इस्तेमाल का उदाहरण: एंटरप्राइज़ सर्टिफ़िकेट की ज़रूरत है

यह सुविधा इन वर्शन में इस्तेमाल की जा सकती है: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, और Chrome Enterprise Premium

Enterprise सर्टिफ़िकेट से यह पक्का करने में मदद मिलती है कि उपयोगकर्ता के डिवाइसों को आपके संगठन की सेवाओं और डेटा को ऐक्सेस करने की अनुमति है. इस उदाहरण में, कॉन्टेक्स्ट अवेयर ऐक्सेस का एक ऐसा लेवल बनाया गया है जिसके तहत, ऐप्लिकेशन ऐक्सेस करने के लिए उपयोगकर्ताओं के डिवाइसों पर कंपनी की ओर से जारी किया गया एंटरप्राइज़ सर्टिफ़िकेट होना ज़रूरी है.

एंडपॉइंट की पुष्टि करने वाला एक्सटेंशन, Google Admin console को सिर्फ़ एक एंटरप्राइज़ सर्टिफ़िकेट की जानकारी देता है.

शुरू करने से पहले

• पक्का करें कि उपयोगकर्ता के डिवाइस, Chrome Enterprise Core या डिवाइस मैनेज करने से जुड़े अन्य समाधानों से मैनेज किए जा रहे हों.
• उपयोगकर्ताओं के डिवाइसों पर, Endpoint Verification एक्सटेंशन इंस्टॉल होना चाहिए. एंडपॉइंट की पुष्टि करने की सुविधा इंस्टॉल करने का तरीका जानें.
• (Windows का इस्तेमाल करने वाले लोगों के लिए) Chrome डेटा की सुरक्षा को बेहतर बनाने के लिए, पक्का करें कि ऐप्लिकेशन से जुड़े एनक्रिप्शन के लिए, Google Chrome Elevation Service चालू रहे.

सर्टिफ़िकेट के बारे में जानकारी

• अगर आपकी कंपनी के पास CA सर्टिफ़िकेट और उससे जुड़े क्लाइंट सर्टिफ़िकेट नहीं हैं, तो Google Cloud Certificate Authority Service की मदद से उन्हें बनाया जा सकता है.
• क्लाइंट सर्टिफ़िकेट में क्लाइंट ऑथेंटिकेशन (1.3.6.1.5.5.7.3.2) की सुविधा काम करनी चाहिए.
• Windows पर, क्लाइंट सर्टिफ़िकेट, Current User certificate store में मौजूद होने चाहिए. लोकल मशीन सर्टिफ़िकेट स्टोर में मौजूद सर्टिफ़िकेट की पुष्टि नहीं की जा सकती.

सर्टिफ़िकेट की पुष्टि करने की सुविधा कॉन्फ़िगर करना

डिवाइस के एंटरप्राइज़ सर्टिफ़िकेट को इकट्ठा करने और उसकी पुष्टि करने के लिए, आपको उन ट्रस्ट ऐंकर को अपलोड करना होगा जिनका इस्तेमाल डिवाइस का सर्टिफ़िकेट जारी करने के लिए किया गया था. ट्रस्ट ऐंकर, रूट CA (सर्टिफ़िकेट देने वाली संस्था) का सर्टिफ़िकेट और उससे जुड़े इंटरमीडिएट और सबऑर्डिनेट सर्टिफ़िकेट होते हैं. यह तरीका अपनाएं:

1. Google Admin console में, मेन्यू डिवाइसनेटवर्क पर जाएं. 

   नेटवर्क पर जाएं

   इसके लिए, आपके पास शेयर किए गए डिवाइस की सेटिंग से जुड़ा एडमिन का अधिकार होना चाहिए.

