Crea una CA subordinata da una CA esterna
Questa pagina descrive come creare un'autorità di certificazione (CA) subordinata collegata a una CA radice esterna.
Se disponi di una gerarchia di infrastruttura a chiave pubblica (PKI) esistente contenente una CA radice e CA subordinate, puoi mantenere la stessa CA radice e creare una CA subordinata nel servizio CA che si concatena alla CA radice esterna. La chiave e le operazioni della CA radice esterna rimangono al di fuori di Google Cloud. Puoi utilizzare la CA radice esterna solo per emettere il certificato CA subordinato a Google Cloud. La CA subordinata viene immediatamente considerata attendibile da qualsiasi carico di lavoro che considera attendibile la CA radice esterna. Puoi quindi utilizzare la CA subordinata per emettere i certificati senza dover contattare la CA radice esterna in fase di esecuzione.
Prima di iniziare
- Assicurati di disporre del ruolo IAM CA Service Operation Manager (
roles/privateca.caManager
) o CA Service Admin (roles/privateca.admin
). Per informazioni, consulta Configurare i criteri IAM. - Identifica la CA radice esterna.
- Definisci il nome, l'oggetto, il periodo di validità e le dimensioni della chiave per la CA subordinata. Per informazioni, vedi Determinazione delle impostazioni CA.
Crea una CA subordinata da una CA esterna
La creazione di una CA subordinata da una CA esterna prevede i seguenti passaggi:
Genera la richiesta di firma del certificato (CSR) della CA subordinata: il primo passaggio consiste nel generare una richiesta di firma del certificato (CSR) per la CA subordinata e quindi scaricare la richiesta di firma del certificato (CSR).
Ottieni il certificato CA subordinato firmato dalla CA radice esterna: il secondo passaggio prevede l'invio della richiesta di firma del certificato alla CA radice esterna per la firma. Assicurati di seguire le istruzioni specifiche della CA radice esterna per l'invio di CSR e l'ottenimento di certificati firmati.
Importa il certificato CA subordinato firmato nel servizio CA: il passaggio finale consiste nel caricare la catena di certificati PEM firmata utilizzando Google Cloud CLI o la console Google Cloud.
La sezione seguente mostra come creare una CA subordinata da una CA radice esterna.
Crea un CSR
Console
Vai al menu Sicurezza > Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda CA Manager (Amministratore CA).
Fai clic su Crea CA.
Seleziona il tipo di CA:
- Fai clic su CA subordinata.
- Nel campo Valido per, inserisci il periodo di tempo per cui vuoi che i certificati emessi dal certificato CA siano validi.
- Fai clic su La CA radice è esterna.
- Seleziona una delle opzioni disponibili per il livello CA. Per ulteriori informazioni, consulta Selezionare i livelli di operazioni.
- In Regionalizzazione, seleziona una località CA dall'elenco.
- Fai clic su Avanti.
- Nel campo Organizzazione (O), inserisci il nome della tua azienda.
- (Facoltativo) Nel campo Unità organizzativa (UO), inserisci la suddivisione dell'azienda o l'unità aziendale.
- (Facoltativo) Nel campo Nome paese, inserisci un codice paese di due lettere.
- (Facoltativo) Nel campo Nome stato o provincia, inserisci il nome del tuo stato.
- (Facoltativo) Nel campo Nome località, inserisci il nome della tua città.
- Nel campo Nome comune della CA (CN), inserisci il nome della CA.
- Nel campo ID pool, inserisci il nome del pool di CA. Non puoi modificare il pool di CA dopo aver creato la CA.
- Fai clic su Avanti.
- Scegli l'algoritmo chiave più adatto alle tue esigenze. Per informazioni su come decidere l'algoritmo chiave adatto, consulta Scegliere un algoritmo chiave.
- Fai clic su Avanti.
I passaggi che seguono sono facoltativi. Se salti questi passaggi, verranno applicate le impostazioni predefinite.
- Scegli se utilizzare un bucket Cloud Storage gestito da Google o autogestito.
- Scegli se disabilitare la pubblicazione di elenchi di revoche dei certificati (CRL) e di certificati CA nel bucket Cloud Storage.
