Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione delle condizioni dei certificati aziendali

Un principio fondamentale di Chrome Enterprise Premium è che l'accesso ai servizi viene concesso in base a ciò che sappiamo su di te e sul tuo dispositivo. Il livello di accesso concesso a un singolo utente o a un singolo dispositivo viene dedotto dinamicamente interrogando più origini dati. Chrome Enterprise Premium utilizza questo livello di attendibilità nell'ambito del processo decisionale.

Gestore contesto accesso è il motore di criteri Zero Trust di Chrome Enterprise Premium. Gestore contesto accesso ti consente di definire un controllo dell'accesso granulare e basato sugli attributi per applicazioni e risorse.Google Cloud

Utilizza i livelli di accesso per consentire l'accesso alle risorse in base alle informazioni contestuali sulla richiesta. Utilizzando i livelli di accesso, puoi iniziare a organizzare i livelli di attendibilità. Ad esempio, potresti creare un livello di accesso chiamato High_Level che consente le richieste di un piccolo gruppo di persone con privilegi elevati. Potresti anche identificare un gruppo più generico da considerare attendibile, ad esempio un intervallo di indirizzi IP da cui vuoi consentire le richieste. In questo caso, puoi creare un livello di accesso chiamato Medium_Level per consentire queste richieste.

Uno dei requisiti chiave per l'accesso Zero Trust è consentire l'accesso solo quando il dispositivo è gestito o è di proprietà dell'azienda. Esistono diversi modi per determinare se un dispositivo è di proprietà dell'azienda. Un modo è determinare se sul dispositivo è presente un certificato valido emesso dall'azienda. Un certificato aziendale su un dispositivo può indicare che è di proprietà dell'azienda.

I certificati aziendali per l'accesso sensibile al contesto sono una funzionalità della soluzione complessiva di accesso basato su certificati di Chrome Enterprise Premium. Questa funzionalità utilizza i certificati del dispositivo come segnale sensibile al contesto alternativo per determinare se un dispositivo è una risorsa di proprietà dell'azienda. Questa funzionalità è supportata sul browser Chrome versione 110 o successive.

Poiché un dispositivo può avere più di un certificato, puoi accedere ai certificati aziendali nel livello di accesso personalizzato tramite le macro .exist(e,p):

device.certificates.exists(cert, predicate)

Nell'esempio, cert è un identificatore utilizzato in predicate, che si associa al certificato del dispositivo. La macro exists() combina i risultati del predicato per ciascun elemento con l'operatore "or" (||), il che significa che le macro restituiscono true se almeno un certificato soddisfa l'espressione predicate.

Il certificato ha i seguenti attributi che possono essere controllati insieme. Tieni presente che i confronti delle stringhe sono sensibili alle maiuscole.

Attributo	Descrizione	Esempio di espressione del predicato (dove `cert` è un identificatore di macro)
`is_valid`	Vero se il certificato è valido e non è scaduto (booleano). Non puoi utilizzare questo attributo con la verifica endpoint, perché la verifica endpoint non controlla la revoca dei certificati.	`cert.is_valid`
`cert_fingerprint`	Impronta del certificato (SHA256 base64 senza padding). L'impronta è il digest SHA256 con codifica base64 senza padding, in formato binario, del certificato con codifica DER. Puoi generare la stringa dal certificato in formato PEM utilizzando la seguente procedura con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Impronta del certificato CA radice utilizzato per firmare il certificato (SHA256 base64 senza padding). L'impronta è il digest SHA256 con codifica base64 senza padding, in formato binario, del certificato con codifica DER. Puoi generare la stringa dal certificato in formato PEM utilizzando la seguente procedura con OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha \| tr -d =`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nome dell'autorità di certificazione (nomi completamente espansi). Per trovare il nome dell'emittente, puoi utilizzare il seguente approccio: Esegui questo comando sul certificato: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` Per ottenere la stringa dell'autorità di certificazione per il livello di accesso, inverti l'output e sostituisci ogni barra (/) con una virgola (,): `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Nome del soggetto del certificato (nomi completamente espansi).	`cert.subject == "CA_SUB"`
`serial_number`	Numero di serie del certificato (stringa).	`cert.serial_number = "123456789"`
`template_id`	ID modello dell'estensione X.509 CertificateTemplate del certificato (stringa).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

