इस्तेमाल का उदाहरण: एंटरप्राइज़ सर्टिफ़िकेट की ज़रूरत है

इस सुविधा के साथ काम करने वाले वर्शन: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, और Chrome Enterprise Premium

Enterprise सर्टिफ़िकेट से यह पक्का करने में मदद मिलती है कि उपयोगकर्ता के डिवाइसों पर, आपके संगठन की सेवाओं और डेटा को ऐक्सेस करने के लिए भरोसा किया जा सकता है. इस उदाहरण में, कॉन्टेक्स्ट अवेयर ऐक्सेस का एक ऐसा लेवल बनाया गया है जिसमें ऐप्लिकेशन ऐक्सेस करने के लिए, उपयोगकर्ता के डिवाइसों पर कंपनी की ओर से जारी किया गया एंटरप्राइज़ सर्टिफ़िकेट होना ज़रूरी है.

एंडपॉइंट पुष्टि करने वाला एक्सटेंशन, Google Admin console को सिर्फ़ एक एंटरप्राइज़ सर्टिफ़िकेट की जानकारी देता है.

शुरू करने से पहले

• पक्का करें कि उपयोगकर्ता के डिवाइस, Chrome Enterprise Core या डिवाइस मैनेजमेंट के अन्य समाधानों से मैनेज किए जा रहे हों.
• उपयोगकर्ताओं के डिवाइसों पर, Endpoint Verification एक्सटेंशन इंस्टॉल होना चाहिए. एंडपॉइंट की पुष्टि करने की सुविधा इंस्टॉल करने का तरीका जानें.
• (Windows का इस्तेमाल करने वाले लोगों के लिए) Chrome के डेटा की सुरक्षा को बेहतर बनाने के लिए, पक्का करें कि ऐप्लिकेशन से जुड़े एनक्रिप्शन के लिए, Google Chrome Elevation Service चालू रहे.

सर्टिफ़िकेट के बारे में जानकारी

• अगर आपकी कंपनी के पास CA सर्टिफ़िकेट और उससे जुड़े क्लाइंट सर्टिफ़िकेट नहीं हैं, तो Google Cloud Certificate Authority Service की मदद से उन्हें बनाया जा सकता है.
• क्लाइंट सर्टिफ़िकेट में क्लाइंट ऑथेंटिकेशन (1.3.6.1.5.5.7.3.2) की सुविधा होनी चाहिए.
• Windows पर, क्लाइंट सर्टिफ़िकेट, Current User certificate store में मौजूद होने चाहिए. लोकल मशीन सर्टिफ़िकेट स्टोर में मौजूद सर्टिफ़िकेट की पुष्टि नहीं की जा सकती.

सर्टिफ़िकेट की पुष्टि करने की सुविधा कॉन्फ़िगर करना

डिवाइस के एंटरप्राइज़ सर्टिफ़िकेट को इकट्ठा करने और उसकी पुष्टि करने के लिए, आपको उन ट्रस्ट ऐंकर को अपलोड करना होगा जिनका इस्तेमाल डिवाइस का सर्टिफ़िकेट जारी करने के लिए किया गया था. ट्रस्ट ऐंकर, रूट सीए (सर्टिफ़िकेट देने वाली संस्था) का सर्टिफ़िकेट और उससे जुड़े इंटरमीडिएट और सबऑर्डिनेट सर्टिफ़िकेट होते हैं. डेटा ऐक्सेस करने के लिए, यह तरीका अपनाएं:

1. Google Admin console में, मेन्यू डिवाइस नेटवर्क पर जाएं. 

   नेटवर्क पर जाएं

   इसके लिए शेयर किए गए डिवाइस सेटिंग के व्यवस्थापकीय विशेषाधिकार का होना ज़रूरी है.

2. संगठन की सही इकाई चुनें.
3. इनमें से कोई एक काम करें:
   • अगर सर्टिफ़िकेट सेक्शन में कोई सर्टिफ़िकेट नहीं है, तो सर्टिफ़िकेट अपलोड करें पर क्लिक करें.
   • अगर सर्टिफ़िकेट मौजूद हैं, तो सर्टिफ़िकेट सेक्शन पर क्लिक करें. इसके बाद, सर्टिफ़िकेट जोड़ें पर क्लिक करें.
4. सर्टिफ़िकेट का नाम डालें और सर्टिफ़िकेट अपलोड करें.
5. एंडपॉइंट की पुष्टि करने की सुविधा के लिए चालू है चेकबॉक्स पर क्लिक करें.
6. जोड़ें पर क्लिक करें.

Chrome की नीति कॉन्फ़िगर करना

डिवाइस सर्टिफ़िकेट को खोजने और Chrome के ज़रिए उसे इकट्ठा करने के लिए, आपको AutoSelectCertificateForURLs Chrome नीति को कॉन्फ़िगर करना होगा.

1. Admin console में, डिवाइस Chrome सेटिंग उपयोगकर्ता और ब्राउज़र की सेटिंग क्लाइंट सर्टिफ़िकेट पर जाएं.
2. संगठन की सही इकाई या ग्रुप चुनें.

3. इस सिंटैक्स का इस्तेमाल करके, AutoSelectCertificateForUrls नीति जोड़ें: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   CERTIFICATE_ISSUER_NAME को, सर्टिफ़िकेट जारी करने वाली संस्था (सीए) के नाम से बदलें. pattern की वैल्यू में बदलाव न करें.

   सर्टिफ़िकेट इकट्ठा करने और पुष्टि करने की प्रोसेस के दौरान, क्लाइंट सर्टिफ़िकेट से ऊपर दिए गए clients6.google.com होस्ट के साथ असली mTLS कनेक्शन चालू होता है.

