Esta página se ha traducido con Cloud Translation API.

Configurar condiciones de certificados empresariales

Un principio clave de Chrome Enterprise Premium es que el acceso a los servicios se concede en función de lo que sabemos de ti y de tu dispositivo. El nivel de acceso concedido a un solo usuario o a un solo dispositivo se infiere de forma dinámica interrogando varias fuentes de datos. Chrome Enterprise Premium usa este nivel de confianza como parte de su proceso de toma de decisiones.

Access Context Manager es el motor de políticas de confianza cero de Chrome Enterprise Premium. El Administrador de contextos de acceso te permite definir un control de acceso pormenorizado y basado en atributos para aplicaciones yGoogle Cloud recursos.

Usa los niveles de acceso para permitir el acceso a los recursos en función de la información contextual sobre la solicitud. Con los niveles de acceso, puedes empezar a organizar los niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita solicitudes de un pequeño grupo de personas con muchos privilegios. También puedes identificar un grupo más general en el que confías, como un intervalo de direcciones IP desde el que quieres permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.

Uno de los requisitos clave para el acceso de confianza cero es permitir el acceso solo cuando el dispositivo esté gestionado o sea propiedad de la empresa. Hay varias formas de determinar si un dispositivo es propiedad de una empresa. Una de ellas es determinar si el dispositivo tiene un certificado válido emitido por la empresa. Un certificado de empresa en un dispositivo puede indicar que es propiedad de la empresa.

Los certificados de empresa para el acceso contextual son una función de la solución de acceso basada en certificados de Chrome Enterprise Premium. Esta función usa certificados de dispositivo como señal alternativa contextual para determinar si un dispositivo es propiedad de la empresa. Esta función es compatible con la versión 110 o posterior del navegador Chrome.

Como un dispositivo puede tener más de un certificado, puedes acceder a los certificados de empresa en el nivel de acceso personalizado mediante las macros .exist(e,p):

device.certificates.exists(cert, predicate)

En el ejemplo, cert es un identificador que se usa en predicate, que se vincula al certificado del dispositivo. La macro exists() combina resultados de predicados por elemento con el operador "o" (||), lo que significa que las macros devuelven el valor true si al menos un certificado se corresponde con la expresión predicate.

El certificado tiene los siguientes atributos, que se pueden comprobar conjuntamente. Ten en cuenta que las comparaciones de cadenas distinguen entre mayúsculas y minúsculas.

Atributo	Descripción	Ejemplo de expresión de predicado (donde `cert` es un identificador de macros)
`is_valid`	Devuelve true si el certificado es válido y no ha caducado (booleano). No puedes usar este atributo con Verificación de puntos de conexión, ya que esta función no comprueba la revocación de certificados.	`cert.is_valid`
`cert_fingerprint`	Huella digital del certificado (SHA256 sin relleno en base64). La huella digital es la síntesis SHA256 sin relleno en base64 codificado (en formato binario) del certificado DER codificado. Puedes generar la cadena a partir del certificado en formato PEM mediante el siguiente procedimiento con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Huella digital del certificado de la AC raíz utilizado para firmar el certificado (SHA256 sin relleno en base64). La huella digital es la síntesis SHA256 sin relleno en base64 codificado (en formato binario) del certificado DER codificado. Puedes generar la cadena a partir del certificado en formato PEM mediante el siguiente procedimiento con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nombre del emisor (nombres totalmente ampliados). Para encontrar el nombre del emisor, puedes usar el siguiente método: Ejecuta el siguiente comando en el certificado: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` Para obtener la cadena de emisor del nivel de acceso, invierte el resultado y sustituye cada barra inclinada (/) por una coma (,): `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Nombre del sujeto del certificado (nombres totalmente ampliados).	`cert.subject == "CA_SUB"`
`serial_number`	Número de serie del certificado (cadena).	`cert.serial_number = "123456789"`
`template_id`	ID de plantilla de Certificate Template de la extensión X.509 para el certificado (cadena).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

En la siguiente tabla se incluyen ejemplos de políticas que puedes definir:

Política de ejemplo	Expresión
El dispositivo tiene un certificado válido firmado por el certificado raíz de la empresa.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
El dispositivo tiene un certificado válido emitido por el emisor `CA_ABC`.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Configurar certificados empresariales

Antes de configurar los certificados de empresa, asegúrate de haber configurado niveles de acceso personalizados. Para ver instrucciones, consulta el artículo Crear un nivel de acceso personalizado.

Puedes usar una definición de nivel de acceso personalizado del Administrador de contextos de acceso para definir las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto del lenguaje de expresión común (CEL) para probar los atributos de un cliente que hace una solicitud.

Subir anclas de confianza en la consola de administración

Para que Chrome Enterprise Premium recoja y valide el certificado empresarial del dispositivo, debes subir las anclas de confianza y los certificados intermedios que se hayan usado para emitir el certificado del dispositivo. Las anclas de confianza son el certificado de la autoridad de certificación (AC) raíz autofirmado y los certificados intermedios y subordinados pertinentes. Sigue estos pasos para subir los anclajes de confianza:

Ve a la consola de administración y, a continuación, a Dispositivos > Redes > Certificados.
Selecciona la unidad organizativa adecuada.
Selecciona Añadir certificado.
Escribe el nombre del certificado.
Sube el certificado.
Marca la casilla Verificación de puntos finales.
Haz clic en Añadir.
Asegúrate de que los usuarios pertenezcan a la unidad organizativa para la que se han subido las anclas de confianza.

Configurar una política AutoSelectCertificateForUrls

Para que Endpoint Verification busque el certificado del dispositivo y lo recoja a través de Chrome, debes configurar la política AutoSelectCertificateForURLs siguiendo estos pasos:

Asegúrate de que el navegador Chrome esté gestionado por Gestión en la nube del navegador Chrome.
- En Windows, macOS y Linux, configura el navegador Chrome gestionado en la nube con el código de Chrome Enterprise. Para obtener instrucciones, consulta el artículo Registrarse en Chrome Enterprise Core.
- Registra tu dispositivo para que tu organización pueda gestionarlo de forma centralizada. Para ver las instrucciones, consulta el artículo Registrar navegadores Chrome gestionados en la nube.
En la consola de administración, añade la política AutoSelectCertificateForUrls:
1. Ve a la consola de administración y, a continuación, a Dispositivos > Chrome > Configuración > Configuración de usuario y de navegador > Certificados de cliente.
2. Selecciona la unidad organizativa adecuada.
3. Añade una política AutoSelectCertificateForUrls basada en el siguiente ejemplo:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Sustituye CERTIFICATE_ISSUER_NAME por el nombre común de la entidad emisora de la AC. No modifiques el valor de pattern.

Para verificar la configuración de la política, sigue estos pasos:

Ve a chrome://policy en el navegador.
Verifica el valor configurado de AutoSelectCertificateForUrls.
Asegúrate de que el valor de Aplicable a de la política sea Equipo. En el sistema operativo Chrome, el valor se aplica a Usuario actual.
Comprueba que el valor de Estado de la política no sea Conflicto.

Solucionar problemas de configuración

Revisa los atributos del certificado en la página de detalles del dispositivo para asegurarte de que aparecen correctamente.

Puedes usar los registros de Endpoint Verification para solucionar cualquier problema. Para descargar los registros de Endpoint Verification, sigue estos pasos:

Haz clic con el botón derecho en la extensión Endpoint Verification y, a continuación, ve a Opciones.
Selecciona Nivel de registro > Todos > Descargar registros.
Abre un caso de asistencia con Cloud Customer Care y comparte los registros para seguir depurando.