Créer une autorité de certification subordonnée à partir d'une autorité de certification externe

Console

1. Accédez à la page Sécurité > le menu Certificate Authority Service dans console Google Cloud.

   Accéder à Certificate Authority Service

2. Cliquez sur l'onglet Gestionnaire d'autorités de certification.

3. Cliquez sur Créer une autorité de certification.

Sélectionnez le type d'autorité de certification:

1. Cliquez sur Autorité de certification subordonnée.
2. Dans le champ Valide pour, saisissez la durée souhaitée. les certificats émis par le certificat de l’autorité de certification pour être valides.
3. Cliquez sur L'autorité de certification racine est externe.
4. Sélectionnez l'une des options disponibles pour le niveau de l'autorité de certification. Pour plus plus d'informations, consultez la section Sélectionner les niveaux d'opération.
5. Sous Regionalization (Regionalisation), sélectionnez un emplacement de l'autorité de certification dans la liste.
6. Cliquez sur Suivant.

1. Dans le champ Organisation (O), saisissez le nom de votre entreprise.
2. Facultatif: dans le champ Unité organisationnelle (UO), saisissez l'entreprise. ou une unité commerciale.
3. Facultatif: dans le champ Nom du pays, saisissez un code pays à deux lettres.
4. (Facultatif) Dans le champ Nom de l'État ou de la province, saisissez le nom votre état.
5. Facultatif : Dans le champ Nom de la localité, saisissez le nom de votre ville.
6. Dans le champ Nom commun de l'autorité de certification (CN), saisissez le nom de l'autorité de certification.
7. Dans le champ ID du pool, saisissez le nom du pool d'autorités de certification. Vous ne pouvez pas modifier après la création de l'autorité de certification.
8. Cliquez sur Suivant.

1. Choisissez l'algorithme clé qui répond le mieux à vos besoins. Pour savoir comment choisir l'algorithme de clé approprié, consultez la section Choisir un algorithme de clé.
2. Cliquez sur Suivant.

Les étapes suivantes sont facultatives. Si vous ignorez ces étapes, s'appliquent.

1. Indiquez si vous souhaitez utiliser un compte géré par Google ou autogéré bucket Cloud Storage.

Si vous ne sélectionnez pas de bucket Cloud Storage autogéré, CA Service crée un bucket géré par Google en tant qu'autorité de certification.

2. Indiquez si vous souhaitez désactiver la publication du certificat listes de révocation (LRC) et certificats CA sur Cloud Storage bucket.

Publication d'une liste de révocation de certificats et d'un certificat CA sur un bucket Cloud Storage est activé par défaut. Pour désactiver ces paramètres, cliquez sur les boutons d'activation.

3. Cliquez sur Suivant.

Les étapes suivantes sont facultatives.

Si vous souhaitez ajouter des étiquettes à l'autorité de certification, procédez comme suit:

1. Cliquez sur addAjouter un élément.
2. Dans le champ Clé 1, saisissez la clé d'étiquette.
3. Dans le champ Valeur 1, saisissez la valeur du libellé.
4. Pour ajouter un autre libellé, cliquez sur addAjouter un élément. Ajoutez ensuite la clé et la valeur du libellé, comme indiqué aux étapes 2 et 3.
5. Cliquez sur Suivant.

Vérifiez attentivement tous les paramètres, puis cliquez sur Créer pour créer l'autorité de certification.

Télécharger la requête de signature de certificat

1. Sur la page Autorité de certification, sélectionnez l'autorité de certification que vous souhaitez activer.
2. Cliquez sur power_settings_newActiver.

3. Dans la boîte de dialogue qui s'ouvre, cliquez sur file_downloadTélécharger le CSR.

   

gcloud

1. Pour créer un pool d'autorités de certification pour l'autorité de certification subordonnée, exécutez la commande suivante. Pour en savoir plus, consultez Créer un pool d'autorités de certification.

   gcloud privateca pools create SUBORDINATE_POOL_ID
   

   Remplacez SUBORDINATE_POOL_ID par le nom du pool d'autorités de certification.

2. Pour créer une autorité de certification subordonnée dans le pool d'autorités de certification créé, exécutez la commande gcloud suivante. La commande gcloud crée également une requête de signature de certificat et l'enregistre dans le fichier FILE_NAME.

   gcloud privateca subordinates create SUBORDINATE_CA_ID \
     --pool=SUBORDINATE_POOL_ID \
     --create-csr --csr-output-file=FILE_NAME \
     --key-algorithm="ec-p256-sha256" \
     --subject="CN=Example Server TLS CA, O=Example LLC"
   

   Remplacez les éléments suivants :

   • SUBORDINATE_CA_ID : identifiant unique de l'autorité de certification subordonnée.
   • SUBORDINATE_POOL_ID: nom du pool d'autorités de certification.
   • FILE_NAME : nom du fichier dans lequel la CSR encodée au format PEM est écrite.

   L'indicateur --key-algorithm utilise l'algorithme cryptographique que vous souhaitez utiliser pour créer une clé Cloud HSM gérée pour l'autorité de certification.

   L'option --subject utilise le nom X.501 de l'objet du certificat.

   Pour en savoir plus sur la commande gcloud privateca subordinates create, consultez gcloud privateca subordinates create.

L'instruction suivante est renvoyée lors de la création de la requête de signature de certificat:

Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID] and saved CSR to FILE_NAME.

