Mengaktifkan akses berbasis sertifikat dengan sertifikat Verifikasi Endpoint

Halaman ini menjelaskan cara mengaktifkan akses berbasis sertifikat (CBA) dengan sertifikat yang disediakan Verifikasi Endpoint.

Anda dapat menggunakan Verifikasi Endpoint untuk otomatis menyediakan sertifikat yang ditandatangani sendiri untuk perangkat. Sertifikat yang disediakan Verifikasi Endpoint memungkinkan Anda menggunakan CBA tanpa infrastruktur PKI. Sertifikat ini disimpan di keychain di macOS, di penyimpanan sertifikat di Windows, dan di sistem file di Linux.

Jika Anda memiliki infrastruktur PKI, lihat Mengaktifkan akses berbasis sertifikat dengan sertifikat perusahaan untuk mengaktifkan CBA.

Anda dapat mengaktifkan sertifikat yang disediakan Verifikasi Endpoint di sistem operasi berikut:

  • macOS dan Windows menggunakan browser Chrome
  • macOS, Windows, dan Linux menggunakan Google Cloud CLI

Jika sistem operasi Anda tidak tercantum, lihat Menggunakan sistem operasi yang tidak sepenuhnya didukung.

Sebelum memulai

Sebelum melanjutkan, pastikan Anda memenuhi persyaratan berikut:

Menyiapkan Verifikasi Endpoint

Ikuti petunjuk untuk menginstal ekstensi Verifikasi Endpoint Chrome untuk semua perangkat pengguna di organisasi Anda. Ekstensi ini menyediakan sertifikat yang ditandatangani sendiri ke perangkat Anda dan menyinkronkan metadata sertifikat ke Google Cloud.

Instal aplikasi pendukung Verifikasi Endpoint. Aplikasi ini diperlukan untuk menggunakan Verifikasi Endpoint dengan CBA.

Mengonfigurasi browser Chrome pengguna

Untuk mengonfigurasi browser Chrome pengguna agar menggunakan sertifikat yang disediakan Verifikasi Endpoint, Anda harus mengonfigurasi kebijakan Chrome AutoSelectCertificateForURLs agar Verifikasi Endpoint dapat menelusuri sertifikat perangkat dan mengumpulkannya melalui Chrome.

  1. Pastikan browser Chrome pengguna dikelola oleh Pengelolaan Cloud Browser Chrome.

  2. Di konsol Google Admin, tambahkan kebijakan AutoSelectCertificateForUrls.

    1. Buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
    2. Pilih unit organisasi yang sesuai.

    3. Tambahkan kebijakan. Contoh berikut menambahkan kebijakan AutoSelectCertificateForUrls:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
{"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}
{"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"Google Endpoint Verification"}}}

Setelah menyelesaikan konfigurasi, pengguna dapat mengakses resource yang dilindungi dengan browser Chrome di console-secure.cloud.google.com.Google Cloud

(Opsional) Memverifikasi konfigurasi kebijakan

  1. Di browser Chrome, masukkan chrome://policy.
  2. Pastikan AutoSelectCertificateForUrls tercantum di bagian Kebijakan Chrome.
  3. Pastikan nilai untuk Berlaku untuk adalah Perangkat. Di ChromeOS, nilai untuk Berlaku untuk adalah Pengguna Saat Ini.
  4. Pastikan status untuk kebijakan tidak memiliki konflik. Jika status memiliki konflik, lihat Memahami pengelolaan kebijakan Chrome untuk mengetahui informasinya.

Mengonfigurasi alat command line

Anda dapat mengonfigurasi alat berikut untuk menggunakan sertifikat yang disediakan Verifikasi Endpoint:

  • Google Cloud CLI
  • Terraform CLI (gcloud CLI diperlukan untuk menginstal dan mengonfigurasi komponen pendukung.)

Karena sertifikat perangkat disimpan di keystore macOS dan Windows, gcloud CLI dibundel dengan komponen open source Enterprise Certificate Proxy (ECP) untuk berinteraksi dengan API pengelolaan kunci.

