Activer l'accès basé sur des certificats avec vos certificats d'entreprise

Cette page explique comment activer l'accès basé sur les certificats (CBA) avec vos certificats d'entreprise.

Si vous ne disposez pas d'infrastructure à clé publique (PKI), vous pouvez utiliser les certificats fournis par la validation des points de terminaison.

Une exigence importante du modèle d'accès zéro confiance est de n'autoriser l'accès qu'aux appareils autorisés. L'authentification basée sur les certificats avec accès contextuel utilise des certificats et leurs clés privées stockées dans un keystore sécurisé sur l'appareil pour déterminer si l'appareil est autorisé. Pour activer cette fonctionnalité, suivez les procédures ci-dessous.

Avant de commencer

Assurez-vous d'avoir créé des niveaux d'accès CBA pour votre projet Google Cloud . Si vous devez créer des niveaux d'accès, consultez Créer des niveaux d'accès pour l'accès basé sur les certificats.

Assurez-vous d'appliquer l'accès basé sur le contexte à vos ressources Google Cloud à l'aide de l'une des méthodes suivantes :

• (Recommandé) Appliquez l'accès basé sur les certificats avec les règles d'accès contextuel : configurez des règles pour les utilisateurs.

• Appliquer un accès basé sur les certificats avec VPC Service Controls : configurez des règles concernant les données.

Lorsque vous appliquez l'authentification basée sur les certificats à vos ressources Google Cloud , un utilisateur autorisé doit également présenter un certificat d'appareil valide pour accéder à vos ressourcesGoogle Cloud .

Importer les ancres de confiance

Pour autoriser l'accès contextuel à collecter et valider le certificat d'entreprise d'un appareil, vous devez importer les ancres de confiance utilisées pour émettre le certificat de l'appareil. Les ancres de confiance correspondent au certificat CA racine autosigné et aux certificats intermédiaires et subordonnés pertinents. Pour importer les ancres de confiance, procédez comme suit :

1. Dans la console d'administration Google, accédez à Appareils > Réseaux > Certificats, puis sélectionnez l'unité organisationnelle pour laquelle importer les ancres de confiance. Assurez-vous que l'unité organisationnelle que vous sélectionnez contient les utilisateurs auxquels vous souhaitez accorder l'accès.

2. Sélectionnez Ajouter un certificat, puis saisissez le nom de votre certificat racine.

3. Cliquez sur Importer pour importer le certificat.

4. Sélectionnez Activer Endpoint Verification, puis cliquez sur Ajouter.

Le certificat à importer doit être le certificat CA, qui est l'émetteur des certificats clients installés sur vos appareils d'entreprise. Si votre entreprise ne dispose pas encore de certificat CA ni des certificats client correspondants, vous pouvez les créer via le Google Cloud Certificate Authority Service. La procédure d'installation des certificats client dans les keystores natifs varie selon le système d'exploitation et n'est pas traitée dans ce document.

Configurer le navigateur Chrome des utilisateurs pour qu'il utilise votre certificat d'entreprise

Suivez les instructions de la section Configurer Endpoint Verification pour installer l'extension Endpoint Verification pour Chrome pour tous les utilisateurs de votre organisation. Cette extension permet de synchroniser les métadonnées du certificat avec le backend de Google Cloud.

Après avoir configuré l'extension de navigateur, configurez la règle Chrome AutoSelectCertificateForURLs pour permettre à Endpoint Verification de rechercher le certificat de l'appareil et de le collecter via Chrome.

1. Assurez-vous que le navigateur Chrome des utilisateurs est géré par la gestion cloud du navigateur Chrome :

   • Configurer la gestion cloud du navigateur Chrome

2. Dans la console d'administration, ajoutez la règle AutoSelectCertificateForUrls :

   1. Accédez à Appareils > Chrome > Paramètres > Paramètres des utilisateurs et du navigateur > Certificats client.

   2. Sélectionnez l'unité organisationnelle appropriée.

   3. Ajoutez une règle.

      L'exemple suivant ajoute la règle AutoSelectCertificateForUrls :

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":<CERT_ISSUER>}}}
      

      Dans l'exemple, CERT_ISSUER est le nom commun de votre certificat d'autorité de certification.

Une fois cette configuration effectuée, les utilisateurs peuvent accéder aux ressources protégées Google Cloud avec le navigateur Chrome à l'adresse console-secure.cloud.google.com.

Vérifier la configuration des règles (facultatif)

1. Dans le navigateur Chrome, saisissez chrome://policy.

2. Vérifiez que AutoSelectCertificateForUrls figure sous Règles Chrome.

3. Vérifiez que la valeur de S'applique à est Machine. Sur le système d'exploitation Chrome, la valeur de S'applique à est Utilisateur actuel.

4. Vérifiez que l'état de la règle n'indique pas Conflit. Si l'état indique un conflit, consultez Fonctionnement de la gestion des règles Chrome pour en savoir plus.

Configurer les outils de ligne de commande pour utiliser votre certificat d'entreprise

Si les utilisateurs de votre organisation doivent accéder aux ressources Google Cloud à partir de la ligne de commande, ils doivent suivre les procédures suivantes pour activer l'authentification basée sur les certificats avec votre certificat d'entreprise dans leurs outils de ligne de commande.

Les outils de ligne de commande suivants sont acceptés :

• Google Cloud CLI

• Terraform CLI (gcloud CLI est toujours nécessaire pour installer et configurer les composants d'assistance).

Étant donné que les certificats d'appareil sont stockés dans des keystores natifs, Google Cloud CLI est fournie avec un composant Open Source appelé Enterprise Certificate Proxy (ECP) pour interagir avec les API de gestion des clés.

Si vous utilisez un système Windows, vous devez avoir installé la bibliothèque d'exécution Visual Studio C++.

Les systèmes d'exploitation suivants et leurs keystores natifs respectifs sont compatibles :

• macOS avec porte-clés

• Microsoft Windows avec CryptoAPI

• Linux avec PKCS #11

ECP doit être configuré avec les informations de métadonnées nécessaires pour localiser le certificat dans les keystores.

Installer et configurer ECP avec Google Cloud CLI

1. Installez la Google Cloud CLI et activez l'authentification basée sur les identifiants client. Installez avec l'option bundled python activée.

2. Pour macOS et Linux, exécutez le script install.sh après l'avoir téléchargé :

   $ ./google-cloud-sdk/install.sh
   

3. Installez le composant d'assistance ECP avec Google Cloud CLI :

   gcloud components install enterprise-certificate-proxy
   

4. Initialisez la configuration du certificat ECP avec Google Cloud CLI :

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

La configuration ECP peut également être effectuée manuellement. Il est stocké sous forme de fichier JSON à l'emplacement suivant sur l'appareil de l'utilisateur :

• Linux et macOS : ~/.config/gcloud/certificate_config.json

• Windows : %APPDATA%\gcloud\certificate_config.json

Pour obtenir d'autres exemples de configuration et de schéma, consultez la documentation ECP sur GitHub.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Après cette configuration, les utilisateurs peuvent accéder aux ressources Google Cloud protégées à l'aide d'outils de ligne de commande en activant l'indicateur CBA.

Pour activer l'authentification basée sur les certificats pour Google Cloud CLI, définissez la propriété context_aware/use_client_certificate sur true.

Pour activer l'authentification basée sur les identifiants pour tous les autres outils de ligne de commande, y compris Terraform, définissez la variable d'environnement GOOGLE_API_USE_CLIENT_CERTIFICATE sur true.

Étapes suivantes

• Présentation de l'accès basé sur les certificats

• Comprendre le protocole TLS mutuel dans Google Cloud