Caso de uso: Exigir certificados empresariales

Ediciones compatibles con esta función: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus y Chrome Enterprise Premium

Los certificados empresariales ayudan a garantizar que los dispositivos de los usuarios sean de confianza para acceder a los servicios y los datos de tu organización. En este ejemplo, crearás un nivel de Acceso adaptado al contexto que requiera que los dispositivos de los usuarios tengan un certificado empresarial emitido por la empresa para acceder a las apps.

La extensión de Endpoint Verification informa solo un certificado empresarial a la Consola del administrador de Google.

Antes de comenzar

  • Asegúrate de que los dispositivos de los usuarios estén administrados por Chrome Enterprise Core o por otras soluciones de administración de dispositivos.
  • Los dispositivos de los usuarios deben tener instalada la extensión de Endpoint Verification. Obtén información para instalar Endpoint Verification.
  • (Para usuarios de Windows) Para mejorar la seguridad de los datos de Chrome, asegúrate de que el servicio de elevación de Google Chrome permanezca activado para el cifrado vinculado a la app.

Acerca de los certificados

  • Si tu empresa no tiene un certificado de CA ni los certificados de cliente correspondientes, puedes crearlos a través del servicio de autoridad certificadora de Google Cloud.
  • Los certificados de cliente deben admitir la autenticación de cliente (1.3.6.1.5.5.7.3.2).
  • En Windows, los certificados de cliente deben estar presentes en el almacén de certificados del usuario actual . Los certificados del almacén de certificados de la máquina local no se pueden autenticar.

Configura la confianza de los certificados

Para recopilar y validar el certificado empresarial del dispositivo, debes subir las anclas de confianza que se usan para emitir el certificado del dispositivo. Las anclas de confianza son el certificado de CA (autoridad certificadora) raíz y los certificados intermedios y subordinados pertinentes. Sigue estos pasos:

  1. En la Consola del administrador de Google, ve a Menú y luego Dispositivos y luego Redes

    Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

  2. Selecciona la unidad organizativa adecuada.
  3. Realiza una de las siguientes acciones:
    • Si no hay certificados en la sección Certificados, haz clic en Subir certificado.
    • Si hay certificados, haz clic en la sección Certificados y, luego, en Agregar certificado.
  4. Ingresa el nombre del certificado y súbelo.
  5. Haz clic en la casilla de verificación Habilitado para Endpoint Verification.
  6. Haz clic en Agregar.

Configura la política de Chrome

Para que Endpoint Verification busque el certificado del dispositivo y lo recopile a través de Chrome, debes configurar la política de Chrome AutoSelectCertificateForURLs.

  1. En la Consola del administrador, ve a Dispositivos y luego Chrome y luego Configuración y luego Usuarios y navegadores y luego Certificados de cliente.
  2. Selecciona la unidad organizativa o el grupo adecuados.

  3. Agrega la política AutoSelectCertificateForUrls con esta sintaxis: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

    Reemplaza CERTIFICATE_ISSUER_NAME por el nombre común de la CA emisora. No modifiques el valor de pattern.

    Durante el proceso de recopilación y validación de certificados, el certificado de cliente habilita la conexión mTLS real a los hosts de clients6.google.com mencionados anteriormente.

Verifica la configuración de la política de Chrome

  1. Navega a chrome://policy en el navegador.
  2. Verifica que el valor configurado para AutoSelectCertificateForUrls sea el valor establecido en el paso 3 de Configura la política de Chrome, más arriba.
  3. Asegúrate de que el valor de Se aplica a de la política esté establecido en Máquina. En el sistema operativo Chrome, el valor se aplica a Usuario actual*.

  4. Asegúrate de que el Estado de la política no tenga un Conflicto.

    Para obtener más información sobre la precedencia de las políticas y la resolución de conflictos de políticas, consulta Información sobre la administración de políticas de Chrome .

Verifica la recopilación de certificados de cliente en el dispositivo

  1. (En el extremo) Accede y comienza una sincronización con la extensión de Endpoint Verification de Google.

    Durante este paso, el certificado de cliente se valida en el servidor con las anclas de confianza subidas en Configura la confianza de los certificados , más arriba.

  2. (Consola del administrador) Ve a Dispositivos y luego Dispositivos móviles y extremos y busca el dispositivo.

  3. Verifica que el certificado se muestre en la configuración de Endpoint Verification.

  4. Toma nota de los campos del certificado, como la huella digital de la CA raíz, la cadena del emisor o cualquier otro campo de esta página, y usa estos valores para crear un nivel de acceso en Configura un nivel de Acceso adaptado al contexto, más abajo.

  5. Puedes usar los registros de Endpoint Verification para solucionar cualquier problema. Para descargar los registros, haz lo siguiente:

    1. Haz clic con el botón derecho en la extensión de Endpoint Verification y, luego, ve a Opciones.
    2. Selecciona Nivel de registro y luego Todo y luego Descargar registros.
    3. Abre un caso con la asistencia de Google Workspace y comparte los registros para obtener más información.

Configura un nivel de Acceso adaptado al contexto

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridad y luego Control de acceso y datos y luego Acceso adaptado al contexto.

    Requiere los privilegios de administración de reglas y niveles de acceso de seguridad de datos y los privilegios de lectura de usuarios y grupos de la API de Admin.

  2. Selecciona Niveles de acceso.
  3. Haz clic en Crear un nivel de acceso.
  4. Agrega un nombre de nivel de acceso (por ejemplo, "Exigir certificado empresarial") y una descripción opcional.
  5. Haz clic en la pestaña Avanzado. En esta pestaña, compilas tu nivel de acceso personalizado en una ventana de edición con Common Expression Language (CEL). Para obtener más información, ve a Crea niveles de acceso adaptado al contexto, Define niveles de acceso - Modo avanzado.

  6. Agrega la expresión CEL para el nivel de acceso.

    El nivel de acceso puede probar diferentes atributos del certificado, como verificar la huella digital del certificado de CA raíz (ejemplo 1) o comprobar si es un certificado válido emitido por un emisor específico (ejemplo 2). Para obtener una lista completa de los atributos de certificado que se pueden consultar, consulta la tabla de atributos aquí.

    1) Certificado válido, verificado con anclas de confianza y firmado por el certificado raíz de la empresa: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

    Reemplaza la cadena de huella digital raíz por la cadena que copiaste en el paso de verificación del certificado anterior.

    2) Certificado válido, verificado con anclas de confianza y emitido por un emisor específico: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

  7. Haz clic en Crear. Ahora puedes asignar este nivel de acceso a las apps.