Anwendungsfall: Unternehmenszertifikate erforderlich machen

Unterstützte Versionen für diese Funktion: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus und Chrome Enterprise Premium

Unternehmenszertifikate tragen dazu bei, dass Nutzergeräte als vertrauenswürdig eingestuft werden, um auf Dienste und Daten in Ihrer Organisation zuzugreifen. In diesem Beispiel erstellen Sie eine kontextsensitive Zugriffsebene, für die Nutzergeräte ein vom Unternehmen ausgestelltes Unternehmenszertifikat benötigen, um auf Apps zuzugreifen.

Die Erweiterung „Endpunktprüfung“ meldet nur ein Unternehmenszertifikat an die Google Admin-Konsole.

Hinweis

• Die Geräte der Nutzer müssen von Chrome Enterprise Core oder anderen Lösungen zur Geräte verwaltung verwaltet werden.
• Auf den Geräten der Nutzer muss die Erweiterung „Endpunktprüfung“ installiert sein. Informationen zum Installieren der Endpunkt prüfung.
• Für Windows-Nutzer: Um die Sicherheit von Chrome-Daten zu verbessern, muss der Google Chrome Elevation Service für die an die App gebundene Verschlüsselung aktiviert bleiben.

Zertifikate

• Wenn Ihr Unternehmen kein CA-Zertifikat und keine entsprechenden Client zertifikate hat, können Sie diese über den Google Cloud Certificate Authority Service erstellen.
• Clientzertifikate müssen die Clientauthentifizierung (1.3.6.1.5.5.7.3.2) unterstützen.
• Unter Windows müssen sich Clientzertifikate im Zertifikatspeicher des aktuellen Nutzers Zertifikats Speicherbefinden. Zertifikate im Zertifikatspeicher des lokalen Computers können nicht authentifiziert werden.

Zertifikatsvertrauensstellung konfigurieren

Wenn Sie das Unternehmenszertifikat des Geräts erfassen und validieren möchten, müssen Sie die Trust-Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet wurden. Die Trust-Anchors sind das Root-Zertifikat der Zertifizierungsstelle (Certification Authority, CA) und die relevanten Zwischen- und untergeordneten Zertifikate. Gehen Sie so vor:

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Geräte Netzwerke.

   Zu den Netzwerken

   Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

2. Wählen Sie die entsprechende Organisationseinheit aus.
3. Führen Sie einen der folgenden Schritte aus:
   • Wenn im Bereich Zertifikate keine Zertifikate vorhanden sind, klicken Sie auf Zertifikat hochladen.
   • Wenn Zertifikate vorhanden sind, klicken Sie auf den Bereich Zertifikate und dann auf Zertifikat hinzufügen.
4. Geben Sie den Zertifikatsnamen ein und laden Sie das Zertifikat hoch.
5. Klicken Sie auf das Kästchen Für Endpunktprüfung aktiviert.
6. Klicken Sie auf Hinzufügen.

Chrome-Richtlinie konfigurieren

Damit die Endpunktprüfung das Gerätezertifikat suchen und über Chrome erfassen kann, müssen Sie die Chrome-Richtlinie AutoSelectCertificateForURLs konfigurieren.

1. Öffnen Sie in der Admin-Konsole Geräte Chrome Einstellungen Nutzer- und Browsereinstellungen Clientzertifikate.
2. Wählen Sie die entsprechende Organisationseinheit oder Gruppe aus.

3. Fügen Sie die AutoSelectCertificateForUrls Richtlinie mit folgender Syntax hinzu: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Ersetzen Sie CERTIFICATE_ISSUER_NAME durch den gemeinsamen Namen der Zertifizierungsstelle des Ausstellers. Ändern Sie den Wert von pattern nicht.

   Während der Zertifikatserfassung und -validierung ermöglicht das Clientzertifikat die eigentliche mTLS-Verbindung zu den oben genannten clients6.google.com-Hosts.

