Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi kondisi sertifikat perusahaan

Prinsip utama Chrome Enterprise Premium adalah akses ke layanan diberikan berdasarkan apa yang kami ketahui tentang Anda dan perangkat Anda. Tingkat akses yang diberikan kepada satu pengguna atau satu perangkat disimpulkan secara dinamis dengan menginterogasi beberapa sumber data. Chrome Enterprise Premium menggunakan tingkat kepercayaan ini sebagai bagian dari proses keputusannya.

Access Context Manager adalah mesin kebijakan zero trust Chrome Enterprise Premium. Dengan Access Context Manager, Anda dapat menentukan kontrol akses berbasis atribut yang terperinci untuk aplikasi dan resource.Google Cloud

Gunakan tingkat akses untuk mengizinkan akses ke resource berdasarkan informasi kontekstual tentang permintaan. Dengan menggunakan tingkat akses, Anda dapat mulai mengatur tingkat kepercayaan. Misalnya, Anda dapat membuat tingkat akses bernama High_Level yang mengizinkan permintaan dari sekelompok kecil individu dengan hak istimewa tinggi. Anda juga dapat mengidentifikasi grup yang lebih umum untuk dipercayai, seperti rentang alamat IP yang ingin Anda izinkan permintaannya. Dalam hal ini, Anda dapat membuat tingkat akses yang disebut Medium_Level untuk mengizinkan permintaan tersebut.

Salah satu persyaratan utama untuk akses zero trust adalah hanya mengizinkan akses jika perangkat dikelola atau dimiliki oleh perusahaan. Ada beberapa cara untuk menentukan apakah perangkat dimiliki perusahaan. Salah satu caranya adalah dengan menentukan apakah ada sertifikat valid yang dikeluarkan oleh perusahaan di perangkat. Sertifikat perusahaan di perangkat dapat menunjukkan bahwa perangkat tersebut milik perusahaan.

Sertifikat perusahaan untuk Akses Kontekstual adalah fitur dari solusi akses berbasis sertifikat Chrome Enterprise Premium secara keseluruhan. Fitur ini menggunakan sertifikat perangkat sebagai sinyal kontekstual alternatif untuk menentukan apakah perangkat merupakan aset milik perusahaan. Fitur ini didukung di browser Chrome versi 110 atau yang lebih baru.

Karena satu perangkat dapat memiliki lebih dari satu sertifikat, Anda dapat mengakses sertifikat perusahaan di tingkat akses kustom melalui makro .exist(e,p):

device.certificates.exists(cert, predicate)

Dalam contoh, cert adalah ID yang digunakan dalam predicate, yang terikat ke sertifikat perangkat. Makro exists() menggabungkan hasil predikat per elemen dengan operator "or" (||), yang berarti makro menampilkan benar jika setidaknya satu sertifikat memenuhi ekspresi predicate.

Sertifikat memiliki atribut berikut yang dapat diperiksa bersama-sama. Perhatikan bahwa perbandingan string peka huruf besar/kecil.

Atribut	Deskripsi	Contoh ekspresi predikat (dengan `cert` adalah ID makro)
`is_valid`	Benar jika sertifikat valid dan masa berlakunya belum habis (boolean). Anda tidak dapat menggunakan atribut ini dengan Verifikasi Endpoint, karena Verifikasi Endpoint tidak memeriksa pencabutan sertifikat.	`cert.is_valid`
`cert_fingerprint`	Sidik jari sertifikat (SHA256 tanpa padding base64). Sidik jari adalah digest SHA256 berenkode base64 tanpa padding, dalam format biner, dari sertifikat yang dienkode dengan DER. Anda dapat membuat string dari sertifikat dalam format PEM menggunakan prosedur berikut dengan OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Sidik jari sertifikat CA Root yang digunakan untuk menandatangani sertifikat (SHA256 tanpa padding base64). Sidik jari adalah digest SHA256 berenkode base64 tanpa padding, dalam format biner, dari sertifikat yang dienkode dengan DER. Anda dapat membuat string dari sertifikat dalam format PEM menggunakan prosedur berikut dengan OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nama penerbit (nama yang sepenuhnya diperluas). Untuk menemukan nama penerbit, Anda dapat menggunakan pendekatan berikut: Jalankan perintah berikut pada sertifikat: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` Untuk mendapatkan string penerbit untuk tingkat akses, balikkan output dan ganti setiap garis miring (/) dengan koma (,): `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Nama subjek sertifikat (nama yang sepenuhnya diperluas).	`cert.subject == "CA_SUB"`
`serial_number`	Nomor seri sertifikat (string).	`cert.serial_number = "123456789"`
`template_id`	ID Template Certificate Template ekstensi X.509 untuk sertifikat (string).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

