Diese Seite wurde von der Cloud Translation API übersetzt.

Bedingungen für Unternehmenszertifikate konfigurieren

Ein wichtiges Prinzip von Chrome Enterprise Premium ist, dass der Zugriff auf Dienste basierend darauf gewährt wird, was wir über Sie und Ihr Gerät wissen. Die Zugriffsebene, die einem einzelnen Nutzer oder einem einzelnen Gerät gewährt wird, wird dynamisch durch Abfragen mehrerer Datenquellen abgeleitet. Chrome Enterprise Premium verwendet diese Vertrauensebene als Teil des Entscheidungsprozesses.

Access Context Manager ist die Zero-Trust-Richtlinien-Engine von Chrome Enterprise Premium. Mit Access Context Manager können Sie eine differenzierte, attributbasierte Zugriffssteuerung für Anwendungen undGoogle Cloud -Ressourcen definieren.

Mit Zugriffsebenen können Sie den Zugriff auf Ressourcen basierend auf Kontextinformationen über die Anfrage ermöglichen. Mithilfe von Zugriffsebenen können Sie Vertrauensebenen organisieren. Sie können beispielsweise eine Zugriffsebene mit dem Namen High_Level erstellen, die Anfragen von einer kleinen Gruppe berechtigter Personen zulässt. Sie können auch eine allgemeinere Gruppe angeben, der Sie vertrauen möchten, z. B. einen IP-Adressbereich, für den Sie Anfragen zulassen möchten. In diesem Fall können Sie eine Zugriffsebene mit dem Namen Medium_Level erstellen, um diese Anfragen zuzulassen.

Eine der wichtigsten Anforderungen für den Zero-Trust-Zugriff ist es, Zugriff nur dann zuzulassen, wenn das Gerät vom Unternehmen verwaltet wird oder dem Unternehmen gehört. Es gibt mehrere Möglichkeiten, festzustellen, ob ein Gerät dem Unternehmen gehört. Eine Möglichkeit besteht darin, festzustellen, ob sich auf dem Gerät ein gültiges Zertifikat befindet, das vom Unternehmen ausgestellt wurde. Ein Unternehmenszertifikat auf einem Gerät kann darauf hinweisen, dass es sich um ein unternehmenseigenes Gerät handelt.

Unternehmenszertifikate für den kontextsensitiven Zugriff sind eine Funktion der gesamten zertifikatbasierten Zugriffslösung von Chrome Enterprise Premium. Bei dieser Funktion werden Gerätezertifikate als alternatives kontextsensitives Signal verwendet, um festzustellen, ob es sich bei einem Gerät um ein unternehmenseigenes Asset handelt. Diese Funktion wird in Chrome-Version 110 und höher unterstützt.

Da ein Gerät mehrere Zertifikate haben kann, können Sie über die Makros .exist(e,p) in der benutzerdefinierten Zugriffsebene auf Unternehmenszertifikate zugreifen:

device.certificates.exists(cert, predicate)

Im Beispiel ist cert eine Kennung, die in predicate verwendet wird und an das Geräte-Zertifikat gebunden ist. Das Makro exists() kombiniert die Prädikatsergebnisse pro Element mit dem Operator „or“ (||). Das bedeutet, dass Makros „true“ zurückgeben, wenn mindestens ein Zertifikat den Ausdruck predicate erfüllt.

Das Zertifikat hat die folgenden Attribute, die gemeinsam geprüft werden können. Bei Stringvergleichen wird die Groß-/Kleinschreibung beachtet.

Attribut	Beschreibung	Beispiel für einen Prädikatsausdruck (wobei `cert` eine Kennung von Makros ist)
`is_valid`	„true“, wenn das Zertifikat gültig und nicht abgelaufen ist (boolescher Wert). Sie können dieses Attribut nicht mit der Endpunktprüfung verwenden, da bei der Endpunktprüfung keine Zertifikatsperrung geprüft wird.	`cert.is_valid`
`cert_fingerprint`	Fingerabdruck des Zertifikats (base64-codiertes, nicht aufgefülltes SHA256). Der Fingerabdruck ist der nicht aufgefüllte base64-codierte SHA256-Digest (im Binärformat) des DER-verschlüsselten Zertifikats. Sie können den String mit OpenSSL aus dem Zertifikat im PEM-Format generieren. Gehen Sie dazu so vor: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Fingerabdruck des CA-Root-Zertifikats, das zum Signieren des Zertifikats verwendet wird (base64-codiertes, nicht aufgefülltes SHA256). Der Fingerabdruck ist der nicht aufgefüllte base64-codierte SHA256-Digest des DER-verschlüsselten Zertifikats im Binärformat. Sie können den String mit OpenSSL aus dem Zertifikat im PEM-Format generieren. Gehen Sie dazu so vor: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Ausstellername (vollständig erweiterte Namen). So ermitteln Sie den Ausstellernamen: Führen Sie den folgenden Befehl für das Zertifikat aus: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` Um den Ausstellerstring für die Zugriffsebene zu erhalten, kehren Sie die Ausgabe um und ersetzen Sie jeden Schrägstrich (/) durch ein Komma (,): `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Name des Zertifikats (vollständig erweiterte Namen).	`cert.subject == "CA_SUB"`
`serial_number`	Seriennummer des Zertifikats (String).	`cert.serial_number = "123456789"`
`template_id`	Vorlagen-ID der Zertifikatsvorlage der X.509-Erweiterung für das Zertifikat (String).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

