Zertifikatbasierten Zugriff mit Ihren Unternehmenszertifikaten aktivieren

Auf dieser Seite wird beschrieben, wie Sie den zertifikatbasierten Zugriff (Certificate-Based Access, CBA) mit Ihren Unternehmenszertifikaten aktivieren.

Wenn Sie keine Public-Key-Infrastruktur (PKI) haben, können Sie von der Endpunktprüfung bereitgestellte Zertifikate verwenden.

Eine wichtige Anforderung des Zero-Trust-Zugriffsmodells ist, dass nur autorisierte Geräte Zugriff erhalten dürfen. Beim kontextsensitiven Zugriff (Context-Aware Access, CAA) werden Zertifikate und die zugehörigen privaten Schlüssel verwendet, die in einem sicheren Schlüsselspeicher auf dem Gerät gespeichert sind, um festzustellen, ob das Gerät autorisiert ist. Führen Sie die folgenden Schritte aus, um diese Funktion zu aktivieren.

Hinweise

Achten Sie darauf, dass Sie CBA-Zugriffsebenen für Ihr Google Cloud -Projekt erstellt haben. Wenn Sie Zugriffsebenen erstellen müssen, lesen Sie den Abschnitt Zugriffsebenen für den zertifikatbasierten Zugriff erstellen.

Sorgen Sie dafür, dass die CBA für Ihre Google Cloud Ressourcen mit einer der folgenden Methoden erzwungen wird:

• (Empfohlen) Zertifikatbasierter Zugriff mit Richtlinien für den kontextsensitiven Zugriff erzwingen: Konfigurieren Sie Regeln für Nutzer.

• Zertifikatbasierten Zugriff mit VPC Service Controls erzwingen: Regeln für Daten konfigurieren.

Wenn Sie die kontextbezogene Authentifizierung für Ihre Google Cloud Ressourcen erzwingen, muss ein autorisierter Nutzer beim Zugriff auf IhreGoogle Cloud Ressourcen auch ein gültiges Gerätezertifikat vorlegen.

Trust-Anchor hochladen

Damit der kontextsensitive Zugriff das Unternehmenszertifikat eines Geräts erfassen und validieren kann, müssen Sie die Trust-Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet werden. Die Trust-Anchors sind das selbst signierte Root-CA-Zertifikat und die relevanten Zwischen- und untergeordneten Zertifikate. So laden Sie die Vertrauensanker hoch:

1. Rufen Sie in der Google Admin-Konsole Geräte > Netzwerke > Zertifikate auf und wählen Sie dann die Organisationseinheit aus, für die die Vertrauensanker hochgeladen werden sollen. Achten Sie darauf, dass die ausgewählte Organisationseinheit die Nutzer enthält, denen Sie Zugriff gewähren möchten.

2. Wählen Sie Zertifikat hinzufügen aus und geben Sie einen Namen für Ihr Root-Zertifikat ein.

3. Klicken Sie auf Hochladen, um das Zertifikat hochzuladen.

4. Wählen Sie Endpunktprüfung aktivieren aus und klicken Sie auf Hinzufügen.

Das hochzuladende Zertifikat sollte das CA-Zertifikat sein, das der Aussteller der auf Ihren Unternehmensgeräten installierten Clientzertifikate ist. Wenn Ihr Unternehmen kein CA-Zertifikat und die entsprechenden Clientzertifikate hat, können Sie sie über den Google Cloud Certificate Authority Service erstellen. Die Schritte zum Installieren von Clientzertifikaten in nativen Keystores sind für jedes Betriebssystem unterschiedlich und werden in diesem Dokument nicht behandelt.

Chrome-Browser der Nutzer für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Folgen Sie der Anleitung unter Endpunktprüfung einrichten, um die Chrome-Erweiterung „Endpoint Verification“ für alle Nutzer in Ihrer Organisation zu installieren. Diese Erweiterung synchronisiert Zertifikatsmetadaten mit dem Backend von Google Cloud.

