Questa pagina descrive come abilitare l'accesso basato su certificato (CBA) con i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint.
Puoi utilizzare la verifica degli endpoint per eseguire automaticamente il provisioning dei certificati autofirmati per un dispositivo. I certificati di cui è stato eseguito il provisioning per la verifica degli endpoint ti consentono di utilizzare il CBA senza un'infrastruttura PKI. Questi certificati vengono archiviati nel portachiavi su macOS, negli archivi di certificati su Windows e nei file system su Linux.
Se hai un'infrastruttura PKI, consulta Abilitare l'accesso basato su certificato con i certificati aziendali per abilitare il CBA.
Puoi abilitare i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint sui seguenti sistemi operativi:
- macOS e Windows utilizzando il browser Chrome
- macOS, Windows e Linux utilizzando Google Cloud CLI
Se il tuo sistema operativo non è elencato, consulta Utilizzare sistemi operativi non completamente supportati.
Prima di iniziare
Prima di continuare, assicurati di soddisfare i seguenti requisiti:
Hai creato livelli di accesso CBA per il tuo Google Cloud progetto.
Applichi il CBA alle tue Google Cloud risorse utilizzando uno dei seguenti metodi:
Sei autorizzato a eseguire la procedura di connessione mTLS utilizzando un certificato client valido.
Configurare la verifica degli endpoint
Segui le istruzioni per installare l'estensione Verifica degli endpoint di Chrome per tutti i dispositivi degli utenti della tua organizzazione. L'estensione esegue il provisioning dei certificati autofirmati sui dispositivi e sincronizza i metadati dei certificati con Google Cloud.
Installa l'app helper per la verifica degli endpoint. Questa app è necessaria per utilizzare la verifica degli endpoint con il CBA.
Configurare il browser Chrome degli utenti
Per configurare il browser Chrome degli utenti in modo che utilizzi i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint, devi configurare la policy AutoSelectCertificateForURLs di Chrome per consentire alla verifica degli endpoint di cercare il certificato del dispositivo e raccoglierlo tramite Chrome.
- Assicurati che il browser Chrome degli utenti sia gestito da Chrome Browser Cloud Management.
Nella Console di amministrazione Google, aggiungi la policy AutoSelectCertificateForUrls.
- Vai a Dispositivi > Chrome > Impostazioni > Impostazioni utente e browser > Certificati client.
- Seleziona l'unità organizzativa appropriata.
Aggiungi una policy. L'esempio seguente mostra l'aggiunta della policy AutoSelectCertificateForUrls:
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}} {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
Una volta completata la configurazione, gli utenti possono accedere alle risorse protette Google Cloud con il browser Chrome all'indirizzo console-secure.cloud.google.com.
(Facoltativo) Verificare la configurazione della policy
- Nel browser Chrome, inserisci
chrome://policy. - Verifica che AutoSelectCertificateForUrls sia elencato in Policy di Chrome.
- Verifica che il valore di Si applica a sia Computer. Su ChromeOS, il valore di Si applica a è Utente corrente.
- Assicurati che lo stato della policy non sia Conflitto. Se lo stato è Conflitto, consulta Comprendere la gestione delle policy di Chrome per informazioni.
Configurare gli strumenti a riga di comando
Puoi configurare i seguenti strumenti per utilizzare i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint:
- Google Cloud CLI
- Terraform CLI (per installare e configurare i componenti helper è necessario gcloud CLI)
Poiché i certificati dei dispositivi sono archiviati negli keystore di macOS e Windows, il gcloud CLI viene fornito in bundle con il componente open source Enterprise Certificate Proxy (ECP) per interagire con le API di gestione delle chiavi.
Se utilizzi un sistema Windows, devi aver installato la libreria di runtime Visual Studio C++.
- Installa gcloud CLI. Installa con l'opzione Python in bundle attivata.
- Attiva il CBA.
Per macOS e Linux, scarica ed esegui lo script
install.sh../google-cloud-sdk/install.shGli utenti Linux devono andare al passaggio Abilitare il CBA e i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint . Gli utenti di macOS e Windows devono completare i seguenti passaggi.
Installa il componente helper ECP con gcloud CLI.
gcloud components install enterprise-certificate-proxyInizializza la configurazione del certificato ECP con gcloud CLI.
macOS
gcloud auth enterprise-certificate-config create macos \ --issuer="Google Endpoint Verification"Windows
gcloud auth enterprise-certificate-config create windows \ --issuer="Google Endpoint Verification" \ --provider=current_user \ --store=MY(Facoltativo) Configura manualmente il certificato ECP eseguendo il seguente comando.
macOS
La configurazione ECP viene memorizzata in un file JSON, che si trova in
~/.config/gcloud/certificate_config.json.{ "cert_configs": { "macos_keychain": { "issuer": "Google Endpoint Verification" } }, "libs": { "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp", "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib", "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib" } }Windows
La configurazione ECP viene memorizzata in un file JSON, che si trova in
%APPDATA%\gcloud\certificate_config.json.{ "cert_configs": { "windows_store": { "store": "MY", "provider": "current_user", "issuer":"Google Endpoint Verification" } }, "libs": { "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe", "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll", "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll" } }
Abilita il CBA e i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint.
Per gcloud CLI, esegui il seguente comando.
gcloud config set context_aware/use_client_certificate truePer tutti gli altri strumenti a riga di comando, incluso Terraform, imposta la variabile di ambiente.
export GOOGLE_API_USE_CLIENT_CERTIFICATE=1
Utilizzare sistemi operativi non completamente supportati
Se il tuo sistema operativo non è incluso nell'elenco dei sistemi operativi supportati e vuoi utilizzare i certificati di cui è stato eseguito il provisioning per la verifica degli endpoint , puoi esentare gli ambienti dall'applicazione basata su certificato e proteggerli utilizzando altri tipi di applicazione. Ad esempio, utilizzando una policy relativa ai dispositivi di proprietà dell'azienda.
Tieni presente che l'applicazione basata su certificato offre una protezione più efficace rispetto ad altri tipi di applicazione, perché applica ogni richiesta proveniente da un dispositivo tramite l'handshake mTLS.
Di seguito è riportato un esempio di come esentare gli ambienti dall'applicazione basata su certificato e proteggerli utilizzando un altro tipo di applicazione.
In questo esempio, un'organizzazione utilizza dispositivi macOS, Windows e ChromeOS. L'organizzazione vuole proteggere l'accesso proveniente dalla Google Cloud console.
Crea un livello di accesso che applichi l'accesso basato su certificato per tutti i dispositivi, ad eccezione dei dispositivi ChromeOS in cui è richiesta una policy relativa ai dispositivi di proprietà dell'azienda. Sostituisci il file YAML con la seguente espressione personalizzata:
certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)Completa i passaggi delle procedure precedenti.