Jika menggunakan sistem Windows, Anda harus menginstal library runtime Visual Studio C++.

  1. Instal gcloud CLI. Instal dengan opsi Python yang dibundel diaktifkan.
  2. Aktifkan CBA.

  3. Untuk macOS dan Linux, download, lalu jalankan skrip install.sh.

    ./google-cloud-sdk/install.sh

  4. Pengguna Linux, buka langkah Mengaktifkan CBA dan sertifikat yang disediakan Verifikasi Endpoint . Pengguna macOS dan Windows, selesaikan langkah-langkah berikut.

    1. Instal komponen pendukung ECP dengan gcloud CLI.

      
gcloud components install enterprise-certificate-proxy

    2. Inisialisasi konfigurasi sertifikat ECP dengan gcloud CLI.

      macOS 

      
gcloud auth enterprise-certificate-config create macos \
--issuer="Google Endpoint Verification"

      Windows 

      
gcloud auth enterprise-certificate-config create windows \
--issuer="Google Endpoint Verification" \
--provider=current_user \
--store=MY

      (Opsional) Konfigurasi sertifikat ECP secara manual dengan menjalankan perintah berikut.

      macOS

      Konfigurasi ECP disimpan dalam file JSON, yang terletak di ~/.config/gcloud/certificate_config.json.

      {
  "cert_configs": {
      "macos_keychain": {
        "issuer": "Google Endpoint Verification"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

      Windows

      Konfigurasi ECP disimpan dalam file JSON, yang terletak di %APPDATA%\gcloud\certificate_config.json.

      {
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer":"Google Endpoint Verification"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

  5. Aktifkan CBA dan sertifikat yang disediakan Verifikasi Endpoint.

    • Untuk gcloud CLI, jalankan perintah berikut.

      gcloud config set context_aware/use_client_certificate true

    • Untuk semua alat command line lainnya, termasuk Terraform, tetapkan variabel lingkungan.

      export GOOGLE_API_USE_CLIENT_CERTIFICATE=1

Menggunakan sistem operasi yang tidak sepenuhnya didukung

Jika sistem operasi Anda tidak ada dalam daftar sistem operasi yang didukung, dan Anda ingin menggunakan sertifikat yang disediakan Verifikasi Endpoint, Anda dapat mengecualikan lingkungan dari penerapan berbasis sertifikat dan melindunginya menggunakan jenis penerapan lainnya. Misalnya, dengan menggunakan kebijakan perangkat milik perusahaan.

Perhatikan bahwa penerapan berbasis sertifikat menawarkan perlindungan yang lebih kuat daripada jenis penerapan lainnya karena penerapan ini menerapkan setiap permintaan yang berasal dari perangkat melalui handshake mTLS.

Berikut adalah contoh cara mengecualikan lingkungan dari penerapan berbasis sertifikat dan melindunginya menggunakan jenis penerapan lain.

Dalam contoh ini, organisasi menggunakan perangkat macOS, Windows, dan ChromeOS. Organisasi ingin melindungi akses yang berasal dari Google Cloud konsol.

  1. Buat tingkat akses yang menerapkan akses berbasis sertifikat untuk semua perangkat, kecuali perangkat ChromeOS yang memerlukan kebijakan perangkat milik perusahaan. Ganti file YAML dengan ekspresi kustom berikut:

    certificateBindingState(origin, device) == CertificateBindingState.CERT_MATCHES_EXISTING_DEVICE
 || (device.os_type == OsType.DESKTOP_CHROME_OS && device.is_corp_owned_device)

  2. Selesaikan langkah-langkah dalam prosedur sebelumnya.

    1. Membuat kebijakan kontekstual
    2. Menyiapkan Verifikasi Endpoint
    3. Mengonfigurasi browser Chrome pengguna agar menggunakan sertifikat yang disediakan Verifikasi Endpoint