इस्तेमाल का उदाहरण: एंटरप्राइज़ सर्टिफ़िकेट की ज़रूरत है

इस सुविधा के साथ काम करने वाले वर्शन: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, और Chrome Enterprise Premium

Enterprise सर्टिफ़िकेट से यह पक्का करने में मदद मिलती है कि उपयोगकर्ता के डिवाइसों पर भरोसा किया जा सकता है. इससे वे आपके संगठन की सेवाओं और डेटा को ऐक्सेस कर पाते हैं. इस उदाहरण में, कॉन्टेक्स्ट अवेयर ऐक्सेस का एक ऐसा लेवल बनाया गया है जिसमें ऐप्लिकेशन ऐक्सेस करने के लिए, उपयोगकर्ता के डिवाइसों पर कंपनी की ओर से जारी किया गया एंटरप्राइज़ सर्टिफ़िकेट होना ज़रूरी है.

एंडपॉइंट पुष्टि करने वाला एक्सटेंशन, Google Admin console को सिर्फ़ एक एंटरप्राइज़ सर्टिफ़िकेट की जानकारी देता है.

शुरू करने से पहले

• पक्का करें कि उपयोगकर्ता के डिवाइस, Chrome Enterprise Core या डिवाइस मैनेजमेंट के अन्य समाधानों से मैनेज किए जा रहे हों.
• उपयोगकर्ताओं के डिवाइसों पर, Endpoint Verification एक्सटेंशन इंस्टॉल होना चाहिए. एंडपॉइंट की पुष्टि करने की सुविधा इंस्टॉल करने का तरीका जानें.
• (Windows का इस्तेमाल करने वाले लोगों के लिए) Chrome डेटा की सुरक्षा को बेहतर बनाने के लिए, पक्का करें कि ऐप्लिकेशन से जुड़े एनक्रिप्शन के लिए, Google Chrome Elevation Service चालू रहे.

सर्टिफ़िकेट के बारे में जानकारी

• अगर आपकी कंपनी के पास CA सर्टिफ़िकेट और उससे जुड़े क्लाइंट सर्टिफ़िकेट नहीं हैं, तो Google Cloud Certificate Authority Service की मदद से उन्हें बनाया जा सकता है.
• क्लाइंट सर्टिफ़िकेट में क्लाइंट ऑथेंटिकेशन (1.3.6.1.5.5.7.3.2) की सुविधा होनी चाहिए.
• Windows पर, क्लाइंट सर्टिफ़िकेट, Current User certificate store में मौजूद होने चाहिए. लोकल मशीन सर्टिफ़िकेट स्टोर में मौजूद सर्टिफ़िकेट की पुष्टि नहीं की जा सकती.

सर्टिफ़िकेट की पुष्टि करने की सुविधा कॉन्फ़िगर करना

डिवाइस के एंटरप्राइज़ सर्टिफ़िकेट को इकट्ठा करने और उसकी पुष्टि करने के लिए, आपको उन ट्रस्ट ऐंकर को अपलोड करना होगा जिनका इस्तेमाल डिवाइस सर्टिफ़िकेट जारी करने के लिए किया गया था. ट्रस्ट ऐंकर, रूट सीए (सर्टिफ़िकेट देने वाली संस्था) का सर्टिफ़िकेट और उससे जुड़े इंटरमीडिएट और सबऑर्डिनेट सर्टिफ़िकेट होते हैं. यह तरीका अपनाएं:

1. Google Admin console में, मेन्यू डिवाइस नेटवर्क पर जाएं. 

   नेटवर्क पर जाएं

   इसके लिए, आपके पास शेयर किए गए डिवाइस की सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

2. संगठन की सही इकाई चुनें.
3. इनमें से कोई एक काम करें:
   • अगर सर्टिफ़िकेट सेक्शन में कोई सर्टिफ़िकेट नहीं है, तो सर्टिफ़िकेट अपलोड करें पर क्लिक करें.
   • अगर कोई सर्टिफ़िकेट मौजूद है, तो सर्टिफ़िकेट सेक्शन पर क्लिक करें. इसके बाद, सर्टिफ़िकेट जोड़ें पर क्लिक करें.
4. सर्टिफ़िकेट का नाम डालें और सर्टिफ़िकेट अपलोड करें.
5. एंडपॉइंट की पुष्टि करने की सुविधा के लिए चालू है चेकबॉक्स पर क्लिक करें.
6. जोड़ें पर क्लिक करें.

Chrome की नीति कॉन्फ़िगर करना

डिवाइस सर्टिफ़िकेट को खोजने और Chrome के ज़रिए उसे इकट्ठा करने के लिए, आपको AutoSelectCertificateForURLs Chrome नीति को कॉन्फ़िगर करना होगा.

1. Admin console में, डिवाइस Chrome सेटिंग उपयोगकर्ता और ब्राउज़र की सेटिंग क्लाइंट सर्टिफ़िकेट पर जाएं.
2. संगठन की सही इकाई या ग्रुप चुनें.

3. इस सिंटैक्स का इस्तेमाल करके, AutoSelectCertificateForUrls नीति जोड़ें: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   CERTIFICATE_ISSUER_NAME को, सर्टिफ़िकेट जारी करने वाली संस्था (सीए) के नाम से बदलें. pattern एट्रिब्यूट की वैल्यू में बदलाव न करें.

   सर्टिफ़िकेट इकट्ठा करने और उसकी पुष्टि करने की प्रोसेस के दौरान, क्लाइंट सर्टिफ़िकेट, ऊपर दिए गए clients6.google.com होस्ट से असली एमटीएलएस कनेक्शन चालू करता है.