Chrome-Richtlinienkonfiguration prüfen

1. Gehen Sie im Browser zu chrome://policy.
2. Prüfen Sie, ob der konfigurierte Wert für AutoSelectCertificateForUrls mit dem Wert übereinstimmt, der oben unter Chrome-Richtlinie konfigurieren in Schritt 3 festgelegt wurde.
3. Achten Sie darauf, dass der Wert für Gilt für der Richtlinie auf Computer festgelegt ist. Unter ChromeOS wird der Wert auf Aktueller Nutzer* angewendet.

4. Achten Sie darauf, dass der Status der Richtlinie keinen Konflikt aufweist.

   Weitere Informationen zur Richtlinienpriorität und zum Beheben von Richtlinienkonflikten finden Sie unter Informationen zur Chrome-Richtlinienverwaltung.

Erfassung von Clientzertifikaten auf dem Gerät prüfen

1. Melden Sie sich am Endpunkt an und starten Sie eine Synchronisierung mit der Google Endpoint Verification-Erweiterung.

   In diesem Schritt wird das Clientzertifikat serverseitig anhand der oben in Zertifikat Vertrauensstellung konfigurieren hochgeladenen Trust-Anchors validiert.

2. Gehen Sie in der Admin-Konsole zu Geräte Mobilgeräte und Endpunkte und suchen Sie das Gerät.

3. Prüfen Sie, ob das Zertifikat in den Einstellungen der Endpunktprüfung angezeigt wird.

4. Notieren Sie sich die Zertifikatsfelder wie „Stammzertifikat-Fingerabdruck“, „Ausstellerstring“ oder andere auf dieser Seite und verwenden Sie diese Werte, um unten in Kontextbezogene Zugriffsebene konfigurieren eine Zugriffsebene zu erstellen.

5. Sie können die Protokolle der Endpunktprüfung verwenden, um Probleme zu beheben. So laden Sie die Protokolle herunter:

   1. Klicken Sie mit der rechten Maustaste auf die Erweiterung „Endpunktprüfung“ und wählen Sie Optionen aus.
   2. Wählen Sie Protokollebene Alle Protokolle herunterladen aus.
   3. Eröffnen Sie eine Supportanfrage beim Google Workspace Support und teilen Sie die Protokolle zur weiteren Fehlerbehebung.

Kontextsensitive Zugriffsebene konfigurieren

1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü Sicherheit Zugriffs- und Datenkontrolle Kontextsensitiver Zugriff.

   Zu „Kontextsensitiver Zugriff“

   Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

2. Klicken Sie auf Zugriffsebenen.
3. Klicken Sie auf Zugriffsebene erstellen.
4. Geben Sie einen Namen für die Zugriffsebene ein (z. B. „Unternehmenszertifikat erforderlich“) und fügen Sie bei Bedarf eine Beschreibung hinzu.
5. Klicken Sie auf den Tab Advanced (Erweitert). Auf diesem Tab erstellen Sie die benutzerdefinierte Zugriffsebene in einem Bearbeitungsfenster mit der Common Expression Language (CEL). Weitere Informationen finden Sie unter Kontextsensitive Zugriffsebenen erstellen, Zugriffsebenen definieren – Erweiterter Modus.

6. Fügen Sie den CEL-Ausdruck für die Zugriffsebene hinzu.

   Die Zugriffsebene kann verschiedene Attribute des Zertifikats testen, z. B. den Fingerabdruck des Root-CA-Zertifikats prüfen (Beispiel 1) oder prüfen, ob es sich um ein gültiges Zertifikat handelt, das von einem bestimmten Aussteller ausgestellt wurde (Beispiel 2). Eine vollständige Liste der Zertifikatsattribute, die abgefragt werden können, finden Sie in dieser Attributtabelle hier.

   1) Gültiges Zertifikat, das anhand von Trust-Anchors geprüft und vom Root-Zertifikat des Unternehmens signiert wurde: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Ersetzen Sie die Root-Fingerabdruck-String durch die String, die Sie oben im Schritt zum Prüfen des Zertifikats kopiert haben.

   2) Gültiges Zertifikat, das anhand von Trust-Anchors geprüft und von einem bestimmten Aussteller ausgestellt wurde: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Klicken Sie auf Erstellen. Sie können diese Zugriffsebene nun Apps zuweisen.