Nachdem Sie die Browsererweiterung eingerichtet haben, konfigurieren Sie die AutoSelectCertificateForURLs-Chrome-Richtlinie so, dass die Endpunktprüfung nach dem Gerätezertifikat suchen und es über Chrome erfassen kann.

1. Sorgen Sie dafür, dass die Chrome-Verwaltung über die Cloud den Chrome-Browser der Nutzer verwaltet.

   • Chrome-Verwaltung über die Cloud einrichten

2. Fügen Sie in der Admin-Konsole die AutoSelectCertificateForUrls-Richtlinie hinzu:

   1. Rufen Sie Geräte > Chrome > Einstellungen > Nutzer- und Browsereinstellungen > Clientzertifikate auf.

   2. Wählen Sie die entsprechende Organisationseinheit aus.

   3. Fügen Sie eine Richtlinie hinzu.

      Im folgenden Beispiel wird die AutoSelectCertificateForUrls-Richtlinie hinzugefügt:

      {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERT_ISSUER"}}}
      {"pattern":"https://console-secure.cloud.google.com","filter":{"ISSUER":{"CN":"CERT_ISSUER"}}}
      {"pattern":"https://storage.mtls.cloud.google.com","filter":{"ISSUER":{"CN":"CERT_ISSUER"}}}
      

      Im Beispiel ist CERT_ISSUER der allgemeine Name Ihres CA-Zertifikats.

Nach dieser Konfiguration können Nutzer mit dem Chrome-Browser unter console-secure.cloud.google.com auf geschützte Google Cloud Ressourcen zugreifen.

Richtlinienkonfiguration prüfen (optional)

1. Geben Sie im Chrome-Browser chrome://policy ein.

2. Prüfen Sie, ob AutoSelectCertificateForUrls unter Chrome Policies (Chrome-Richtlinien) aufgeführt ist.

3. Prüfen Sie, ob der Wert für Gilt für Computer ist. In ChromeOS ist der Wert für Gilt für Aktueller Nutzer.

4. Der Status der Richtlinie darf nicht Konflikt lauten. Wenn der Status einen Konflikt aufweist, finden Sie weitere Informationen unter Ausführliche Informationen zur Chrome-Richtlinienverwaltung.

Befehlszeilentools für die Verwendung Ihres Unternehmenszertifikats konfigurieren

Wenn Nutzer in Ihrer Organisation über die Befehlszeile auf Google Cloud -Ressourcen zugreifen müssen, müssen sie die folgenden Schritte ausführen, um die clientbasierte Authentifizierung mit Ihrem Unternehmenszertifikat in ihren Befehlszeilentools zu aktivieren.

Zu den unterstützten Befehlszeilentools gehören:

• Google Cloud CLI

• Terraform CLI (gcloud CLI ist zum Installieren und Konfigurieren von Hilfskomponenten erforderlich.

Da die Gerätezertifikate in nativen Keystores gespeichert sind, ist die Google Cloud CLI mit einer Open-Source-Komponente namens Enterprise Certificate Proxy (ECP) gebündelt, um mit Schlüsselverwaltungs-APIs interagieren zu können.

Wenn Sie ein Windows-System verwenden, muss die Visual Studio C++-Laufzeitbibliothek installiert sein.

Folgende Betriebssysteme und die entsprechenden integrierten Keystores werden unterstützt:

• macOS mit Schlüsselbund

• Microsoft Windows mit CryptoAPI

• Linux mit PKCS #11

ECP muss mit den erforderlichen Metadaten konfiguriert werden, damit das Zertifikat in den Keystores gefunden werden kann.

ECP mit der Google Cloud CLI installieren und konfigurieren

1. Installieren Sie die Google Cloud CLI und aktivieren Sie die Abrechnung mit Kundenkonto. Installieren Sie mit aktivierter Option bundled python.