- Fai clic su Avanti.
Se non selezioni un bucket Cloud Storage autogestito, CA Service crea un bucket gestito da Google nella stessa località della CA.
La pubblicazione di CRL e certificato CA in un bucket Cloud Storage è abilitata per impostazione predefinita. Per disattivare queste impostazioni, fai clic sui pulsanti di attivazione/disattivazione.
I passaggi che seguono sono facoltativi.
Se vuoi aggiungere etichette alla CA:
- Fai clic su Aggiungi elemento.
- Nel campo Chiave 1, inserisci la chiave di etichetta.
- Nel campo Valore 1, inserisci il valore dell'etichetta.
- Se vuoi aggiungere un'altra etichetta, fai clic su Aggiungi elemento. Quindi, aggiungi la chiave e il valore dell'etichetta come indicato nei passaggi 2 e 3.
- Fai clic su Avanti.
Esamina attentamente tutte le impostazioni, poi fai clic su Crea per creare la CA.
Scarica il CSR
- Nella pagina Autorità di certificazione, seleziona la CA che vuoi attivare.
- Fai clic su Attiva.
Nella finestra di dialogo che si apre, fai clic su
Scarica CSR.
gcloud
Per creare un pool di CA per la CA subordinata, esegui questo comando. Per saperne di più, consulta Creare un pool di CA.
gcloud privateca pools create SUBORDINATE_POOL_ID
Sostituisci SUBORDINATE_POOL_ID con il nome del pool di CA.
Per creare una CA subordinata nel pool di CA creato, esegui questo comando
gcloud
. Il comandogcloud
crea anche una richiesta di firma del certificato e la salva in un file FILE_NAME.gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_POOL_ID \ --create-csr --csr-output-file=FILE_NAME \ --key-algorithm="ec-p256-sha256" \ --subject="CN=Example Server TLS CA, O=Example LLC"
Sostituisci quanto segue:
- SUBORDINATE_CA_ID: l'identificatore univoco della CA subordinata.
- SUBORDINATE_POOL_ID: il nome del pool di CA.
- FILE_NAME: il nome del file in cui è scritto il CSR con codifica PEM.
Il flag
--key-algorithm
prende l'algoritmo crittografico che vuoi utilizzare per creare una chiave Cloud HSM gestita per la CA.Il flag
--subject
prende il nome X.501 del soggetto del certificato.Per ulteriori informazioni sul comando
gcloud privateca subordinates create
, consulta gcloud privateca subordinates create.
Al momento della creazione della richiesta di firma del certificato viene restituita la seguente dichiarazione:
Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID] and saved CSR to FILE_NAME.
Per visualizzare l'elenco completo delle impostazioni disponibili, esegui questo comando:
gcloud privateca subordinates create --help
Se perdi il file CSR, puoi scaricarlo di nuovo utilizzando il seguente comando:
gcloud privateca subordinates get-csr SUBORDINATE_CA_ID \
--pool=SUBORDINATE_POOL_ID
Terraform
Per creare un pool di CA e una CA subordinata nel pool di CA, utilizza il seguente file di configurazione:
resource "google_privateca_ca_pool" "default" { name = "test-ca-pool" location = "us-central1" tier = "ENTERPRISE" } resource "google_privateca_certificate_authority" "sub-ca" { pool = google_privateca_ca_pool.default.name certificate_authority_id = "my-certificate-authority-sub" location = "us-central1" config { subject_config { subject { organization = "HashiCorp" common_name = "my-subordinate-authority" } subject_alt_name { dns_names = ["hashicorp.com"] } } x509_config { ca_options { is_ca = true # Force the sub CA to only issue leaf certs max_issuer_path_length = 0 } key_usage { base_key_usage { cert_sign = true crl_sign = true } extended_key_usage { } } } } lifetime = "86400s" key_spec { algorithm = "RSA_PKCS1_4096_SHA256" } type = "SUBORDINATE" }
Per recuperare il CSR, aggiungi la seguente configurazione.
data "google_privateca_certificate_authority" "sub-ca-csr" { location = "us-central1" pool = google_privateca_ca_pool.default.name certificate_authority_id = google_privateca_certificate_authority.sub-ca.certificate_authority_id } output "csr" { value = data.google_privateca_certificate_authority.sub-ca-csr.pem_csr }
Esegui
terraform apply
.
