Anwendungsfall: Unternehmenszertifikate erforderlich machen

Unterstützte Versionen für diese Funktion: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus und Chrome Enterprise Premium

Mit Unternehmenszertifikaten können Sie dafür sorgen, dass Nutzergeräte als vertrauenswürdig eingestuft werden, wenn sie auf Dienste und Daten in Ihrer Organisation zugreifen. In diesem Beispiel erstellen Sie eine kontextsensitive Zugriffsebene, für die Nutzergeräte ein vom Unternehmen ausgestelltes Unternehmenszertifikat benötigen, um auf Apps zugreifen zu können.

Die Erweiterung „Endpunktprüfung“ meldet nur ein Unternehmenszertifikat an die Google Admin-Konsole.

Hinweis

• Die Geräte der Nutzer müssen mit Chrome Enterprise Core oder anderen Lösungen zur Geräteverwaltung verwaltet werden.
• Auf den Geräten der Nutzer muss die Erweiterung zur Endpunktprüfung installiert sein. Informationen zum Installieren der Endpunktprüfung
• (Für Nutzer unter Windows) Um die Sicherheit von Chrome-Daten zu verbessern, muss der Google Chrome Elevation Service für die App-gebundene Verschlüsselung aktiviert bleiben.

Zertifikate

• Wenn Ihr Unternehmen kein CA-Zertifikat und die entsprechenden Clientzertifikate hat, können Sie sie über den Google Cloud Certificate Authority Service erstellen.
• Clientzertifikate müssen die Clientauthentifizierung (1.3.6.1.5.5.7.3.2) unterstützen.
• Unter Windows müssen Clientzertifikate im Zertifikatsspeicher des aktuellen Nutzers vorhanden sein. Zertifikate im Zertifikatspeicher des lokalen Computers können nicht authentifiziert werden.

Zertifikatsvertrauensstellung konfigurieren

Wenn Sie das Unternehmenszertifikat des Geräts erfassen und validieren möchten, müssen Sie die Trust-Anchors hochladen, die zum Ausstellen des Gerätezertifikats verwendet wurden. Die Trust-Anchors sind das Zertifikat der Stammzertifizierungsstelle und die relevanten Zwischen- und untergeordneten Zertifikate. Gehen Sie so vor:

1. Gehen Sie in der Admin-Konsole zu „Menü“  GeräteNetzwerke. 

   Zu den Netzwerken

   Hierfür benötigen Sie die Administratorberechtigung Einstellungen für gemeinsam verwendete Geräte.

2. Wählen Sie die entsprechende Organisationseinheit aus.
3. Führen Sie einen der folgenden Schritte aus:
   • Wenn im Abschnitt Zertifikate keine Zertifikate vorhanden sind, klicken Sie auf Zertifikat hochladen.
   • Wenn Zertifikate vorhanden sind, klicken Sie auf den Bereich Zertifikate und dann auf Zertifikat hinzufügen.
4. Geben Sie den Zertifikatsnamen ein und laden Sie das Zertifikat hoch.
5. Klicken Sie auf das Kästchen Für die Endpunktprüfung aktiviert.
6. Klicken Sie auf Hinzufügen.

Chrome-Richtlinie konfigurieren

Damit die Endpunktprüfung das Gerätezertifikat suchen und über Chrome erfassen kann, müssen Sie die Chrome-Richtlinie „AutoSelectCertificateForURLs“ konfigurieren.

1. Gehen Sie in der Admin-Konsole zu GeräteChromeEinstellungenNutzer- und BrowsereinstellungenKundenzertifikate.
2. Wählen Sie die entsprechende Organisationseinheit oder Gruppe aus.

3. Fügen Sie die AutoSelectCertificateForUrls-Richtlinie mit dieser Syntax hinzu: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Ersetzen Sie CERTIFICATE_ISSUER_NAME durch den gemeinsamen Namen der Zertifizierungsstelle des Ausstellers. Ändern Sie den Wert von pattern nicht.

   Während des Prozesses zum Erfassen und Validieren von Zertifikaten ermöglicht das Clientzertifikat die tatsächliche mTLS-Verbindung zu den oben genannten clients6.google.com-Hosts.

