Questa pagina è stata tradotta dall'API Cloud Translation.

Creare una CA subordinata da una CA esterna

Questa pagina descrive come creare un'autorità di certificazione subordinata (CA) collegato a una CA radice esterna.

Se disponi già di una gerarchia di infrastruttura a chiave pubblica (PKI) contenente CA radice e CA subordinate, puoi mantenere la stessa CA radice e creare una CA subordinata nel servizio CA che si concatena CA radice. La chiave e le operazioni della CA radice esterna rimangono al di fuori di Google Cloud. Puoi utilizzare solo la CA radice esterna per emettere il certificato CA subordinato a Google Cloud. L'autorità di certificazione secondaria è immediatamente attendibile per qualsiasi carico di lavoro che si fida dell'autorità di certificazione radice esterna. Puoi quindi utilizzare la CA subordinata per emettere i certificati senza dover accedere di nuovo all'autorità di certificazione principale esterna in fase di esecuzione.

Prima di iniziare

Assicurati di avere il CA Service Operation Manager (roles/privateca.caManager) o l'amministratore del servizio CA (roles/privateca.admin) Ruolo IAM. Per informazioni, vedi Configura i criteri IAM.
Identifica la CA radice esterna.
Definisci il nome, l'oggetto, il periodo di validità e le dimensioni della chiave per la CA subordinata. Per informazioni, vedi Determinare le impostazioni CA.

Creare una CA subordinata da una CA esterna

La creazione di una CA subordinata da una CA esterna prevede i seguenti passaggi:

Genera la richiesta di firma del certificato (CSR) della CA subordinata: il primo passaggio consiste nel generare una CSR per la CA subordinata e poi scaricarla.
Ottieni il certificato CA subordinato firmato dalla CA radice esterna: il secondo consiste nell'inviare il CSR alla CA radice esterna per la firma. Assicurati di seguire le istruzioni specifiche della CA radice esterna per l'invio delle richieste di certificato e l'ottenimento dei certificati firmati.
Importa il certificato della CA subordinata firmato nel servizio CA: Il passaggio finale consiste nel caricare la catena di certificati PEM firmata utilizzando l'interfaccia a riga di comando Google Cloud o la console Google Cloud.

La sezione seguente mostra come creare una CA subordinata da una CA radice esterna.

Crea un CSR

Console

Visita la sezione Sicurezza > Certificate Authority Service in nella console Google Cloud.

Vai a Certificate Authority Service
Fai clic sulla scheda CA Manager (Amministratore CA).
Fai clic su Crea CA.

Seleziona il tipo di CA:

Fai clic su CA subordinata.
Nel campo Valido per, inserisci il periodo di tempo che preferisci. validi i certificati emessi dal certificato CA.
Fai clic su La CA radice è esterna.
Seleziona una delle opzioni disponibili per il livello CA. Per ulteriori informazioni, vedi Selezionare i livelli di operazioni.
In Regionalizzazione, seleziona una località in California dalla dall'elenco di lettura.
Fai clic su Avanti.

Configurare il nome oggetto della CA

Nel campo Organizzazione (O), inserisci il nome della tua azienda.
(Facoltativo) Nel campo Unità organizzativa (UO), inserisci l'azienda una suddivisione o un'unità aziendale.
(Facoltativo) Nel campo Nome paese, inserisci un codice paese di due lettere.
(Facoltativo) Nel campo Nome stato o provincia, inserisci il nome del tuo stato.
(Facoltativo) Nel campo Nome località, inserisci il nome della tua città.
Nel campo Nome comune della CA (CN), inserisci il nome della CA.
Nel campo ID pool, inserisci il nome del pool di CA. Non puoi modificare Pool di CA dopo la creazione della CA.
Fai clic su Avanti.

Configura dimensioni e algoritmo della chiave CA

Scegli l'algoritmo chiave più adatto alle tue esigenze. Per informazioni su come scegliere l'algoritmo chiave più adatto, consulta Scegliere un algoritmo chiave.
Fai clic su Avanti.

Configurare gli elementi CA

I passaggi che seguono sono facoltativi. Se salti questi passaggi, lo stato predefinito impostazioni.

