Se usó la API de Cloud Translation para traducir esta página.

Configura condiciones de certificado empresarial

Un principio clave de Chrome Enterprise Premium es “El acceso a los servicios se otorga en función de lo que sabemos sobre ti y tu dispositivo”. El nivel de acceso otorgado a un solo usuario o a un solo dispositivo se infiere de forma dinámica mediante la búsqueda de varias fuentes de datos. Chrome Enterprise Premium usa este nivel de confianza como parte de su proceso de decisión.

Access Context Manager es el motor de políticas de confianza cero de Chrome Enterprise Premium. Access Context Manager permite a los administradores definir un control de acceso detallado basado en atributos para aplicaciones y Google Cloud recursos.

Usa niveles de acceso para permitir el acceso a los recursos según la información contextual de la solicitud. Mediante los niveles de acceso, puedes comenzar a organizar niveles de confianza. Por ejemplo, puedes crear un nivel de acceso llamado High_Level que permita solicitudes de un grupo pequeño de personas con muchos privilegios. También puedes identificar un grupo más general para confiar, como un rango de IP desde el que deseas permitir solicitudes. En ese caso, puedes crear un nivel de acceso llamado Medium_Level para permitir esas solicitudes.

Uno de los requisitos clave para el acceso de confianza cero es permitir el acceso solo cuando el dispositivo es administrado por la empresa o le pertenece. Existen muchas formas de determinar si un dispositivo es propiedad de la empresa. Una de ellas es determinar si existe un certificado válido, emitido por la empresa, en el dispositivo. La existencia de un certificado empresarial en un dispositivo se puede usar para indicar que el dispositivo es propiedad de la empresa.

Los certificados empresariales para el acceso contextual son una función de la solución general de acceso basado en certificados de Chrome Enterprise Premium. Esta función aprovecha los certificados de dispositivos como un indicador alternativo adaptado al contexto para determinar si un dispositivo es un activo propiedad de la empresa. Esta función es compatible con la versión 110 o posterior del navegador Chrome.

Dado que un dispositivo puede tener más de un certificado, se puede acceder a los certificados empresariales en el nivel de acceso personalizado a través de las macros .exist(e,p):

device.certificates.exists(cert, predicate)

En el ejemplo, cert es un identificador que se usará en predicator, que se vincula al certificado del dispositivo. La macro exist() combina los resultados del predicado por elemento con el operador "o" (||), lo que significa que las macros devuelven verdadero si al menos un certificado satisface la expresión predicate.

El certificado tiene los siguientes atributos que se pueden verificar juntos. Ten en cuenta que las comparaciones de cadenas distinguen mayúsculas de minúsculas.

Atributo	Descripción	Ejemplo de expresión de predicado (en el que `cert` es un identificador de macros)
`is_valid`	Es verdadero si el certificado es válido y no venció (booleano).	`cert.is_valid`
`cert_fingerprint`	Huella digital del certificado (SHA256 sin relleno en base64). La huella digital es el resumen SHA256 codificado en base64 sin relleno, en formato binario, del certificado codificado en DER. Puedes generar la cadena del certificado en formato PEM con el siguiente procedimiento de OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha`	`cert.cert_fingerprint == origin.clientCertFingerprint()`
`root_ca_fingerprint`	Huella digital del certificado de CA raíz que se usó para firmar el certificado (SHA256 sin relleno en base64). La huella digital es el resumen SHA256 codificado en base64 sin relleno, en formato binario, del certificado codificado en DER. Puedes generar la cadena del certificado en formato PEM con el siguiente procedimiento de OpenSSL: `$ openssl x509 -in cert.pem -out cert.der -outform DER $ openssl dgst -sha256 -binary cert.der > digest.sha $ openssl base64 -in digest.sha`	`cert.root_ca_fingerprint == "the_fingerprint"`
`issuer`	Nombre de la entidad emisora (nombres completamente expandidos). Para encontrar el nombre de la entidad emisora, puedes usar el siguiente enfoque: Ejecuta el siguiente comando en el certificado: `$ openssl x509 -in ca_1.crt -issuer issuer= /C=IN/ST=UP/L=NCR/O=BCEDemo/OU=BCEDemo_1/CN=inter_1/emailAddress=test_inter1@beyondcorp.in` La cadena del emisor que se usa en el nivel de acceso es la inversa del resultado, y la barra (/) se reemplaza por una coma. Ejemplo: `EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN`	`cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN"`
`subject`	Nombre del sujeto del certificado (nombres completamente expandidos).	`cert.subject == "CA_SUB"`
`serial_number`	Número de serie del certificado (cadena).	`cert.serial_number = "123456789"`
`template_id`	Es el ID de la plantilla de la extensión X.509 del certificado (cadena).	`cert.template_id = "1.3.6.1.4.1.311.21.8.15608621.11768144.5720724.16068415.6889630.81.2472537.7784047"`

