Criar uma autoridade certificadora subordinada
Esta página descreve como criar autoridades certificadoras (ACs) subordinadas em um pool de ACs.
ACs subordinadas são responsáveis por emitir certificados diretamente para entidades finais, como usuários, computadores e dispositivos. As ACs subordinadas são assinadas criptograficamente por uma AC mãe, que geralmente é a AC raiz. Como resultado, os sistemas que confiam na AC raiz confiam automaticamente nas ACs subordinadas e nos certificados de entidade final que elas emitem.
Antes de começar
- Verifique se você tem o CA Service Operation Manager
(
roles/privateca.caManager
) ou o administrador de serviço de CA (roles/privateca.admin
) papel do IAM. Para mais informações, consulte Configurar políticas do IAM. - Criar um pool de CA.
- Selecione sua CA raiz.
Criar uma AC subordinada
As ACs subordinadas são mais fáceis de revogar e rotacionar do que as ACs raiz. Se você tiver vários cenários de emissão de certificados, é possível criar uma CA subordinada para cada um desses cenários. Adicionar várias ACs subordinadas a um pool de ACs ajuda você a conseguir um melhor balanceamento de carga das solicitações de certificado e um QPS total efetivo maior.
Para criar uma AC subordinada, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Clique na guia Gerenciador de ACs.
Clique em Criar AC.
Selecionar o tipo de CA
- Clique em AC subordinada.
- Clique em A CA raiz está no Google Cloud.
- No campo Válido por, insira o período de validade do certificado de AC.
- Opcional: escolha o nível da CA. O nível padrão é Enterprise. Para mais informações, consulte Selecionar os níveis de operação.
- Clique em Região para selecionar um local para a AC. Saiba mais em Locais.
- Opcional: em Estado inicializado, selecione o estado em que a AC precisa estar na criação.
- Opcional: em Configurar um cenário de emissão, clique em Perfil do certificado e selecione o perfil do certificado que que atenda melhor às suas necessidades na lista. Para mais informações, consulte Perfis de certificado.
- Clique em Próxima.
- No campo Organização (O), insira o nome da sua empresa.
- Opcional: no campo Unidade organizacional (UO), insira a subdivisão da empresa ou a unidade de negócios.
- Opcional: no campo Nome do país, digite um código de país com duas letras.
- Opcional: no campo Nome do estado ou da província, digite o nome da seu estado.
- Opcional: no campo Nome da localidade, digite o nome da sua cidade.
- No campo Nome comum da CA (CN), digite o nome da CA.
- No campo ID do pool, digite o nome do pool de ACs. Não é possível mudar o pool de ACs depois de criar a AC.
- Clique em Próxima.
- Escolha o algoritmo de chave que melhor atende às suas necessidades. Para informações sobre como decidir o algoritmo de chave adequado, consulte Escolha um algoritmo de chave.
- Clique em Próxima.
As etapas a seguir são opcionais. Se você pular essas etapas, o padrão se aplicam.
- Escolha se você quer usar um bucket do Cloud Storage gerenciado pelo Google ou gerenciado por você.
- Escolha se você quer desativar a publicação de certificados listas de revogação (CRLs) e certificados de AC para o Cloud Storage do Google Cloud.
- Clique em Próxima.
Se você não selecionar um bucket autogerenciado do Cloud Storage, O CA Service cria um bucket gerenciado pelo Google no mesmo local como a CA.
Publicação da CRL e do certificado de CA em um bucket do Cloud Storage é ativado por padrão. Para desativar essas configurações, clique nos botões de alternância.
As etapas a seguir são opcionais.
Se você quiser adicionar rótulos à AC, faça o seguinte:
- Clique em Adicionar item.
- No campo Chave 1, insira a chave do rótulo.
- No campo Valor 1, insira o valor do rótulo.
- Para adicionar outro marcador, clique em Adicionar item. Em seguida, adicione a chave e o valor do rótulo, conforme mencionado nas etapas 2 e 3.
- Clique em Próxima.
Revise todas as configurações com cuidado e clique em Criar para criar a AC.
gcloud
Crie um pool de ACs para a AC subordinada:
gcloud privateca pools create SUBORDINATE_POOL_ID
Substitua SUBORDINATE_POOL_ID pelo nome do pool de ACs.
Para mais informações sobre a criação de pools de ACs, consulte Criar um pool de ACs.
Para mais informações sobre o comando
gcloud privateca pools create
, consulte gcloud privateca pools create.Crie uma AC subordinada no pool de ACs criado.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_POOL_ID \ --issuer-pool=POOL_ID \ --key-algorithm="ec-p256-sha256" \ --subject="CN=Example Server TLS CA, O=Example LLC"
A declaração a seguir é retornada quando a AC subordinada é criada.
Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].
Para ver uma lista completa de configurações, execute o seguinte comando
gcloud
:gcloud privateca subordinates create --help
O comando retorna exemplos para criar uma AC subordinada cujo emissor está localizado no serviço de AC ou em outro lugar.
Terraform
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ativar uma AC subordinada
Para ativar uma AC subordinada, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Clique na guia Gerente de CAs.
Em Autoridades de certificação, selecione a AC que você quer ativar.
Clique em
Ativar.Na caixa de diálogo que abrir, clique em Fazer o download da CSR para fazer o download do arquivo CSR codificado por PEM que a AC emissora pode assinar.
Clique em Próxima.
No campo Fazer upload da cadeia de certificados, clique em Procurar.
Faça upload do arquivo do certificado assinado com a extensão
.crt
.Clique em Activate.
gcloud
Para ativar uma CA subordinada recém-criada, execute o seguinte comando:
gcloud privateca subordinates enable SUBORDINATE_CA_ID --pool=SUBORDINATE_POOL_ID
Substitua:
- SUBORDINATE_CA_ID: o identificador exclusivo da AC subordinada.
- SUBORDINATE_POOL_ID: o nome do pool de ACs que contém a AC subordinada.
Para mais informações sobre o comando gcloud privateca subordinates enable
, consulte gcloud privateca subordinates enable.
Terraform
Defina o campo desired_state
como ENABLED
na AC subordinada e execute terraform apply
.
A seguir
- Saiba como solicitar certificados.
- Saiba mais sobre modelos e políticas de emissão.