Die folgende Tabelle enthält Beispiele für Richtlinien, die Sie festlegen können:

Beispielrichtlinie	Ausdruck
Das Gerät hat ein gültiges Zertifikat, das vom Root-Zertifikat des Unternehmens signiert wurde.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
Das Gerät hat ein gültiges Zertifikat, das vom Aussteller `CA_ABC` ausgestellt wurde.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Unternehmenszertifikate konfigurieren

Bevor Sie Unternehmenszertifikate konfigurieren, müssen Sie benutzerdefinierte Zugriffsebenen konfiguriert haben. Eine Anleitung finden Sie unter Benutzerdefinierte Zugriffsebene erstellen.

Sie können die Definition für benutzerdefinierte Zugriffsebenen für Access Context Manager verwenden, um die entsprechenden Richtlinien festzulegen. Benutzerdefinierte Zugriffsebenen verwenden boolesche Ausdrücke, die in einer Teilmenge von Common Expression Language (CEL) geschrieben werden, um die Attribute eines Clients zu testen, der eine Anfrage stellt.

Vertrauensanker in der Admin-Konsole hochladen

Damit Chrome Enterprise Premium das Unternehmenszertifikat des Geräts erfassen und validieren kann, müssen Sie die Trust-Anchors und alle Zwischenzertifikate hochladen, die zum Ausstellen des Gerätezertifikats verwendet wurden. Die Vertrauensanker sind das selbst signierte Root-CA-Zertifikat (Certification Authority) und die relevanten Zwischen- und untergeordneten Zertifikate. Gehen Sie folgendermaßen vor, um die Vertrauensanker hochzuladen:

Rufen Sie die Admin-Konsole auf und gehen Sie zu Geräte > Netzwerke > Zertifikate.
Wählen Sie die entsprechende Organisationseinheit aus.
Wählen Sie Zertifikat hinzufügen aus.
Geben Sie den Namen des Zertifikats ein.
Laden Sie das Zertifikat hoch.
Aktivieren Sie das Kästchen Endpunktprüfung.
Klicken Sie auf Hinzufügen.
Achten Sie darauf, dass Nutzer der Organisationseinheit angehören, für die die Trust-Anker hochgeladen wurden.

Richtlinie „AutoSelectCertificateForUrls“ konfigurieren

Damit die Endpunktprüfung das Gerätezertifikat suchen und über Chrome erfassen kann, müssen Sie die Richtlinie „AutoSelectCertificateForURLs“ konfigurieren. Führen Sie dazu die folgenden Schritte aus:

Der Chrome-Browser muss über die Chrome-Verwaltung über die Cloud verwaltet werden.
- Richten Sie für Windows, macOS und Linux den cloudbasiert verwalteten Chrome-Browser mit dem Chrome Enterprise-Code ein. Eine Anleitung finden Sie unter Für Chrome Enterprise Core registrieren.
- Registrieren Sie Ihr Gerät, damit Ihre Organisation es zentral verwalten kann. Eine Anleitung finden Sie unter Chrome-Browser für die Verwaltung über die Cloud registrieren.
Fügen Sie in der Admin-Konsole die Richtlinie „AutoSelectCertificateForUrls“ hinzu:
1. Rufen Sie die Admin-Konsole auf und gehen Sie zu Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Kundenzertifikate.
2. Wählen Sie die entsprechende Organisationseinheit aus.
3. Fügen Sie eine Richtlinie AutoSelectCertificateForUrls basierend auf dem folgenden Beispiel hinzu:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Ersetzen Sie CERTIFICATE_ISSUER_NAME durch den gemeinsamen Namen der Zertifizierungsstelle des Ausstellers. Ändern Sie den Wert von pattern nicht.

So überprüfen Sie die Richtlinienkonfiguration:

Rufen Sie chrome://policy im Browser auf.
Prüfen Sie den konfigurierten Wert für AutoSelectCertificateForUrls.
Achten Sie darauf, dass der Wert der Richtlinie Gilt für auf Computer festgelegt ist. Im Chrome-Betriebssystem wird der Wert auf Aktueller Nutzer angewendet.
Der Status der Richtlinie darf nicht Konflikt lauten.

Fehlerbehebung bei der Konfiguration

Prüfen Sie die Zertifikatsattribute auf der Gerätedetailseite, um sicherzustellen, dass sie korrekt aufgeführt sind.

Mithilfe der Protokolle der Endpunktprüfung können Sie Probleme beheben. So laden Sie die Endpoint Verification-Protokolle herunter:

Klicken Sie mit der rechten Maustaste auf die Erweiterung „Endpunktprüfung“ und wählen Sie Optionen aus.
Wählen Sie Log-Ebene > Alle > Logs herunterladen aus.
Eröffnen Sie eine Supportanfrage bei Cloud Customer Care und geben Sie die Logs für die weitere Fehlerbehebung an.