Användningsfall: Kräv företagscertifikat

Utgåvor som stöds för den här funktionen: Frontline Standard, Frontline Plus, Enterprise Standard, Enterprise Plus, Education Standard, Education Plus och Chrome Enterprise Premium

Företagscertifikat hjälper till att säkerställa att användarenheter är betrodda för åtkomst till tjänster och data i din organisation. I det här exemplet skapar du en kontextmedveten åtkomstnivå som kräver att användarenheter har ett företagsutfärdat företagscertifikat för att få åtkomst till appar.

Tillägget Endpoint Verification rapporterar endast ett företagscertifikat till Googles administratörskonsol.

Innan du börjar

• Se till att användarnas enheter hanteras av Chrome Enterprise Core eller andra lösningar för enhetshantering.
• Användarens enheter måste ha tillägget Endpoint Verification installerat. Lär dig hur du installerar Endpoint Verification .
• (För användare i Windows) För att förbättra säkerheten för Chrome-data, se till att Google Chrome Elevation Service förblir aktiverad för appbunden kryptering .

Om certifikat

• Om ditt företag inte har ett CA-certifikat och motsvarande klientcertifikat kan du skapa dem via Google Cloud Certificate Authority Service .
• Klientcertifikat måste ha stöd för klientautentisering (1.3.6.1.5.5.7.3.2).
• I Windows måste klientcertifikat finnas i certifikatarkivet för aktuell användare. Certifikat i certifikatarkivet för den lokala datorn kan inte autentiseras.

Konfigurera certifikatförtroende

För att samla in och validera enhetens företagscertifikat måste du ladda upp de förtroendeankare som används för att utfärda enhetscertifikatet. Förtroendeankarna är rot-CA-certifikatet (Certification Authority) och relevanta mellanliggande och underordnade certifikat. Följ dessa steg:

1. I Googles administratörskonsol, gå till Meny Enheter Nätverk .

   Gå till Nätverk

   Kräver administratörsbehörighet för inställningar för delade enheter .

2. Välj lämplig organisationsenhet.
3. Gör något av följande:
   • Om det inte finns några certifikat klickar du på Ladda upp certifikat i avsnittet Certifikat .
   • Om det finns certifikat klickar du på avsnittet Certifikat och sedan på Lägg till certifikat .
4. Ange certifikatnamnet och ladda upp certifikatet.
5. Klicka på kryssrutan Aktiverad för slutpunktsverifiering .
6. Klicka på Lägg till .

Konfigurera Chrome-policy

För att Endpoint Verification ska kunna söka efter enhetscertifikatet och samla in det via Chrome måste du konfigurera Chrome-policyn AutoSelectCertificateForURLs.

1. I administratörskonsolen, gå till Enheter Krom Inställningar Användar- och webbläsarinställningar Klientcertifikat .
2. Välj lämplig organisationsenhet eller grupp.

3. Lägg till policyn AutoSelectCertificateForUrls med följande syntax: {"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   Ersätt CERTIFICATE_ISSUER_NAME med det gemensamma namnet på utfärdarens CA. Ändra inte värdet för pattern .

   Under certifikatinsamlingen och valideringsprocessen aktiverar klientcertifikatet den faktiska mTLS-anslutningen till ovanstående clients6.google.com-värdar.

Verifiera Chrome-policykonfigurationen

1. Navigera till chrome://policy i webbläsaren.
2. Kontrollera att det konfigurerade värdet för AutoSelectCertificateForUrls är det värde som angavs i steg 3 i Konfigurera Chrome-policy ovan.
3. Se till att policyn "Applies to " är inställd på "Maskin" . I Chrome-operativsystemet tillämpas värdet på "Nuvarande användare *".

4. Se till att statusen för policyn inte har en konflikt .

   Mer information om policyprioritet och hur man löser policykonflikter finns i Förstå Chromes policyhantering .

Verifiera insamling av klientcertifikat på enheten

1. (På slutpunkten) Logga in och starta en synkronisering med hjälp av tillägget Google Endpoint Verification.

   Under det här steget valideras klientcertifikatet på serversidan mot de förtroendeankare som laddats upp i Konfigurera certifikatförtroende ovan.

2. (Administratörskonsol) Gå till Enheter Mobil och slutpunkter och lokalisera enheten.

3. Kontrollera att certifikatet visas i inställningarna för slutpunktsverifiering.

4. Notera certifikatfält som Root CA-fingeravtryck, Utfärdarsträng eller andra på den här sidan och använd dessa värden för att konstruera en åtkomstnivå i Konfigurera kontextmedveten åtkomstnivå nedan.

5. Du kan använda loggarna för slutpunktsverifiering för att felsöka eventuella problem. Så här laddar du ner loggarna:

   1. Högerklicka på tillägget Endpoint Verification och gå sedan till Alternativ .
   2. Välj loggnivå Alla Ladda ner loggar .
   3. Öppna ett ärende med Google Workspace-supporten och dela loggarna för vidare felsökning.

Konfigurera en kontextmedveten åtkomstnivå

1. I Googles administratörskonsol, gå till Meny Säkerhet Åtkomst- och datakontroll Kontextmedveten åtkomst .

   Gå till kontextmedveten åtkomst

   Kräver åtkomstnivån för datasäkerhet och behörigheter för regelhantering samt läsbehörigheter för grupper och användare i Admin API .

2. Välj Åtkomstnivåer .
3. Klicka på Skapa åtkomstnivå .
4. Lägg till ett namn för åtkomstnivån (till exempel "Kräv företagscertifikat") och en valfri beskrivning.
5. Klicka på fliken Avancerat . På den här fliken skapar du din anpassade åtkomstnivå i ett redigeringsfönster med hjälp av Common Expressions Language (CEL) . Gå till Skapa kontextmedvetna åtkomstnivåer , Definiera åtkomstnivåer - Avancerat läge för mer information.

6. Lägg till CEL-uttrycket för åtkomstnivån.

   Åtkomstnivån kan testa olika attribut för certifikatet, till exempel verifiera fingeravtrycket för rot-CA-certifikatet (exempel 1), eller kontrollera om det är ett giltigt certifikat utfärdat av en specifik utfärdare (exempel 2). För en komplett lista över certifikatattribut som kan efterfrågas, se attributtabellen här .

   1) Giltigt certifikat, verifierat mot förtroendeankare och signerat av företagets rotcertifikat: device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg") .

   Ersätt strängen för rotfingeravtrycket med strängen du kopierade i steget för att verifiera certifikatet ovan.

   2) Giltigt certifikat, verifierat mot förtroendeankare och utfärdat av en specifik utfärdare: device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US") .

7. Klicka på Skapa . Nu kan du tilldela den här åtkomstnivån till appar.