사용 사례: 엔터프라이즈 인증서 필요

이 기능이 지원되는 버전: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus, Chrome Enterprise Premium

엔터프라이즈 인증서는 사용자 기기가 조직의 서비스 및 데이터에 액세스할 수 있도록 신뢰할 수 있는 기기임을 확인하는 데 도움이 됩니다. 이 예에서는 사용자 기기에서 회사에서 발급한 엔터프라이즈 인증서를 보유해야만 앱에 액세스할 수 있도록 컨텍스트 인식 액세스 수준을 만듭니다.

엔드포인트 확인 기능 확장 프로그램은 Google 관리 콘솔에 하나의 엔터프라이즈 인증서만 보고합니다.

시작하기 전에

• 사용자 기기가 Chrome Enterprise Core 또는 기타 기기 관리 솔루션으로 관리되는지 확인합니다.
• 사용자 기기에는 엔드포인트 확인 기능 확장 프로그램이 설치되어 있어야 합니다. 엔드포인트 확인 설치 방법 알아보기
• (Windows 사용자) Chrome 데이터의 보안을 강화하려면 앱 바운드 암호화에 대해 Google Chrome Elevation Service가 사용 설정되어 있는지 확인하세요.

인증서 정보

• 회사에 CA 인증서와 해당 클라이언트 인증서가 없는 경우 Google Cloud Certificate Authority Service를 통해 만들 수 있습니다.
• 클라이언트 인증서는 클라이언트 인증 (1.3.6.1.5.5.7.3.2)을 지원해야 합니다.
• Windows의 경우 클라이언트 인증서가 현재 사용자의 인증서 저장소에 있어야 합니다. 로컬 머신 인증서 저장소에 있는 인증서로는 인증할 수 없습니다.

인증서 신뢰 구성

기기 엔터프라이즈 인증서를 수집하고 검증하려면 기기 인증서를 발급하는 데 사용된 신뢰 앵커를 업로드해야 합니다. 신뢰 앵커는 루트 CA (인증 기관) 인증서와 관련 중간 및 하위 인증서입니다. 다음 단계를 따르세요.

1. Google 관리 콘솔에서 메뉴 기기네트워크로 이동합니다. 

   네트워크로 이동하기

   공유 기기 설정 관리자 권한이 필요합니다.

2. 적절한 조직 단위를 선택합니다.
3. 다음 중 한 가지 방법을 사용합니다.
   • 인증서 섹션에 인증서가 없으면 인증서 업로드를 클릭합니다.
   • 인증서가 있으면 인증서 섹션을 클릭한 다음 인증서 추가를 클릭합니다.
4. 인증서 이름을 입력하고 인증서를 업로드합니다.
5. 엔드포인트 확인이 사용 설정됨 체크박스를 클릭합니다.
6. 추가를 클릭합니다.

Chrome 정책 구성하기

엔드포인트 확인에서 기기 인증서를 검색하고 Chrome을 통해 인증서를 수집할 수 있으려면 AutoSelectCertificateForURLs Chrome 정책을 구성해야 합니다.

1. 관리 콘솔에서 기기Chrome설정사용자 및 브라우저 설정클라이언트 인증서로 이동합니다.
2. 적절한 조직 단위 또는 그룹을 선택합니다.

3. 다음 구문을 사용하여 AutoSelectCertificateForUrls 정책을 추가합니다. {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   CERTIFICATE_ISSUER_NAME을 발급자 CA의 일반 이름으로 바꿉니다. pattern 값을 수정하지 마세요.

   인증서 수집 및 유효성 검사 프로세스 중에 클라이언트 인증서를 통해 위의 clients6.google.com 호스트에 대한 실제 mTLS 연결이 사용 설정됩니다.

Chrome 정책 구성 확인하기

1. 브라우저에서 chrome://policy로 이동합니다.
2. AutoSelectCertificateForUrls에 구성된 값이 위의 Chrome 정책 구성하기의 3단계에서 설정된 값과 일치하는지 확인합니다.
3. 정책 적용 대상 값이 머신으로 설정되어 있는지 확인합니다. Chrome 운영체제에서는 이 값이 현재 사용자*에게 적용됩니다.

4. 정책 상태에 충돌이 없는지 확인합니다.

   정책 우선 적용 및 정책 충돌 해결에 관한 자세한 내용은 Chrome 정책 관리 이해하기를 참고하세요.

기기에서 클라이언트 인증서 수집 확인하기

1. (엔드포인트에서) Google 엔드포인트 확인 기능 확장 프로그램을 사용하여 로그인하고 동기화를 시작합니다.

   이 단계에서 클라이언트 인증서는 위의 인증서 신뢰 구성하기에 업로드된 신뢰 앵커를 기준으로 서버 측에서 검증됩니다.

2. (관리 콘솔) 기기모바일 및 엔드포인트로 이동하여 기기를 찾습니다.

3. 인증서가 엔드포인트 확인 기능 설정에 표시되는지 확인합니다.

4. 이 페이지에서 루트 CA 디지털 지문, 발급기관 문자열 등의 인증서 필드를 메모하고 이러한 값을 사용하여 아래의 컨텍스트 인식 액세스 수준 구성하기에서 액세스 수준을 구성합니다.

5. 엔드포인트 확인 로그를 사용하면 모든 문제를 해결할 수 있습니다. 로그를 다운로드하려면 다음 안내를 따르세요.

   1. 엔드포인트 확인 확장 프로그램을 마우스 오른쪽 버튼으로 클릭한 후 옵션으로 이동합니다.
   2. 로그 수준모두로그 다운로드를 선택합니다.
   3. Google Workspace 지원팀에 케이스를 접수하고 추가 디버깅을 위해 로그를 공유합니다.

컨텍스트 인식 액세스 수준 구성하기

1. Google 관리 콘솔에서 메뉴 보안액세스 및 데이터 관리컨텍스트 인식 액세스로 이동합니다.

   컨텍스트 인식 액세스로 이동

   데이터 보안 액세스 수준 및 규칙 관리 권한과 Admin API 그룹 및 사용자 읽기 권한이 필요합니다.

2. 액세스 수준을 선택합니다.
3. 액세스 수준 만들기를 클릭합니다.
4. 액세스 수준 이름(예: '엔터프라이즈 인증서 필요')과 설명(선택사항)을 추가합니다.
5. 고급 탭을 클릭합니다. 이 탭에서는 Common Expressions Language (CEL)를 사용하여 수정 창에서 맞춤 액세스 수준을 작성합니다. 자세한 내용은 컨텍스트 인식 액세스 수준 만들기, 액세스 수준 정의 - 고급 모드를 참고하세요.

6. 액세스 수준에 CEL 표현식을 추가합니다.

   액세스 수준은 루트 CA 인증서의 디지털 지문을 확인하거나 (예 1) 특정 발급기관에서 발급한 유효한 인증서인지 확인 (예 2)하는 등 인증서의 다양한 속성을 테스트할 수 있습니다. 쿼리할 수 있는 인증서 속성의 전체 목록은 여기의 속성 표에서 참고하세요.

   1) 신뢰 앵커를 기준으로 검증되고 회사 루트 인증서로 서명된 유효한 인증서: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg").

   루트 디지털 지문 문자열을 위의 인증서 확인하기 단계에서 복사한 문자열로 바꿉니다.

   2) 신뢰 앵커를 기준으로 검증되고 특정 발급기관에서 발급한 유효한 인증서:device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US")

7. 만들기를 클릭합니다. 이제 앱에 이 액세스 수준을 할당할 수 있습니다.