Nesta página, descrevemos como ativar o acesso baseado em certificado (CBA) com os certificados provisionados da Verificação de endpoints.
Você pode usar a Verificação de endpoints para provisionar automaticamente certificados autoassinados para um dispositivo. Com os certificados provisionados da Verificação de endpoints, é possível usar a CBA sem uma infraestrutura de PKI. Esses certificados são armazenados no keychain no macOS, em repositórios de certificados no Windows e em sistemas de arquivos no Linux.
Se você tiver uma infraestrutura de ICP, consulte Ativar o acesso baseado em certificado com seus certificados corporativos para ativar a CBA.
É possível ativar os certificados provisionados da Verificação de endpoints nos seguintes sistemas operacionais:
- macOS e Windows usando o navegador Chrome
- macOS, Windows e Linux usando a Google Cloud CLI
Se o seu sistema operacional não estiver listado, consulte Usar sistemas operacionais não totalmente compatíveis.
Antes de começar
Antes de continuar, verifique se você atende aos seguintes requisitos:
Você criou níveis de acesso da CBA para seu projeto Google Cloud .
Você aplica a CBA aos seus recursos Google Cloud usando um dos seguintes métodos:
- (Recomendado) Configure regras para usuários aplicando o acesso baseado em certificado com políticas de acesso baseado no contexto.
- Configure regras sobre dados aplicando o acesso baseado em certificado com o VPC Service Controls.
Você está autorizado a passar pelo processo de conexão mTLS usando um certificado de cliente válido.
Configurar a Verificação de pontos de extremidade
Siga as instruções para instalar a extensão Verificação de endpoints do Chrome em todos os dispositivos dos usuários na sua organização. A extensão provisiona certificados autassinados nos seus dispositivos e sincroniza metadados de certificado com o Google Cloud.
Instale o app assistente da Verificação de endpoints. Ele é necessário para usar a Verificação de endpoints com a CBA.
Configurar o navegador Chrome dos usuários
Para configurar o navegador Chrome dos usuários para usar certificados provisionados da Verificação de endpoints, configure a política AutoSelectCertificateForURLs do Chrome para permitir que a Verificação de endpoints procure e colete o certificado do dispositivo pelo Chrome.
- Verifique se o navegador Chrome dos usuários é gerenciado pelo Gerenciamento de nuvem do navegador Chrome.
No Google Admin Console, adicione a política AutoSelectCertificateForUrls.
- Acesse Dispositivos > Chrome > Configurações > Configurações do navegador e usuário > Certificados do cliente.
- Selecione a unidade organizacional adequada.
Adicione uma política. O exemplo a seguir adiciona a política AutoSelectCertificateForUrls:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Depois de concluir a configuração, os usuários poderão acessar os recursos protegidosGoogle Cloud com o navegador Chrome em console-secure.cloud.google.com.
(Opcional) Verificar a configuração da política
- No navegador Chrome, digite
chrome://policy. - Verifique se AutoSelectCertificateForUrls está listado em Políticas do Chrome.
- Verifique se o valor de Aplica-se a é Máquina. No ChromeOS, o valor de Aplicável a é Usuário atual.
- Verifique se o status da política não tem um conflito. Se o status tiver um conflito, consulte Entender o gerenciamento de políticas do Chrome para mais informações.
Configurar ferramentas de linha de comando
É possível configurar as seguintes ferramentas para usar certificados provisionados da Verificação de endpoints:
- A Google Cloud CLI
- A CLI do Terraform. A CLI gcloud é necessária para instalar e configurar componentes auxiliares.
Como os certificados de dispositivo são armazenados em keystores do macOS e do Windows, a CLI gcloud é agrupada com o componente de código aberto Enterprise Certificate Proxy (ECP) para interagir com as APIs de gerenciamento de chaves.
Se você estiver usando um sistema Windows, instale a biblioteca de tempo de execução do Visual Studio C++.
- Instale a CLI da gcloud. Instale com a opção Python agrupado ativada.
- Ative o CBA.
No macOS e Linux, faça o download e execute o script
install.sh../google-cloud-sdk/install.shUsuários do Linux, acesse a etapa Ativar a CBA e os certificados provisionados da Verificação de endpoints . Usuários do macOS e do Windows, siga estas etapas.
Instale o componente auxiliar do ECP com a CLI gcloud.
gcloud components install enterprise-certificate-proxyInicialize a configuração do certificado ECP com a CLI gcloud.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Opcional) Configure o certificado ECP manualmente executando o seguinte comando.
macOS
A configuração do ECP é armazenada em um arquivo JSON, localizado em
~/.config/gcloud/certificate_config.json.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
A configuração do ECP é armazenada em um arquivo JSON, localizado em
%APPDATA%\gcloud\certificate_config.json.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Ative a CBA e os certificados provisionados da Verificação de endpoints.
Para a CLI gcloud, execute o seguinte comando:
gcloud config set context_aware/use_client_certificate truePara todas as outras ferramentas de linha de comando, incluindo o Terraform, defina a variável de ambiente.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Usar sistemas operacionais que não são totalmente compatíveis
Se o seu sistema operacional não estiver na lista de sistemas operacionais compatíveis e você quiser usar certificados provisionados pela Verificação de endpoint, isente os ambientes da aplicação baseada em certificado e proteja-os usando outros tipos de aplicação. Por exemplo, usando uma política de dispositivos da empresa.
A aplicação baseada em certificado oferece uma proteção mais forte do que outros tipos de aplicação porque impõe todos os pedidos de um dispositivo pelo handshake mTLS.
Confira um exemplo de como isentar ambientes da aplicação baseada em certificados e protegê-los usando outro tipo de aplicação.
Neste exemplo, uma organização usa dispositivos macOS, Windows e ChromeOS. A organização quer proteger o acesso originado do console Google Cloud .
Crie um nível de acesso que aplique o acesso baseado em certificado a todos os dispositivos, exceto os dispositivos ChromeOS, em que é necessária uma política de dispositivo da empresa. Substitua o arquivo YAML pela seguinte expressão personalizada:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Conclua as etapas nos procedimentos anteriores.