Caso de uso: Exigir certificados empresariales

Ediciones admitidas para esta función: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus y Chrome Enterprise Premium

Los certificados empresariales ayudan a garantizar que los dispositivos de los usuarios sean de confianza para acceder a los servicios y los datos de tu organización. En este ejemplo, crearás un nivel de acceso adaptado al contexto que requiere que los dispositivos de los usuarios tengan un certificado empresarial emitido por la empresa para acceder a las apps.

La extensión de Endpoint Verification solo informa un certificado empresarial a la Consola del administrador de Google.

Antes de comenzar

• Asegúrate de que los dispositivos de los usuarios estén administrados por Chrome Enterprise Core o por otras soluciones de administración de dispositivos.
• Los dispositivos de los usuarios deben tener instalada la extensión de Verificación de extremos. Obtén más información para instalar Endpoint Verification.
• (Para usuarios de Windows) Para mejorar la seguridad de los datos de Chrome, asegúrate de que el servicio de elevación de Google Chrome permanezca activado para la encriptación vinculada a la app.

Acerca de los certificados

• Si tu empresa no tiene un certificado de AC ni los certificados de cliente correspondientes, puedes crearlos a través de Certificate Authority Service de Google Cloud.
• Los certificados de cliente deben admitir la autenticación de cliente (1.3.6.1.5.5.7.3.2).
• En Windows, los certificados de cliente deben estar presentes en el almacén de certificados del usuario actual. No se pueden autenticar los certificados del almacén de certificados de la máquina local.

Configura la confianza del certificado

Para recopilar y validar el certificado empresarial del dispositivo, debes subir las entidades de certificación raíz que se usaron para emitir el certificado del dispositivo. Las anclas de confianza son el certificado de la CA (autoridad de certificación) raíz y los certificados intermedios y subordinados pertinentes. Sigue estos pasos:

1. En la Consola del administrador de Google, ve a Menú DispositivosRedes. 

   Ir a Redes

   Es necesario tener el privilegio de administrador de la Configuración de dispositivos compartidos.

2. Selecciona la unidad organizativa adecuada.
3. Realiza alguna de las siguientes acciones:
   • Si no hay certificados en la sección Certificados, haz clic en Subir certificado.
   • Si hay certificados, haz clic en la sección Certificados y, luego, en Agregar certificado.
4. Ingresa el nombre del certificado y súbelo.
5. Haz clic en la casilla de verificación Habilitado para Endpoint Verification.
6. Haz clic en Agregar.

Configura la política de Chrome

Para que Endpoint Verification busque el certificado del dispositivo y lo recopile a través de Chrome, debes configurar la política de Chrome AutoSelectCertificateForURLs.

1. En la Consola del administrador, ve a DispositivosChromeConfiguraciónConfiguración de usuarios y navegadoresCertificados de cliente.
2. Selecciona la unidad organizativa o el grupo adecuados.

3. Agrega la política AutoSelectCertificateForUrls con esta sintaxis: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Reemplaza CERTIFICATE_ISSUER_NAME por el nombre común de la CA emisora. No modifiques el valor de pattern.

   Durante el proceso de recopilación y validación de certificados, el certificado de cliente habilita la conexión mTLS real a los hosts de clients6.google.com mencionados anteriormente.

Verifica la configuración de la política de Chrome

1. Navega a chrome://policy en el navegador.
2. Verifica que el valor configurado para AutoSelectCertificateForUrls sea el valor establecido en el paso 3 de Configura la política de Chrome, más arriba.
3. Asegúrate de que el valor de la política Se aplica a esté establecido en Máquina. En el sistema operativo Chrome, el valor se aplica a Current User*.

4. Asegúrate de que el Estado de la política no tenga un Conflicto.

   Para obtener más información sobre la prioridad de las políticas y cómo resolver conflictos entre ellas, consulta Información sobre la administración de políticas de Chrome.

Verifica la recopilación de certificados de cliente en el dispositivo

1. En el extremo, accede y comienza una sincronización con la extensión de Endpoint Verification de Google.

   Durante este paso, el certificado de cliente se valida en el servidor con las anclas de confianza que se subieron en Configurar la confianza del certificado.

2. (Consola del administrador) Ve a DispositivosDispositivos móviles y extremos y busca el dispositivo.

3. Verifica que el certificado se muestre en la configuración de la Verificación de extremos.

4. Toma nota de los campos del certificado, como la huella digital de la CA raíz, la cadena del emisor o cualquier otro que aparezca en esta página, y usa estos valores para crear un nivel de acceso en Configurar un nivel de acceso según el contexto a continuación.

5. Puedes usar los registros de Endpoint Verification para solucionar cualquier problema. Para descargar los registros, sigue estos pasos:

   1. Haz clic con el botón derecho en la extensión de Endpoint Verification y, luego, ve a Opciones.
   2. Selecciona Nivel de registroTodoDescargar registros.
   3. Abre un caso con el equipo de asistencia de Google Workspace y comparte los registros para realizar una depuración adicional.

Configura un nivel de acceso adaptado al contexto

1. En la Consola del administrador de Google, ve a Menú SeguridadControl de acceso y datosAcceso adaptado al contexto.

   Ir a Acceso adaptado al contexto

   Requiere los privilegios de administración de reglas y nivel de acceso de seguridad de los datos y los privilegios de lectura de usuarios y grupos de la API de Admin.

2. Selecciona Niveles de acceso.
3. Haz clic en Crear nivel de acceso.
4. Agrega un nombre de nivel de acceso (por ejemplo, "Require enterprise certificate") y una descripción opcional.
5. Haz clic en la pestaña Avanzado. En esta pestaña, compilas tu nivel de acceso personalizado en una ventana de edición con Common Expression Language (CEL). Consulta Crea niveles de acceso adaptado al contexto, Define niveles de acceso - Modo avanzado para obtener más detalles.

6. Agrega la expresión CEL para el nivel de acceso.

   El nivel de acceso puede probar diferentes atributos del certificado, como verificar la huella digital del certificado de la CA raíz (ejemplo 1) o comprobar si es un certificado válido emitido por un emisor específico (ejemplo 2). Para obtener una lista completa de los atributos de certificado que se pueden consultar, consulta la tabla de atributos aquí.

   1) Certificado válido, verificado con anclajes de confianza y firmado por el certificado raíz de la empresa:device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   Reemplaza la cadena de huella digital raíz por la cadena que copiaste en el paso verificar certificado anterior.

   2) Certificado válido, verificado con anclajes de confianza y emitido por un emisor específico: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. Haz clic en Crear. Ahora puedes asignar este nivel de acceso a las apps.