Zertifikatsbasierten Zugriff mit Ihren Unternehmenszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mit Ihren Unternehmenszertifikaten aktivieren.

Wenn Sie keine Public-Key-Infrastruktur (PKI) haben, können Sie von der Endpunktprüfung bereitgestellte Zertifikate verwenden.

Eine wichtige Anforderung des Zero-Trust-Zugriffsmodells ist, dass nur autorisierte Geräte Zugriff erhalten dürfen. Beim kontextsensitiven Zugriff mit Zertifikaten werden Zertifikate und die zugehörigen privaten Schlüssel verwendet, die in einem sicheren Schlüsselspeicher auf dem Gerät gespeichert sind, um festzustellen, ob das Gerät autorisiert ist. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren.

Hinweise

Achten Sie darauf, dass Sie CBA-Zugriffsebenen für Ihr Google Cloud -Projekt erstellt haben. Wenn Sie Zugriffsebenen erstellen müssen, lesen Sie den Abschnitt Zugriffsebenen für den zertifikatbasierten Zugriff erstellen.

Sorgen Sie dafür, dass die CBA für Ihre Google Cloud Ressourcen mit einer der folgenden Methoden erzwungen wird:

• (Empfohlen) Zertifikatbasierter Zugriff mit Richtlinien für den kontextsensitiven Zugriff erzwingen: Konfigurieren Sie Regeln für Nutzer.

• Zertifikatbasierten Zugriff mit VPC Service Controls erzwingen: Konfigurieren Sie Regeln für Daten.

Wenn Sie die kontextbezogene Authentifizierung für Ihre Google Cloud Ressourcen erzwingen, muss ein autorisierter Nutzer beim Zugriff auf IhreGoogle Cloud Ressourcen auch ein gültiges Gerätezertifikat vorlegen.

Trust-Anchor hochladen

Damit der kontextsensitive Zugriff das Unternehmenszertifikat eines Geräts erfassen und validieren kann, müssen Sie die Trust-Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet werden. Die Trust-Anchors sind das selbst signierte Root-CA-Zertifikat und die relevanten Zwischen- und untergeordneten Zertifikate. So laden Sie die Vertrauensanker hoch:

1. Gehen Sie in der Google Admin-Konsole zu Geräte > Netzwerke > Zertifikate und wählen Sie die Organisationseinheit aus, für die die Trust-Anker hochgeladen werden sollen. Achten Sie darauf, dass die ausgewählte Organisationseinheit die Nutzer enthält, denen Sie Zugriff gewähren möchten.

2. Wählen Sie Zertifikat hinzufügen aus und geben Sie einen Namen für Ihr Root-Zertifikat ein.

3. Klicken Sie auf Hochladen, um das Zertifikat hochzuladen.

4. Wählen Sie Endpunktprüfung aktivieren aus und klicken Sie auf Hinzufügen.

Das hochzuladende Zertifikat sollte das CA-Zertifikat sein, das der Aussteller der auf Ihren Unternehmensgeräten installierten Clientzertifikate ist. Wenn Ihr Unternehmen noch kein CA-Zertifikat und die entsprechenden Clientzertifikate hat, können Sie sie über den Google Cloud Certificate Authority Service erstellen. Die Schritte zum Installieren von Clientzertifikaten in nativen Keystores sind für jedes Betriebssystem unterschiedlich und werden in diesem Dokument nicht behandelt.

Chrome-Browser der Nutzer für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Folgen Sie der Anleitung unter Endpunktprüfung einrichten, um die Erweiterung „Endpoint Verification“ für Chrome für alle Nutzer in Ihrer Organisation zu installieren. Mit dieser Erweiterung werden Zertifikatsmetadaten mit dem Back-End von Google Cloudsynchronisiert.

Nachdem Sie die Browsererweiterung eingerichtet haben, konfigurieren Sie die AutoSelectCertificateForURLs-Chrome-Richtlinie so, dass die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.

1. Prüfen Sie, ob der Chrome-Browser der Nutzer von der Chrome-Verwaltung über die Cloud verwaltet wird:

   • Chrome-Verwaltung über die Cloud einrichten

2. Fügen Sie in der Admin-Konsole die AutoSelectCertificateForUrls-Richtlinie hinzu:

   1. Gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate.

   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu.