2. Führen Sie unter macOS und Linux das install.sh-Skript nach dem Herunterladen aus:

   $ ./google-cloud-sdk/install.sh
   

3. Installieren Sie die ECP-Hilfskomponente mit der Google Cloud CLI:

   gcloud components install enterprise-certificate-proxy
   

4. ECP-Zertifikatskonfiguration mit der Google Cloud CLI initialisieren:

$ gcloud auth enterprise-certificate-config create linux
  --label=<CERT_LABEL> --module=<PKCS11_MODULE_PATH> --slot=<SLOT_ID>

$ gcloud auth enterprise-certificate-config create linux
  --label="Google Endpoint Verification" --module=/usr/lib/x86_64-linux-gnu/pkcs11/libcredentialkit_pkcs11.so.0 --slot=0x1234567

$ gcloud auth enterprise-certificate-config create macos
  --issuer=<CERT_ISSUER>

$ gcloud auth enterprise-certificate-config create macos
  --issuer="Google Endpoint Verification"

$ gcloud auth enterprise-certificate-config create windows
  --issuer=<CERT_ISSUER> --provider=<PROVIDER> --store=<STORE>

$ gcloud auth enterprise-certificate-config create windows
  --issuer="Google Endpoint Verification" --provider=current_user --store=MY

Die ECP-Konfiguration kann auch manuell konfiguriert werden. Sie wird als JSON-Datei am folgenden Speicherort auf dem Gerät des Nutzers gespeichert:

• Linux und macOS: ~/.config/gcloud/certificate_config.json

• Windows: %APPDATA%\gcloud\certificate_config.json

Weitere Beispiele für die Konfiguration und das Schema finden Sie in der ECP-Dokumentation auf GitHub.

{
  "cert_configs": {
    "pkcs11": {
      "label": "<CERT_LABEL>",
      "slot": "<SLOT_ID>",
      "module": "<PKCS11_MODULE_PATH>"
    }
  },
  "libs": {
    "ecp": "/usr/lib/google-cloud-sdk/bin/ecp",
    "ecp_client": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libecp.so",
    "tls_offload": "/usr/lib/google-cloud-sdk/platform/enterprise_cert/libtls_offload.so"
  }
}

{
  "cert_configs": {
      "macos_keychain": {
        "issuer": "<CERT_ISSUER>"
      }
  },
  "libs": {
    "ecp": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/bin/ecp",
    "ecp_client": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libecp.dylib",
    "tls_offload": "<YOUR_GCLOUD_INSTALL_PATH>/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dylib"
  }
}

{
  "cert_configs": {
    "windows_store": {
      "store": "MY",
      "provider": "current_user",
      "issuer": "<CERT_ISSUER>"
    }
  },
  "libs": {
    "ecp": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/bin/ecp.exe",
    "ecp_client": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libecp.dll",
    "tls_offload": "C:/Users/<USERNAME>/AppData/Local/Google/Cloud SDK/google-cloud-sdk/platform/enterprise_cert/libtls_offload.dll"
  }
}

Nach dieser Konfiguration können Nutzer mit Befehlszeilentools auf geschützte Google Cloud Ressourcen zugreifen, indem sie das Flag für die clientzertifikatbasierte Authentifizierung aktivieren.

Wenn Sie die klientbasierte Authentifizierung für die Google Cloud CLI aktivieren möchten, führen Sie den folgenden Befehl aus, um die Eigenschaft context_aware/use_client_certificate auf true festzulegen:

$ gcloud config set context_aware/use_client_certificate true

Wenn Sie die clientbasierte Authentifizierung für alle anderen Befehlszeilentools, einschließlich Terraform, aktivieren möchten, legen Sie die Umgebungsvariable GOOGLE_API_USE_CLIENT_CERTIFICATE auf true fest.

Nächste Schritte

• Zertifikatsbasierter Zugriff – Übersicht

• mTLS in Google Cloud