Firma il CSR
Trasmetti il file CSR generato al membro responsabile dell'emissione del certificato della tua organizzazione e richiedi la firma. I passaggi specifici dipendono dalla configurazione della tua organizzazione.
Puoi sperimentare con una CA radice semplice utilizzando i seguenti comandi openssl
:
Shell
Configura le impostazioni per la nuova CA principale.
cat > root.conf <<- EOM
[ req ]
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
prompt = no
[ req_distinguished_name ]
commonName = Sample Root
[ v3_ca ]
subjectKeyIdentifier=hash
basicConstraints=critical, CA:true
EOM
Crea la nuova CA radice.
openssl req -x509 -new -nodes -config root.conf -keyout rootCA.key \
-days 3000 -out rootCA.crt -batch
Configura le estensioni che devono essere aggiunte al nuovo certificato CA subordinato.
cat > extensions.conf <<- EOM
basicConstraints=critical,CA:TRUE,pathlen:0
keyUsage=critical,keyCertSign,cRLSign
extendedKeyUsage=critical,serverAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOM
Firma la richiesta di firma del certificato della CA subordinata con questa radice.
openssl x509 -req -in FILE_NAME -CA rootCA.crt -CAkey rootCA.key \
-CAcreateserial -out subordinate.crt -days 1095 -sha256 -extfile extensions.conf
Concatena l'intera catena di certificati in un unico file.
cat subordinate.crt > chain.crt
cat rootCA.crt >> chain.crt
Carica il certificato firmato
Per attivare una CA subordinata utilizzando un certificato firmato:
Console
Vai alla pagina Certificate Authority Service nella console Google Cloud.
Fai clic sulla scheda CA Manager (Amministratore CA).
In Autorità di certificazione, scegli la CA subordinata che hai creato.
Fai clic su
Attiva.Nella finestra di dialogo che si apre, fai clic su Scarica CSR per scaricare il file CSR con codifica PEM che la CA emittente può firmare.
Fai clic su Avanti.
Nel campo Carica catena di certificati, fai clic su Sfoglia.
Carica il file del certificato firmato con estensione
.crt
.Fai clic su Attiva.
gcloud
gcloud privateca subordinates activate SUBORDINATE_CA_ID \
--pool=SUBORDINATE_POOL_ID \
--pem-chain ./chain.crt
Sostituisci quanto segue:
- SUBORDINATE_CA_ID: l'identificatore univoco della CA subordinata che vuoi attivare.
- SUBORDINATE_POOL_ID: il nome del pool di CA che contiene la CA subordinata.
Il flag --pem-chain
è obbligatorio. Questo flag accetta il file contenente l'elenco di certificati con codifica PEM. L'elenco dei certificati inizia con il certificato CA corrente e termina con il certificato CA radice.
Per ulteriori informazioni sul comando gcloud privateca subordinates activate
, consulta gcloud privateca subordinates activate.
Quando viene caricato il certificato firmato, viene restituita la seguente dichiarazione:
Activated certificate authority [SUBORDINATE_CA_ID].
Terraform
- Salva il certificato CA firmato localmente come
subordinate.crt
. - Salva i certificati CA del firmatario localmente come
rootCA.crt
. - Rimuovi la configurazione per il recupero del CSR menzionata nel primo passaggio, mentre tenta di recuperare il CSR che non è consentito dopo l'attivazione della CA.
Aggiorna la configurazione della CA subordinata con i seguenti campi ed esegui
terraform apply
.pem_ca_certificate = file("subordinate.crt") subordinate_config { pem_issuer_chain { pem_certificates = [file("rootCA.crt")] } }
Se la catena di emittenti include più di una CA, specifica il valore come
[file("intermediateCA.cert"), file("rootCA.crt")]
.
Passaggi successivi
- Scopri come richiedere certificati.
- Scopri di più su modelli e norme di emissione.