Chrome-Richtlinienkonfiguration prüfen

1. Rufen Sie im Browser chrome://policy auf.
2. Prüfen Sie, ob der konfigurierte Wert für „AutoSelectCertificateForUrls“ mit dem in Schritt 3 unter Chrome-Richtlinie konfigurieren festgelegten Wert übereinstimmt.
3. Achten Sie darauf, dass der Wert der Richtlinie Gilt für auf Computer festgelegt ist. Im Chrome-Betriebssystem wird der Wert auf Aktueller Nutzer* angewendet.

4. Der Status der Richtlinie darf nicht Konflikt lauten.

   Weitere Informationen zur Richtlinienrangfolge und zum Beheben von Richtlinienkonflikten finden Sie unter Informationen zur Chrome-Richtlinienverwaltung.

Erfassung von Clientzertifikaten auf dem Gerät prüfen

1. Melden Sie sich auf dem Endpunkt an und starten Sie eine Synchronisierung mit der Google-Erweiterung zur Endpunktprüfung.

   In diesem Schritt wird das Clientzertifikat serverseitig anhand der oben in Zertifikatsvertrauensstellung konfigurieren hochgeladenen Trust-Anchors validiert.

2. (Admin-Konsole) Rufen Sie GeräteMobilgeräte und Endpunkte auf und suchen Sie nach dem Gerät.

3. Prüfen Sie, ob das Zertifikat in den Einstellungen für die Endpunktprüfung angezeigt wird.

4. Notieren Sie sich die Zertifikatsfelder wie „Stammzertifikat-Fingerabdruck“, „Ausstellerstring“ oder andere auf dieser Seite und verwenden Sie diese Werte, um unten in Kontextbezogene Zugriffsebene konfigurieren eine Zugriffsebene zu erstellen.

5. Mithilfe der Protokolle der Endpunktprüfung können Sie Probleme beheben. So laden Sie die Logs herunter:

   1. Klicken Sie mit der rechten Maustaste auf die Erweiterung „Endpunktprüfung“ und wählen Sie Optionen aus.
   2. Wählen Sie LogebeneAlleLogs herunterladen aus.
   3. Erstellen Sie eine Anfrage beim Google Workspace-Support und geben Sie die Logs für die weitere Fehlerbehebung an.

Kontextsensitive Zugriffsebene konfigurieren

1. Gehen Sie in der Admin-Konsole zu „Menü“  SicherheitZugriffs- und DatenkontrolleKontextsensitiver Zugriff.

   Zu „Kontextsensitiver Zugriff“

   Erfordert die Administratorberechtigung "Dienste > Datensicherheit" mit Regelverwaltung sowie die Berechtigung für die Admin API "Gruppen" mit Leseberechtigung für "Nutzer".

2. Klicken Sie auf Zugriffsebenen.
3. Klicken Sie auf Zugriffsebene erstellen.
4. Geben Sie einen Namen für die Zugriffsebene ein (z. B. „Unternehmenszertifikat erforderlich“) und optional eine Beschreibung.
5. Klicken Sie auf den Tab Advanced (Erweitert). Auf diesem Tab erstellen Sie Ihre benutzerdefinierte Zugriffsebene in einem Bearbeitungsfenster mit der Common Expression Language (CEL). Weitere Informationen finden Sie unter Kontextsensitive Zugriffsebenen erstellen, Zugriffsebenen definieren – Erweiterter Modus.

6. Fügen Sie den CEL-Ausdruck für die Zugriffsebene hinzu.

   Mit der Zugriffsebene können verschiedene Attribute des Zertifikats getestet werden, z. B. der Fingerabdruck des Root-CA-Zertifikats (Beispiel 1) oder ob es sich um ein gültiges Zertifikat handelt, das von einem bestimmten Aussteller ausgestellt wurde (Beispiel 2). Eine vollständige Liste der Zertifikatsattribute, die abgefragt werden können, finden Sie in dieser Attributtabelle.

   1) Gültiges Zertifikat, das anhand von Trust-Anchors geprüft und vom Root-Zertifikat des Unternehmens signiert wurde: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Ersetzen Sie den String für den Root-Fingerabdruck durch den String, den Sie oben im Schritt Zertifikat bestätigen kopiert haben.

   2) Gültiges Zertifikat, das anhand von Trust-Anchors geprüft und von einem bestimmten Aussteller ausgestellt wurde: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Klicken Sie auf Erstellen. Sie können diese Zugriffsebene nun Apps zuweisen.