Chrome की नीति के कॉन्फ़िगरेशन की पुष्टि करना

1. ब्राउज़र में chrome://policy पर जाएं.
2. पुष्टि करें कि AutoSelectCertificateForUrls के लिए कॉन्फ़िगर की गई वैल्यू, ऊपर Chrome की नीति कॉन्फ़िगर करें में तीसरे चरण में सेट की गई वैल्यू है.
3. पक्का करें कि नीति लागू होती है की वैल्यू मशीन पर सेट हो. ChromeOS पर, यह वैल्यू मौजूदा उपयोगकर्ता* पर लागू होती है.

4. पक्का करें कि नीति के स्टेटस में विरोध न हो.

   नीति लागू होने के क्रम और नीतियों के टकराव को ठीक करने के बारे में ज़्यादा जानने के लिए, Chrome के पॉलिसी मैनेजमेंट के बारे में जानना लेख पढ़ें.

डिवाइस पर क्लाइंट सर्टिफ़िकेट इकट्ठा किए जाने की पुष्टि करना

1. (एंडपॉइंट पर) Google Endpoint Verification एक्सटेंशन का इस्तेमाल करके, साइन इन करें और सिंक शुरू करें.

   इस चरण के दौरान, सर्वर साइड पर क्लाइंट सर्टिफ़िकेट की पुष्टि की जाती है. इसके लिए, ऊपर दिए गए सर्टिफ़िकेट के भरोसेमंद होने की पुष्टि करें में अपलोड किए गए ट्रस्ट ऐंकर का इस्तेमाल किया जाता है.

2. (Admin console) डिवाइस मोबाइल और एंडपॉइंट पर जाएं और डिवाइस ढूंढें.

3. पुष्टि करें कि एंडपॉइंट की पुष्टि करने की सेटिंग में, सर्टिफ़िकेट दिख रहा हो.

4. इस पेज पर, Root CA फ़िंगरप्रिंट, जारी करने वाले का स्ट्रिंग, या अन्य जैसे सर्टिफ़िकेट फ़ील्ड नोट करें. साथ ही, इन वैल्यू का इस्तेमाल करके, नीचे दिए गए कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल कॉन्फ़िगर करें में ऐक्सेस लेवल बनाएं.

5. किसी भी समस्या को हल करने के लिए, एंडपॉइंट की पुष्टि करने वाले लॉग का इस्तेमाल किया जा सकता है. लॉग डाउनलोड करने के लिए:

   1. Endpoint Verification एक्सटेंशन पर राइट क्लिक करें. इसके बाद, विकल्प पर जाएं.
   2. लॉग लेवल सभी लॉग डाउनलोड करें को चुनें.
   3. Google Workspace की सहायता टीम के साथ एक केस खोलें और डीबग करने के लिए, लॉग शेयर करें.

कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल कॉन्फ़िगर करना

1. Google Admin console में, मेन्यू सुरक्षा ऐक्सेस और डेटा कंट्रोल कॉन्टेक्स्ट के हिसाब से ऐक्सेस करने की सुविधा पर जाएं.

   कॉन्टेक्स्ट अवेयर ऐक्सेस पर जाएं

   इसके लिए, डेटा सुरक्षा के ऐक्सेस लेवल और नियम मैनेज करने के खास अधिकारों के साथ-साथ Admin API के ग्रुप और उपयोगकर्ताओं के लिए, पढ़ने के खास अधिकार ज़रूरी हैं.

2. ऐक्सेस लेवल चुनें.
3. ऐक्सेस लेवल बनाएं पर क्लिक करें.
4. ऐक्सेस लेवल का नाम जोड़ें. उदाहरण के लिए, "Enterprise certificate की ज़रूरत है". इसके अलावा, चाहें, तो ब्यौरा भी जोड़ें.
5. बेहतर टैब पर क्लिक करें. इस टैब पर, कॉमन एक्सप्रेशन लैंग्वेज (सीईएल) का इस्तेमाल करके, एडिटिंग विंडो में कस्टम ऐक्सेस लेवल बनाया जाता है. ज़्यादा जानकारी के लिए, कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाएं, ऐक्सेस लेवल तय करें - ऐडवांस मोड पर जाएं.

6. ऐक्सेस लेवल के लिए, सीईएल एक्सप्रेशन जोड़ें.

   ऐक्सेस लेवल, सर्टिफ़िकेट के अलग-अलग एट्रिब्यूट की जांच कर सकता है. जैसे, रूट CA सर्टिफ़िकेट के फ़िंगरप्रिंट की पुष्टि करना (उदाहरण 1) या यह जांच करना कि क्या यह किसी खास जारी करने वाले व्यक्ति या संस्था से जारी किया गया मान्य सर्टिफ़िकेट है (उदाहरण 2). सर्टिफ़िकेट के उन एट्रिब्यूट की पूरी सूची देखने के लिए क्वेरी की जा सकती है, एट्रिब्यूट टेबल यहां देखें.

   1) मान्य सर्टिफ़िकेट, जिसकी पुष्टि ट्रस्ट एंकर के हिसाब से की गई है और जिस पर कंपनी के रूट सर्टिफ़िकेट के हस्ताक्षर हैं: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   रूट फ़िंगरप्रिंट स्ट्रिंग को उस स्ट्रिंग से बदलें जिसे आपने ऊपर सर्टिफ़िकेट की पुष्टि करें चरण में कॉपी किया था.

   2) मान्य सर्टिफ़िकेट, जिसकी पुष्टि भरोसेमंद एंकर के ज़रिए की गई हो और जिसे किसी खास जारी करने वाली संस्था ने जारी किया हो: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. बनाएं पर क्लिक करें. अब ऐप्लिकेशन को यह ऐक्सेस लेवल असाइन किया जा सकता है.