Tabel berikut berisi contoh kebijakan yang dapat Anda tetapkan:

Contoh Kebijakan	Ekspresi
Perangkat memiliki sertifikat valid yang ditandatangani oleh root certificate perusahaan.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
Perangkat memiliki sertifikat valid yang dikeluarkan oleh penerbit `CA_ABC`.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Mengonfigurasi sertifikat perusahaan

Sebelum mengonfigurasi sertifikat perusahaan, pastikan Anda telah mengonfigurasi tingkat akses kustom. Untuk mengetahui petunjuknya, lihat Membuat tingkat akses kustom.

Anda dapat menggunakan definisi tingkat akses kustom Access Context Manager untuk menetapkan kebijakan yang sesuai. Tingkat akses kustom menggunakan ekspresi boolean yang ditulis dalam subset Common Expression Language (CEL) untuk menguji atribut klien yang membuat permintaan.

Mengupload anchor tepercaya di konsol Admin

Agar Chrome Enterprise Premium dapat mengumpulkan dan memvalidasi sertifikat perusahaan perangkat, Anda harus mengupload trust anchor dan sertifikat perantara yang digunakan untuk menerbitkan sertifikat perangkat. Trust anchor adalah sertifikat CA (Certificate Authority) root yang ditandatangani sendiri dan sertifikat perantara dan bawahan yang relevan. Selesaikan langkah-langkah berikut untuk mengupload anchor kepercayaan:

Buka konsol Admin, lalu buka Perangkat > Jaringan > Sertifikat.
Pilih unit organisasi yang sesuai.
Pilih Tambahkan Sertifikat.
Masukkan nama sertifikat.
Upload sertifikat.
Centang kotak Verifikasi Endpoint.
Klik Tambahkan.
Pastikan pengguna berada di unit organisasi tempat anchor kepercayaan diupload.

Mengonfigurasi kebijakan AutoSelectCertificateForUrls

Agar Verifikasi Endpoint dapat menelusuri sertifikat perangkat dan mengumpulkannya di Chrome, Anda harus mengonfigurasi kebijakan AutoSelectCertificateForURLs dengan menyelesaikan langkah-langkah berikut:

Pastikan browser Chrome dikelola oleh Pengelolaan Cloud Browser Chrome.
- Untuk Windows, macOS, dan Linux, siapkan browser Chrome yang dikelola cloud menggunakan Kode Chrome Enterprise. Untuk mengetahui petunjuknya, lihat Mendaftar ke Chrome Enterprise Core.
- Daftarkan perangkat Anda agar organisasi Anda dapat mengelola perangkat tersebut secara terpusat. Untuk mengetahui petunjuknya, lihat Mendaftarkan browser Chrome yang dikelola cloud.
Di konsol Admin, tambahkan kebijakan AutoSelectCertificateForUrls:
1. Buka konsol Admin, lalu buka Perangkat > Chrome > Setelan > Setelan Pengguna & Browser > Sertifikat klien.
2. Pilih unit organisasi yang sesuai.
3. Tambahkan kebijakan AutoSelectCertificateForUrls, berdasarkan contoh berikut:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Ganti CERTIFICATE_ISSUER_NAME dengan nama umum CA penerbit. Jangan ubah nilai pattern.

Untuk memverifikasi konfigurasi kebijakan, selesaikan langkah-langkah berikut:

Buka chrome://policy di browser.
Verifikasi nilai yang dikonfigurasi untuk AutoSelectCertificateForUrls.
Pastikan nilai Berlaku untuk kebijakan ditetapkan ke Perangkat. Di sistem operasi Chrome, nilai diterapkan ke Pengguna Saat Ini.
Pastikan Status untuk kebijakan tidak memiliki Konflik.

Memecahkan masalah konfigurasi

Tinjau atribut sertifikat di halaman detail perangkat untuk memastikan atribut tersebut tercantum dengan benar.

Anda dapat menggunakan log Verifikasi Endpoint untuk membantu memecahkan masalah. Untuk mendownload log Endpoint Verification, selesaikan langkah-langkah berikut:

Klik kanan ekstensi Verifikasi Endpoint, lalu buka Opsi.
Pilih Tingkat log > Semua > Download Log.
Buka kasus dukungan dengan Cloud Customer Care dan bagikan log untuk proses debug lebih lanjut.