Pour afficher la liste complète des paramètres disponibles, exécutez la commande suivante :

gcloud privateca subordinates create --help

Si vous perdez la requête de signature de certificat, vous pouvez la télécharger à nouveau à l'aide de la commande suivante:

gcloud privateca subordinates get-csr SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_POOL_ID

Terraform

1. Pour créer un pool d'autorités de certification et une autorité de certification subordonnée dans ce pool, utilisez le fichier de configuration suivant:

   resource "google_privateca_ca_pool" "default" {
     name     = "test-ca-pool"
     location = "us-central1"
     tier     = "ENTERPRISE"
   }
   
   resource "google_privateca_certificate_authority" "sub-ca" {
     pool = google_privateca_ca_pool.default.name
     certificate_authority_id = "my-certificate-authority-sub"
     location = "us-central1"
     config {
       subject_config {
         subject {
           organization = "HashiCorp"
           common_name = "my-subordinate-authority"
         }
         subject_alt_name {
           dns_names = ["hashicorp.com"]
         }
       }
       x509_config {
         ca_options {
           is_ca = true
           # Force the sub CA to only issue leaf certs
           max_issuer_path_length = 0
         }
         key_usage {
           base_key_usage {
             cert_sign = true
             crl_sign = true
           }
           extended_key_usage {
           }
         }
       }
     }
     lifetime = "86400s"
     key_spec {
       algorithm = "RSA_PKCS1_4096_SHA256"
     }
     type = "SUBORDINATE"
   }
   

2. Pour récupérer la requête de signature de certificat, ajoutez la configuration suivante.

   data "google_privateca_certificate_authority" "sub-ca-csr" {
     location = "us-central1"
     pool = google_privateca_ca_pool.default.name
     certificate_authority_id = google_privateca_certificate_authority.sub-ca.certificate_authority_id
   }
   
   output "csr" {
     value = data.google_privateca_certificate_authority.sub-ca-csr.pem_csr
   }
   

3. Exécutez terraform apply.

Shell

Configurez les paramètres de la nouvelle autorité de certification racine.

cat > root.conf <<- EOM
[ req ]
distinguished_name = req_distinguished_name
x509_extensions    = v3_ca
prompt             = no
[ req_distinguished_name ]
commonName = Sample Root
[ v3_ca ]
subjectKeyIdentifier=hash
basicConstraints=critical, CA:true
EOM

Créez la nouvelle autorité de certification racine.

openssl req -x509 -new -nodes -config root.conf -keyout rootCA.key \
  -days 3000 -out rootCA.crt -batch

Configurez les extensions à ajouter au nouveau certificat CA subordonné.

cat > extensions.conf <<- EOM
basicConstraints=critical,CA:TRUE,pathlen:0
keyUsage=critical,keyCertSign,cRLSign
extendedKeyUsage=critical,serverAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOM

Signez la requête de signature de certificat de l'autorité de certification subordonnée avec cette racine.

openssl x509 -req -in FILE_NAME -CA rootCA.crt -CAkey rootCA.key \
  -CAcreateserial -out subordinate.crt -days 1095 -sha256 -extfile extensions.conf

Concaténez toute la chaîne de certificats en un seul fichier.

cat subordinate.crt > chain.crt
cat rootCA.crt >> chain.crt

Console

1. Accédez à la page Certificate Authority Service (Service d'autorité de certification) dans la console Google Cloud.

   Accéder à Certificate Authority Service

2. Cliquez sur l'onglet Gestionnaire d'autorités de certification.

3. Sous Autorités de certification, sélectionnez l'autorité de certification secondaire que vous avez créée.

4. Cliquez sur power_settings_newActiver.

5. Dans la boîte de dialogue qui s'ouvre, cliquez sur Download CSR (Télécharger la requête de signature de certificat) pour télécharger Fichier CSR codé au format PEM que l'autorité de certification émettrice peut signer.

6. Cliquez sur Suivant.

7. Dans le champ Importer une chaîne de certificats, cliquez sur Parcourir.

8. Importez le fichier de certificat signé comportant l'extension .crt.

9. Cliquez sur Activer.

gcloud

gcloud privateca subordinates activate SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_POOL_ID \
  --pem-chain ./chain.crt

Remplacez les éléments suivants :

• SUBORDINATE_CA_ID: identifiant unique de l'autorité de certification subordonnée que vous souhaitez activer.
• SUBORDINATE_POOL_ID: nom du pool d'autorités de certification contenant l'autorité de certification subordonnée.

L'option --pem-chain est obligatoire. Cette option utilise le fichier contenant la liste des certificats encodés au format PEM. La liste des certificats commence par le certificat CA actuel et se termine par le certificat CA racine.

Pour en savoir plus sur la commande gcloud privateca subordinates activate, consultez gcloud privateca subordinates activate.

L'instruction suivante est renvoyée lors de l'importation du certificat signé:

Activated certificate authority [SUBORDINATE_CA_ID].

Terraform

1. Enregistrez le certificat d'autorité de certification signé en local sous le nom subordinate.crt.
2. Enregistrez les certificats d'autorité de certification de signataire en local sous le nom rootCA.crt.
3. Supprimez la configuration d'extraction de requête de signature de certificat mentionnée à la première étape en tant que il tente de récupérer une requête de signature de certificat, ce qui n'est pas autorisé après l'activation de l'autorité de certification.

4. Mettez à jour la configuration de l'autorité de certification subordonnée avec les champs suivants, puis exécutez la commande terraform apply

     pem_ca_certificate     = file("subordinate.crt")
     subordinate_config {
       pem_issuer_chain {
           pem_certificates = [file("rootCA.crt")] 
       }
     }
   

   Si la chaîne d'émetteurs inclut plusieurs autorités de certification, spécifiez la valeur comme suit : [file("intermediateCA.cert"), file("rootCA.crt")]