificados aprovisionados da validação de pontos finais.
Para a CLI gcloud, execute o seguinte comando.
gcloud config set context_aware/use_client_certificate truePara todas as outras ferramentas de linha de comandos, incluindo o Terraform, defina a variável de ambiente.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Usar sistemas operativos não totalmente suportados
Se o seu sistema operativo não estiver na lista de sistemas operativos suportados e quiser usar certificados aprovisionados da validação de pontos finais, pode isentar os ambientes da aplicação baseada em certificados e, em alternativa, protegê-los com outros tipos de aplicação. Por exemplo, através da utilização de uma política de dispositivos pertencentes à empresa.
Tenha em atenção que a aplicação baseada em certificados oferece uma proteção mais forte do que outros tipos de aplicação, uma vez que aplica todos os pedidos provenientes de um dispositivo através da negociação mTLS.
Segue-se um exemplo de como isentar ambientes da aplicação baseada em certificados e protegê-los através de outro tipo de aplicação.
Neste exemplo, uma organização usa dispositivos com macOS, Windows e ChromeOS. A organização quer proteger o acesso proveniente da consolaGoogle Cloud .
Crie um nível de acesso que aplique o acesso baseado em certificados a todos os dispositivos, exceto aos dispositivos com ChromeOS, nos quais é necessária uma política de dispositivos pertencentes à empresa. Substitua o ficheiro YAML pela seguinte expressão personalizada:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Conclua os passos nos procedimentos anteriores.