Scegli se utilizzare un sistema gestito da Google o uno autogestito nel bucket Cloud Storage.

Se non selezioni un bucket Cloud Storage autogestito, il servizio CA crea un bucket gestito da Google nella stessa posizione dell'autorità di certificazione.

Scegli se disattivare la pubblicazione del certificato elenchi di revoche (CRL) e certificati CA a Cloud Storage di sincronizzare la directory di una VM con un bucket.

La pubblicazione dell'elenco revoche certificati (CRL) e del certificato CA in un bucket Cloud Storage è attivata per impostazione predefinita. Per disattivare queste impostazioni, fai clic sui pulsanti di attivazione/disattivazione.

Fai clic su Avanti.

Aggiungere etichette

I passaggi che seguono sono facoltativi.

Se vuoi aggiungere etichette alla CA:

Fai clic su Aggiungi elemento.
Nel campo Chiave 1, inserisci la chiave dell'etichetta.
Nel campo Valore 1, inserisci il valore dell'etichetta.
Se vuoi aggiungere un'altra etichetta, fai clic su Aggiungi elemento. Aggiungi poi la chiave e il valore dell'etichetta come indicato nei passaggi 2 e 3.
Fai clic su Avanti.

Rivedi le impostazioni

Esamina attentamente tutte le impostazioni, poi fai clic su Crea per creare la CA.

Scarica il file CSR

Nella pagina Autorità di certificazione, seleziona la CA che vuoi attivare.
Fai clic su Attiva.
Nella finestra di dialogo che si apre, fai clic su Scarica CSR.

gcloud

Per creare un pool di CA per la CA secondaria, esegui il seguente comando. Per saperne di più, consulta Creare un pool di CA.
```
gcloud privateca pools create SUBORDINATE_POOL_ID
```
Sostituisci SUBORDINATE_POOL_ID con il nome del pool di CA.
Per creare una CA secondaria nel pool di CA creato, esegui il seguente comando gcloud. Il comando gcloud crea anche un CSR e lo salva nel file FILE_NAME.
```
gcloud privateca subordinates create SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_POOL_ID \
  --create-csr --csr-output-file=FILE_NAME \
  --key-algorithm="ec-p256-sha256" \
  --subject="CN=Example Server TLS CA, O=Example LLC"
```
Sostituisci quanto segue:
- SUBORDINATE_CA_ID: l'identificatore univoco della CA subordinata.
- SUBORDINATE_POOL_ID: il nome del pool di CA.
- FILE_NAME: il nome del file in cui è scritto il CSR con codifica PEM.
Il flag --key-algorithm prende l'algoritmo crittografico che vuoi utilizzare per creare una chiave Cloud HSM gestita per la CA.

Il flag --subject prende il nome X.501 dell'oggetto del certificato.

Per ulteriori informazioni sul comando gcloud privateca subordinates create, consulta gcloud privateca subordinates create.

Al momento della creazione della richiesta di firma del certificato (CSR) viene restituita la seguente dichiarazione:

Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID] and saved CSR to FILE_NAME.

Per visualizzare l'elenco completo delle impostazioni disponibili, esegui il seguente comando:

gcloud privateca subordinates create --help

Se perdi la CSR, puoi scaricarla di nuovo utilizzando il seguente comando:

gcloud privateca subordinates get-csr SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_POOL_ID

Terraform

Per creare un pool di CA e una CA secondaria in quel pool di CA, utilizza il seguente file di configurazione:

resource "google_privateca_ca_pool" "default" {
  name     = "test-ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
}

resource "google_privateca_certificate_authority" "sub-ca" {
  pool = google_privateca_ca_pool.default.name
  certificate_authority_id = "my-certificate-authority-sub"
  location = "us-central1"
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name = "my-subordinate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        is_ca = true
        # Force the sub CA to only issue leaf certs
        max_issuer_path_length = 0
      }
      key_usage {
        base_key_usage {
          cert_sign = true
          crl_sign = true
        }
        extended_key_usage {
        }
      }
    }
  }
  lifetime = "86400s"
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
  type = "SUBORDINATE"
}

Per recuperare il CSR, aggiungi la seguente configurazione.

data "google_privateca_certificate_authority" "sub-ca-csr" {
  location = "us-central1"
  pool = google_privateca_ca_pool.default.name
  certificate_authority_id = google_privateca_certificate_authority.sub-ca.certificate_authority_id
}

output "csr" {
  value = data.google_privateca_certificate_authority.sub-ca-csr.pem_csr
}

Esegui terraform apply.