2. संगठन की सही इकाई चुनें.
3. इनमें से कोई एक काम करें:
   • अगर सर्टिफ़िकेट सेक्शन में कोई सर्टिफ़िकेट नहीं है, तो सर्टिफ़िकेट अपलोड करें पर क्लिक करें.
   • अगर कोई सर्टिफ़िकेट मौजूद है, तो सर्टिफ़िकेट सेक्शन पर क्लिक करें. इसके बाद, सर्टिफ़िकेट जोड़ें पर क्लिक करें.
4. सर्टिफ़िकेट का नाम डालें और सर्टिफ़िकेट अपलोड करें.
5. एंडपॉइंट की पुष्टि के लिए चालू है चेकबॉक्स पर क्लिक करें.
6. जोड़ें पर क्लिक करें.

Chrome की नीति कॉन्फ़िगर करना

एंडपॉइंट पुष्टि की सुविधा को डिवाइस सर्टिफ़िकेट खोजने और उसे Chrome के ज़रिए इकट्ठा करने की अनुमति देने के लिए, आपको AutoSelectCertificateForURLs Chrome नीति को कॉन्फ़िगर करना होगा.

1. Admin console में, डिवाइसChromeसेटिंगउपयोगकर्ता और ब्राउज़र सेटिंगक्लाइंट सर्टिफ़िकेट पर जाएं.
2. संगठन की सही इकाई या ग्रुप चुनें.

3. इस सिंटैक्स का इस्तेमाल करके, AutoSelectCertificateForUrls नीति जोड़ें: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   CERTIFICATE_ISSUER_NAME को, सर्टिफ़िकेट जारी करने वाली संस्था (सीए) के सामान्य नाम से बदलें. pattern एट्रिब्यूट की वैल्यू में बदलाव न करें.

   सर्टिफ़िकेट इकट्ठा करने और उसकी पुष्टि करने की प्रोसेस के दौरान, क्लाइंट सर्टिफ़िकेट, ऊपर दिए गए clients6.google.com होस्ट से असल mTLS कनेक्शन को चालू करता है.

Chrome की नीति के कॉन्फ़िगरेशन की पुष्टि करना

1. ब्राउज़र में chrome://policy पर जाएं.
2. पुष्टि करें कि AutoSelectCertificateForUrls के लिए कॉन्फ़िगर की गई वैल्यू, ऊपर Chrome की नीति कॉन्फ़िगर करें में तीसरे चरण में सेट की गई वैल्यू है.
3. पक्का करें कि नीति लागू होती है की वैल्यू मशीन पर सेट हो. Chrome ऑपरेटिंग सिस्टम पर, यह वैल्यू मौजूदा उपयोगकर्ता* पर लागू होती है.

4. पक्का करें कि नीति के स्टेटस में विरोध न हो.

   नीति लागू होने के क्रम और नीतियों के टकराव को हल करने के बारे में ज़्यादा जानने के लिए, Chrome के पॉलिसी मैनेजमेंट के बारे में जानना लेख पढ़ें.

डिवाइस पर क्लाइंट सर्टिफ़िकेट इकट्ठा किए जाने की पुष्टि करना

1. (एंडपॉइंट पर) Google Endpoint Verification एक्सटेंशन का इस्तेमाल करके, साइन इन करें और सिंक शुरू करें.

   इस चरण के दौरान, क्लाइंट सर्टिफ़िकेट की पुष्टि सर्वर साइड पर की जाती है. इसके लिए, ऊपर दिए गए सर्टिफ़िकेट पर भरोसा करने की सुविधा कॉन्फ़िगर करें में अपलोड किए गए ट्रस्ट ऐंकर का इस्तेमाल किया जाता है.

2. (Admin console) डिवाइसमोबाइल और एंडपॉइंट पर जाएं और डिवाइस ढूंढें.

3. पुष्टि करें कि एंडपॉइंट की पुष्टि करने की सेटिंग में, सर्टिफ़िकेट दिख रहा हो.