Chrome की नीति के कॉन्फ़िगरेशन की पुष्टि करना

1. ब्राउज़र में chrome://policy पर जाएं.
2. पुष्टि करें कि AutoSelectCertificateForUrls के लिए कॉन्फ़िगर की गई वैल्यू, ऊपर Chrome की नीति कॉन्फ़िगर करें में तीसरे चरण में सेट की गई वैल्यू है.
3. पक्का करें कि नीति लागू होती है की वैल्यू मशीन पर सेट हो. ChromeOS पर, यह वैल्यू मौजूदा उपयोगकर्ता* पर लागू होती है.

4. पक्का करें कि नीति के स्टेटस में विरोध न हो.

   नीति लागू होने के क्रम और नीतियों के टकराव को हल करने के बारे में ज़्यादा जानने के लिए, Chrome के पॉलिसी मैनेजमेंट के बारे में जानना लेख पढ़ें.

डिवाइस पर क्लाइंट सर्टिफ़िकेट इकट्ठा किए जाने की पुष्टि करना

1. (एंडपॉइंट पर) Google Endpoint Verification एक्सटेंशन का इस्तेमाल करके, साइन इन करें और सिंक शुरू करें.

   इस चरण के दौरान, सर्वर साइड पर क्लाइंट सर्टिफ़िकेट की पुष्टि की जाती है. इसके लिए, ऊपर दिए गए सर्टिफ़िकेट के भरोसेमंद होने की पुष्टि करें में अपलोड किए गए ट्रस्ट ऐंकर का इस्तेमाल किया जाता है.

2. (Admin console) डिवाइस मोबाइल और एंडपॉइंट पर जाएं और डिवाइस ढूंढें.

3. पुष्टि करें कि एंडपॉइंट की पुष्टि करने की सेटिंग में, सर्टिफ़िकेट दिख रहा हो.

4. इस पेज पर, Root CA फ़िंगरप्रिंट, जारी करने वाले का स्ट्रिंग, या अन्य जैसे सर्टिफ़िकेट फ़ील्ड नोट करें. साथ ही, इन वैल्यू का इस्तेमाल करके, नीचे दिए गए कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल कॉन्फ़िगर करें में ऐक्सेस लेवल बनाएं.

5. किसी भी समस्या को हल करने के लिए, एंडपॉइंट की पुष्टि करने वाले लॉग का इस्तेमाल किया जा सकता है. लॉग डाउनलोड करने के लिए:

   1. Endpoint Verification एक्सटेंशन पर राइट क्लिक करें. इसके बाद, विकल्प पर जाएं.
   2. लॉग लेवल सभी लॉग डाउनलोड करें को चुनें.
   3. Google Workspace की सहायता टीम के साथ एक केस खोलें और डीबग करने के लिए, लॉग शेयर करें.

कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल कॉन्फ़िगर करना

1. Google Admin console में, मेन्यू सुरक्षा ऐक्सेस और डेटा कंट्रोल कॉन्टेक्स्ट के हिसाब से ऐक्सेस करने की सुविधा पर जाएं.

   कॉन्टेक्स्ट अवेयर ऐक्सेस पर जाएं

   इसके लिए, डेटा सुरक्षा के ऐक्सेस लेवल और नियम मैनेज करने के खास अधिकारों के साथ-साथ Admin API के ग्रुप और उपयोगकर्ताओं के लिए, पढ़ने के खास अधिकार ज़रूरी हैं.

2. ऐक्सेस लेवल चुनें.
3. ऐक्सेस लेवल बनाएं पर क्लिक करें.
4. ऐक्सेस लेवल का नाम जोड़ें. उदाहरण के लिए, "Enterprise certificate की ज़रूरत है". इसके अलावा, चाहें, तो ब्यौरा भी जोड़ें.
5. बेहतर टैब पर क्लिक करें. इस टैब पर, कॉमन एक्सप्रेशन लैंग्वेज (सीईएल) का इस्तेमाल करके, एडिटिंग विंडो में अपना कस्टम ऐक्सेस लेवल बनाया जाता है. ज़्यादा जानकारी के लिए, कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाएं, ऐक्सेस लेवल तय करें - ऐडवांस मोड पर जाएं.

6. ऐक्सेस लेवल के लिए, सीईएल एक्सप्रेशन जोड़ें.

   ऐक्सेस लेवल, सर्टिफ़िकेट के अलग-अलग एट्रिब्यूट की जांच कर सकता है. जैसे, रूट CA सर्टिफ़िकेट के फ़िंगरप्रिंट की पुष्टि करना (पहला उदाहरण) या यह देखना कि क्या यह किसी खास जारी करने वाले व्यक्ति या संस्था से जारी किया गया मान्य सर्टिफ़िकेट है (दूसरा उदाहरण). सर्टिफ़िकेट के उन एट्रिब्यूट की पूरी सूची देखने के लिए क्वेरी की जा सकती है, एट्रिब्यूट टेबल यहां देखें.

   1) मान्य सर्टिफ़िकेट, जिसकी पुष्टि भरोसेमंद ऐंकर के ज़रिए की गई है और जिस पर कंपनी के रूट सर्टिफ़िकेट के हस्ताक्षर हैं: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   रूट फ़िंगरप्रिंट स्ट्रिंग को उस स्ट्रिंग से बदलें जिसे आपने ऊपर सर्टिफ़िकेट की पुष्टि करें चरण में कॉपी किया था.

   2) मान्य सर्टिफ़िकेट, जिसकी पुष्टि भरोसेमंद एंकर के ज़रिए की गई हो और जिसे किसी खास जारी करने वाली संस्था ने जारी किया हो: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. बनाएं पर क्लिक करें. अब ऐप्लिकेशन को यह ऐक्सेस लेवल असाइन किया जा सकता है.