La tabella seguente contiene esempi di criteri che puoi impostare:

Policy di esempio	Espressione
Il dispositivo ha un certificato valido firmato dal certificato radice aziendale.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
Il dispositivo ha un certificato valido emesso dall'emittente `CA_ABC`.	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Configurazione dei certificati aziendali

Prima di configurare i certificati aziendali, assicurati di aver configurato i livelli di accesso personalizzati. Per le istruzioni, consulta la guida alla creazione di un livello di accesso personalizzato.

Puoi utilizzare una definizione di livello di accesso personalizzato di Gestore contesto accesso per impostare i criteri appropriati. I livelli di accesso personalizzati utilizzano espressioni booleane scritte in un sottoinsieme del Common Expression Language (CEL) per testare gli attributi di un client che effettua una richiesta.

Caricare gli ancoraggi attendibili nella Console di amministrazione

Affinché Chrome Enterprise Premium possa raccogliere e convalidare il certificato aziendale del dispositivo, devi caricare i trust anchor e tutti i certificati intermedi utilizzati per emettere il certificato del dispositivo. I trust anchor sono il certificato dell'autorità di certificazione (CA) radice autofirmato e i certificati intermedi e subordinati pertinenti. Completa i seguenti passaggi per caricare gli ancoraggi attendibili:

Vai alla Console di amministrazione e seleziona Dispositivi > Reti > Certificati.
Seleziona l'unità organizzativa appropriata.
Seleziona Aggiungi certificato.
Inserisci il nome del certificato.
Carica il certificato.
Seleziona la casella di controllo Endpoint Verification.
Fai clic su Aggiungi.
Assicurati che gli utenti appartengano all'unità organizzativa per cui vengono caricati gli ancoraggi attendibili.

Configurare una policy AutoSelectCertificateForUrls

Affinché Verifica degli endpoint possa cercare il certificato del dispositivo e raccoglierlo tramite Chrome, devi configurare la policy AutoSelectCertificateForURLs completando i seguenti passaggi:

Assicurati che il browser Chrome sia gestito da Chrome Browser Cloud Management.
- Per Windows, macOS e Linux, configura il browser Chrome gestito dal cloud utilizzando il codice Chrome Enterprise. Per istruzioni, vedi Registrarsi a Chrome Enterprise Core.
- Registra il dispositivo per consentire alla tua organizzazione di gestirlo a livello centrale. Per istruzioni, vedi Registrare i browser Chrome gestiti su cloud.
Nella Console di amministrazione, aggiungi il criterio AutoSelectCertificateForUrls:
1. Vai alla Console di amministrazione e vai a Dispositivi > Chrome > Impostazioni > Impostazioni browser e utente > Certificati client.
2. Seleziona l'unità organizzativa appropriata.
3. Aggiungi una policy AutoSelectCertificateForUrls, in base al seguente esempio:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Sostituisci CERTIFICATE_ISSUER_NAME con il nome comune della CA dell'emittente. Non modificare il valore di pattern.

Per verificare la configurazione della policy, completa i seguenti passaggi:

Vai a chrome://policy nel browser.
Verifica il valore configurato per AutoSelectCertificateForUrls.
Assicurati che il valore della policy Si applica a sia impostato su Computer. Sul sistema operativo Chrome, il valore viene applicato a Utente corrente.
Assicurati che lo Stato della policy non sia Conflitto.

Risoluzione dei problemi di configurazione

Controlla gli attributi del certificato nella pagina dei dettagli del dispositivo per assicurarti che siano elencati correttamente.

Puoi utilizzare i log di Verifica degli endpoint per risolvere eventuali problemi. Per scaricare i log della verifica degli endpoint, completa i seguenti passaggi:

Fai clic con il tasto destro del mouse sull'estensione Endpoint Verification e vai a Opzioni.
Seleziona Livello di log > Tutti > Scarica log.
Apri una richiesta di assistenza con l'assistenza clienti Google Cloud e condividi i log per ulteriore debug.