En la siguiente tabla, se incluyen ejemplos de políticas que puedes establecer:

Ejemplo de una política	Expresión
El dispositivo tiene un certificado válido firmado por el certificado raíz de la empresa.	`device.certificates.exists(cert, cert.is_valid && cert.root_ca_fingerprint == "ROOT_CA_FINGERPRINT")`
El dispositivo tiene un certificado válido emitido por la entidad emisora `CA_ABC.`	`device.certificates.exists(cert, cert.is_valid && cert.issuer == "EMAILADDRESS=test_inter1@beyondcorp.in, CN=inter_1, OU=BCEDemo_1, O=BCEDemo, L=NCR, ST=UP, C=IN")`

Configura certificados empresariales

Antes de configurar los certificados empresariales, asegúrate de haber configurado niveles de acceso personalizados. Para obtener instrucciones, consulta Cómo crear un nivel de acceso personalizado.

Puedes usar una definición de nivel de acceso personalizado de Access Context Manager para establecer las políticas adecuadas. Los niveles de acceso personalizados usan expresiones booleanas escritas en un subconjunto de Common Expression Language (CEL) para probar los atributos de un cliente que realiza una solicitud.

Cómo subir anclajes de confianza en la Consola del administrador

Para que Chrome Enterprise Premium recopile y valide el certificado empresarial del dispositivo, debes subir las entidades de certificación raíz y los certificados intermedios que se usen para emitir el certificado del dispositivo. Aquí, los anclajes de confianza hacen referencia al certificado de CA (autoridad certificadora) raíz autofirmado y a los certificados intermedios y subordinados pertinentes. Completa los siguientes pasos para subir las anclas de confianza:

Ve a la Consola del administrador y navega a Dispositivos > Redes > Certificados.
Selecciona la unidad organizativa adecuada.
Selecciona Agregar certificado.
Ingresa el nombre del certificado.
Sube el certificado.
Habilita la casilla de verificación Endpoint Verification.
Haz clic en Agregar.
Asegúrate de que los usuarios pertenezcan a la unidad organizativa para la que se subieron las entidades de certificación.

Configura una política de AutoSelectCertificateForUrls

Para que Endpoint Verification busque el certificado del dispositivo y lo recopile a través de Chrome, debes configurar la política de Chrome AutoSelectCertificateForURLs. Para ello, completa los siguientes pasos:

Asegúrate de que el navegador Chrome esté administrado por la Administración en la nube para el navegador Chrome.
- [Win/OSX/Linux] Configuración del navegador Chrome administrado con CBCM https://support.google.com/chrome/a/answer/9301891.
- [Chrome] Inscribe el dispositivo en la empresa.
En la Consola del administrador, agrega la política AutoSelectCertificateForUrls:
1. Ve a la Consola del administrador y navega a Dispositivos > Chrome > Configuración > Configuración de usuarios y del navegador > Certificados de cliente.
2. Selecciona la unidad organizativa adecuada.
3. Agrega una política AutoSelectCertificateForUrls, como se muestra en el siguiente ejemplo:
```
{"pattern":"https://[*.]clients6.google.com","filter":{"ISSUER":{"CN":"CERTIFICATE_ISSUER_NAME"}}}
```
  Reemplaza CERTIFICATE_ISSUER_NAME por el nombre común de la CA raíz. No modifiques el valor de pattern.

Para verificar la configuración de la política, completa los siguientes pasos:

Navega a chrome://policy en el navegador.
Verifica el valor configurado para AutoSelectCertificateForUrls.
Asegúrate de que el valor de la política Se aplica a esté establecido en Máquina. En el sistema operativo Chrome, el valor se aplica a Current User*.
Asegúrate de que el Estado de la política no tenga un Conflicto.

Soluciona problemas de configuración

Revisa los atributos del certificado en la página de detalles del dispositivo para asegurarte de que se muestren correctamente.

Puedes usar los registros de Endpoint Verification para solucionar cualquier problema. Para descargar los registros de la Verificación de extremos, completa los siguientes pasos:

Haz clic con el botón derecho en la extensión de Endpoint Verification y, luego, ve a Opciones.
Selecciona Nivel de registro > Todo > Descargar registros.
Abre un caso de ayuda con la Atención al cliente de Cloud y comparte los registros para realizar una depuración adicional.