4. इस पेज पर, सर्टिफ़िकेट फ़ील्ड जैसे कि रूट सीए फ़िंगरप्रिंट, जारी करने वाले का स्ट्रिंग, या अन्य फ़ील्ड नोट करें. इसके बाद, इन वैल्यू का इस्तेमाल करके, नीचे दिए गए कॉन्टेक्स्ट के हिसाब से ऐक्सेस लेवल कॉन्फ़िगर करें में ऐक्सेस लेवल बनाएं.

5. किसी भी समस्या को हल करने के लिए, एंडपॉइंट की पुष्टि करने से जुड़े लॉग का इस्तेमाल किया जा सकता है. लॉग डाउनलोड करने के लिए:

   1. एंडपॉइंट की पुष्टि करने वाले एक्सटेंशन पर राइट क्लिक करें. इसके बाद, विकल्प पर जाएं.
   2. लॉग लेवलसभीलॉग डाउनलोड करें को चुनें.
   3. Google Workspace की सहायता टीम के साथ कोई केस खोलें और डीबग करने के लिए लॉग शेयर करें.

कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल कॉन्फ़िगर करना

1. Google Admin console में, मेन्यू सुरक्षाऐक्सेस और डेटा कंट्रोलकॉन्टेक्स्ट के हिसाब से ऐक्सेस करने की सुविधा पर जाएं.

   कॉन्टेक्स्ट अवेयर ऐक्सेस पर जाएं

   इसके लिए, डेटा सुरक्षा के ऐक्सेस लेवल और नियम मैनेज करने के खास अधिकारों के साथ-साथ Admin API के ग्रुप और उपयोगकर्ताओं के लिए, पढ़ने के खास अधिकार ज़रूरी हैं.

2. ऐक्सेस लेवल चुनें.
3. ऐक्सेस लेवल बनाएं पर क्लिक करें.
4. ऐक्सेस लेवल का नाम जोड़ें. उदाहरण के लिए, "एंटरप्राइज़ सर्टिफ़िकेट ज़रूरी है". इसके अलावा, चाहें, तो जानकारी भी जोड़ें.
5. बेहतर टैब पर क्लिक करें. इस टैब पर, कॉमन एक्सप्रेशन लैंग्वेज (सीईएल) का इस्तेमाल करके, एडिटिंग विंडो में अपना कस्टम ऐक्सेस लेवल बनाया जाता है. ज़्यादा जानकारी के लिए, कॉन्टेक्स्ट अवेयर ऐक्सेस लेवल बनाना, ऐक्सेस लेवल तय करना - ऐडवांस मोड पर जाएं.

6. ऐक्सेस लेवल के लिए, सीईएल एक्सप्रेशन जोड़ें.

   ऐक्सेस लेवल, सर्टिफ़िकेट के अलग-अलग एट्रिब्यूट की जांच कर सकता है. जैसे, रूट सीए सर्टिफ़िकेट के फ़िंगरप्रिंट की पुष्टि करना (उदाहरण 1) या यह जांच करना कि क्या यह किसी खास जारीकर्ता का मान्य सर्टिफ़िकेट है (उदाहरण 2). सर्टिफ़िकेट के उन एट्रिब्यूट की पूरी सूची देखने के लिए, जिनके बारे में क्वेरी की जा सकती है, एट्रिब्यूट टेबल यहां देखें.

   1) मान्य सर्टिफ़िकेट, जिसकी पुष्टि ट्रस्ट ऐंकर के हिसाब से की गई हो और जिस पर कंपनी के रूट सर्टिफ़िकेट के हस्ताक्षर हों: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   रूट फ़िंगरप्रिंट स्ट्रिंग को उस स्ट्रिंग से बदलें जिसे आपने ऊपर सर्टिफ़िकेट की पुष्टि करें चरण में कॉपी किया था.

   2) मान्य सर्टिफ़िकेट, जिसकी पुष्टि ट्रस्ट ऐंकर के ख़िलाफ़ की गई है और जिसे किसी खास जारीकर्ता ने जारी किया है: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US").

7. बनाएं पर क्लिक करें. अब ऐप्लिकेशन को यह ऐक्सेस लेवल असाइन किया जा सकता है.