Firma il CSR

Passa il file CSR generato al membro della tua organizzazione responsabile dell'emissione del certificato e richiedi di firmarlo. Lo specifico dipendono dalla configurazione della tua organizzazione.

Puoi sperimentare con una semplice CA radice utilizzando seguenti comandi openssl:

Shell

Configura le impostazioni per la nuova CA principale.

cat > root.conf <<- EOM
[ req ]
distinguished_name = req_distinguished_name
x509_extensions    = v3_ca
prompt             = no
[ req_distinguished_name ]
commonName = Sample Root
[ v3_ca ]
subjectKeyIdentifier=hash
basicConstraints=critical, CA:true
EOM

Crea la nuova CA principale.

openssl req -x509 -new -nodes -config root.conf -keyout rootCA.key \
  -days 3000 -out rootCA.crt -batch

Configura le estensioni che devono essere aggiunte al nuovo certificato CA subordinato.

cat > extensions.conf <<- EOM
basicConstraints=critical,CA:TRUE,pathlen:0
keyUsage=critical,keyCertSign,cRLSign
extendedKeyUsage=critical,serverAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOM

Firma la richiesta di firma del certificato della CA subordinata con questa radice.

openssl x509 -req -in FILE_NAME -CA rootCA.crt -CAkey rootCA.key \
  -CAcreateserial -out subordinate.crt -days 1095 -sha256 -extfile extensions.conf

Concatena l'intera catena di certificati in un unico file.

cat subordinate.crt > chain.crt
cat rootCA.crt >> chain.crt

Carica il certificato firmato

Per attivare una CA subordinata utilizzando un certificato firmato:

Console

Vai alla pagina Certificate Authority Service in la console Google Cloud.

Vai a Certificate Authority Service
Fai clic sulla scheda CA Manager (Amministratore CA).
In Autorità di certificazione, scegli la CA subordinata che hai creato.
Fai clic su Attiva.
Nella finestra di dialogo che si apre, fai clic su Scarica CSR per scaricare il File CSR con codifica PEM che la CA emittente può firmare.
Fai clic su Avanti.
Nel campo Carica la catena di certificati, fai clic su Sfoglia.
Carica il file del certificato firmato con l'estensione .crt.
Fai clic su Attiva.

gcloud

gcloud privateca subordinates activate SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_POOL_ID \
  --pem-chain ./chain.crt

Sostituisci quanto segue:

SUBORDINATE_CA_ID: l'identificatore univoco della CA subordinata che vuoi attivare.
SUBORDINATE_POOL_ID: il nome del pool di CA che contiene la CA subordinata.

Il flag --pem-chain è obbligatorio. Questo flag accetta il file contenente l'elenco di certificati con codifica PEM. L'elenco dei certificati inizia con il certificato CA corrente e termina con il certificato CA radice.

Per ulteriori informazioni sul comando gcloud privateca subordinates activate, consulta gcloud privateca subordinates activate.

Quando viene caricato il certificato firmato, viene restituita la seguente dichiarazione:

Activated certificate authority [SUBORDINATE_CA_ID].

Terraform

Salva il certificato CA firmato localmente come subordinate.crt.
Salva i certificati CA del firmatario localmente come rootCA.crt.
Rimuovi la configurazione per il recupero di CSR menzionata nel primo passaggio come cerca di recuperare il CSR che non è consentito dopo l'attivazione della CA.
Aggiorna la configurazione della CA subordinata con i seguenti campi ed esegui terraform apply.
```
  pem_ca_certificate     = file("subordinate.crt")
  subordinate_config {
    pem_issuer_chain {
        pem_certificates = [file("rootCA.crt")] 
    }
  }
```
Se la catena dell'emittente include più di una CA, specifica il valore come [file("intermediateCA.cert"), file("rootCA.crt")].

Passaggi successivi

Scopri come richiedere i certificati.
Scopri di più su modelli e norme di emissione.