      Im folgenden Beispiel wird die AutoSelectCertificateForUrls-Richtlinie hinzugefügt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Im Beispiel ist CERT_ISSUER der allgemeine Name Ihres CA-Zertifikats.

Nach dieser Konfiguration können Nutzer mit dem Chrome-Browser unter console-secure.cloud.google.com auf geschützte Google Cloud Ressourcen zugreifen.

Richtlinienkonfiguration prüfen (optional)

1. Geben Sie im Chrome-Browser chrome://policy ein.

2. Prüfen Sie, ob AutoSelectCertificateForUrls unter Chrome Policies (Chrome-Richtlinien) aufgeführt ist.

3. Prüfen Sie, ob der Wert für Gilt für Computer ist. Im Chrome-Betriebssystem ist der Wert für Gilt für Aktueller Nutzer.

4. Prüfen Sie, ob der Status der Richtlinie Konflikt lautet. Wenn der Status einen Konflikt aufweist, finden Sie weitere Informationen unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung.

Befehlszeilentools für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Wenn Nutzer in Ihrer Organisation über die Befehlszeile auf Google Cloud -Ressourcen zugreifen müssen, müssen sie die folgenden Schritte ausführen, um die clientbasierte Authentifizierung mit Ihrem Unternehmenszertifikat in ihren Befehlszeilentools zu aktivieren.

Die folgenden Befehlszeilentools werden unterstützt:

• Google Cloud CLI

• Terraform CLI (die gcloud CLI ist weiterhin erforderlich, um Hilfskomponenten zu installieren und zu konfigurieren)

Da die Gerätezertifikate in nativen Keystores gespeichert sind, ist die Google Cloud CLI mit einer Open-Source-Komponente namens Enterprise Certificate Proxy (ECP) gebündelt, um mit APIs zur Schlüsselverwaltung zu interagieren.

Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.

Die folgenden Betriebssysteme und die entsprechenden nativen Keystores werden unterstützt:

• macOS mit Schlüsselbund

• Microsoft Windows mit CryptoAPI

• Linux mit PKCS #11

ECP muss mit den erforderlichen Metadaten konfiguriert werden, um das Zertifikat in den Keystores zu finden.

ECP mit der Google Cloud CLI installieren und konfigurieren

1. Installieren Sie die Google Cloud CLI und aktivieren Sie die Abrechnung mit Kundenkonto. Installieren Sie mit aktivierter Option bundled python.

2. Führen Sie unter macOS und Linux das install.sh-Skript nach dem Herunterladen aus:

   $ ./google-cloud-sdk/install.sh
   

3. Installieren Sie die ECP-Hilfskomponente mit der Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. Initialisieren Sie die ECP-Zertifikatskonfiguration mit der Google Cloud CLI:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Die ECP-Konfiguration kann auch manuell konfiguriert werden. Sie wird als JSON-Datei am folgenden Speicherort auf dem Gerät des Nutzers gespeichert:

• Linux und macOS: ~/.config/gcloud/certificate_config.json

• Windows: %APPDATA%\gcloud\certificate_config.json

Weitere Beispiele für die Konfiguration und das Schema finden Sie in der ECP-Dokumentation auf GitHub.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Nach dieser Konfiguration können Nutzer mit Befehlszeilentools auf geschützte Google Cloud Ressourcen zugreifen, indem sie das Flag für die clientzertifikatbasierte Authentifizierung aktivieren.

Wenn Sie die kontenbasierte Authentifizierung für die Google Cloud CLI aktivieren möchten, legen Sie das Attribut context_aware/use_client_certificate auf true fest.

Wenn Sie die clientbasierte Authentifizierung für alle anderen Befehlszeilentools, einschließlich Terraform, aktivieren möchten, legen Sie die Umgebungsvariable GOOGLE_API_USE_CLIENT_CERTIFICATE auf true fest.

Nächste Schritte

• Zertifikatsbasierter Zugriff – Übersicht

• mTLS in Google Cloud