用例：需要企业证书

此功能支持的版本：一线员工标准版、一线员工 Plus 版、企业标准版、企业 Plus 版、教育标准版、教育 Plus 版和 Chrome 企业进阶版

企业证书有助于确保用户设备是受信任的，可以访问贵组织中的服务和数据。此示例将创建一个情境感知访问权限级别，要求用户设备必须具有公司签发的企业证书才能访问应用。

端点验证扩展程序仅向 Google 管理控制台报告一个企业证书。

准备工作

• 确保用户设备由 Chrome 企业核心版 或其他设备管理解决方案管理。
• 用户设备必须安装端点验证扩展程序。了解如何安装端点验证。
• （对于 Windows 用户）为了提高 Chrome 数据的安全性，请确保 Google Chrome Elevation Service 针对 应用绑定加密 保持开启状态。

关于证书

• 如果贵公司没有 CA 证书和相应的客户端证书，您可以通过 Google Cloud Certificate Authority Service 创建。
• 客户端证书必须支持客户端身份验证 (1.3.6.1.5.5.7.3.2)。
• 在 Windows 上，客户端证书必须位于“当前用户”证书存储区中。无法对“本地计算机”证书存储区中的证书进行身份验证。

配置证书信任

如需收集和验证设备企业证书，您必须上传用于颁发设备证书的信任锚。信任锚是指根 CA（证书授权机构）证书以及相关的中间证书和从属证书。请按照以下步骤操作：

1. 在 Google 管理控制台中，依次点击“菜单”图标 设备网络。

   转到“网络”

   需要拥有共享设备设置管理员权限。

2. 选择适当的组织单元。
3. 执行以下某项操作：
   • 如果证书 部分中没有证书，请点击上传证书。
   • 如果有证书，请点击证书 部分，然后点击添加证书 。
4. 输入证书名称并上传证书。
5. 点击启用端点验证 复选框。
6. 点击添加。

配置 Chrome 政策

要让端点验证搜索设备证书并通过 Chrome 收集，您必须配置 AutoSelectCertificateFor网址s Chrome 政策。

1. 在管理控制台中，依次点击设备Chrome设置用户和浏览器设置客户端证书。
2. 选择相应的组织部门或群组。

3. 使用以下语法添加 AutoSelectCertificateForUrls 政策：{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}

   将 CERTIFICATE_ISSUER_NAME 替换为颁发者 CA 的通用名称。请勿修改 pattern 的值。

   在证书收集和验证过程中，客户端证书支持与上述 clients6.google.com 主机建立实际 mTLS 连接。

验证 Chrome 政策配置

1. 导航到浏览器中的 chrome://policy。
2. 验证 AutoSelectCertificateForUrls 的配置值是否为上文 配置 Chrome 政策第 3 步中设置的值。
3. 确保将政策适用对象 值设置为机器 。在 Chrome 操作系统上，该值适用于 当前用户*。

4. 确保政策的状态 没有冲突 。

   如需详细了解政策优先级和解决政策冲突，请参阅了解 Chrome 政策管理。

验证设备上客户端证书的收集情况

1. （在端点上）登录并使用 Google 端点验证扩展程序发起同步。

   在此步骤中，服务器端会根据上文配置证书信任中上传的信任锚点对客户端证书进行验证。

2. （管理控制台）依次访问设备移动设备和端点，然后找到相应设备。

3. 验证证书是否显示在端点验证设置中。

4. 记下此页面上的证书字段（例如根 CA 指纹、颁发者字符串或其他字段），并使用这些值在下文的配置感知上下文的访问权限级别中构建访问权限级别。

5. 您可以借助端点验证日志来排查任何问题。要下载日志，请执行以下操作：

   1. 右键点击端点验证扩展程序，然后转到选项。
   2. 依次选择日志级别全部下载日志。
   3. 向 Google Workspace 支持团队 提交支持请求，并共享日志以进一步调试。

配置情境感知访问权限级别

1. 在 Google 管理控制台中，依次点击“菜单”图标 安全性访问权限和数据控件情境感知访问权限。

   转到“情境感知访问权限”

   需要 数据安全访问权限级别管理和规则管理权限 以及 Admin API 群组和用户读取权限。

2. 选择访问权限级别。
3. 点击创建访问权限级别。
4. 添加访问权限级别名称（例如“需要企业证书”）和可选说明。
5. 点击高级 标签页。在此标签页上，您可以使用 通用表达式语言 (CEL) 在编辑窗口中构建自定义访问权限级别。如需了解详情，请参阅创建情境感知访问权限级别、定义访问权限级别 - 高级模式。

6. 为访问权限级别添加 CEL 表达式。

   访问权限级别可以测试证书的不同属性，例如验证根 CA 证书的指纹（示例 1），或检查证书是否由特定颁发机构签发的有效证书（示例 2）。如需查看可查询的证书属性的完整列表，请参阅此处的属性表 here。

   1) 有效证书，已通过信任锚点进行验证并由公司根证书签名： device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "v2yJUfpL6LkfUFmKVsPr0Czj+Z0LoJzLIk3j4ffJfSg")。

   将根指纹字符串替换为您在上述验证证书步骤中复制的字符串。

   2) 有效证书，已通过信任锚进行验证且由特定颁发者颁发： device.certificates.exists(cert, cert.is_valid && cert.issuer =="CN=BeyondCorp Demo Device Issuer CA, OU=Enterprise Device Trust, O=BeyondCorp Enterprise, ST=New Jersey, C=US")。

7. 点击创建。现在，您可以将此访问权限级别分配给应用。