Créer une autorité de certification subordonnée
Cette page explique comment créer des autorités de certification subordonnées (CA) dans un pool d'autorités de certification.
Les autorités de certification subordonnées sont responsables de l'émission de certificats directement aux entités finales telles que les utilisateurs, les ordinateurs et les appareils. Les autorités de certification subordonnées sont signées de manière cryptographique par une autorité de certification parente, qui est souvent l'autorité de certification racine. Par conséquent, les systèmes qui font confiance à l'autorité de certification racine approuvent automatiquement les autorités de certification subordonnées et les certificats d'entité finale qu'elles émettent.
Avant de commencer
- Assurez-vous de disposer du rôle IAM "CA Service Operation Manager" (
roles/privateca.caManager
) ou le rôle IAM "CA Service Admin" (roles/privateca.admin
). Pour en savoir plus, consultez la page Configurer des stratégies IAM. - Créez un pool d'autorités de certification.
- Sélectionnez votre autorité de certification racine.
Créer une autorité de certification subordonnée
Les autorités de certification subordonnées sont plus faciles à révoquer et à alterner que les autorités de certification racine. Si vous disposez de plusieurs scénarios d'émission de certificats, vous pouvez créer une autorité de certification subordonnée pour chacun d'entre eux. L'ajout de plusieurs autorités de certification subordonnées dans un pool d'autorités de certification vous aide à mieux équilibrer la charge des requêtes de certificat et à augmenter le nombre total de RPS effectifs.
Pour créer une autorité de certification subordonnée, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur l'onglet Gestionnaire de CA.
Cliquez sur Créer une autorité de certification.
Sélectionner le type d'autorité de certification
- Cliquez sur Autorité de certification subordonnée.
- Cliquez sur L'autorité de certification racine est dans Google Cloud.
- Dans le champ Valide pour, saisissez la durée pendant laquelle vous souhaitez que le certificat CA soit valide.
- Facultatif: choisissez le niveau de l'autorité de certification. Le niveau par défaut est Enterprise. Pour en savoir plus, consultez la section Sélectionner les niveaux d'opérations.
- Cliquez sur Région afin de sélectionner un emplacement pour l'autorité de certification. Pour plus d'informations, consultez la section Emplacements.
- Facultatif: Sous État initial, sélectionnez l'état dans lequel l'autorité de certification doit se trouver lors de la création.
- Facultatif: Sous Configurer un scénario d'émission, cliquez sur Profil de certificat, puis sélectionnez dans la liste le profil de certificat qui répond le mieux à vos besoins. Pour en savoir plus, consultez la section Profils de certificat.
- Cliquez sur Suivant.
- Dans le champ Organisation (O), saisissez le nom de votre entreprise.
- Facultatif: dans le champ Unité organisationnelle (UO), saisissez la subdivision de l'entreprise ou l'unité commerciale.
- Facultatif: Dans le champ Nom du pays, saisissez un code de pays à deux lettres.
- Facultatif: dans le champ Nom de l'État ou de la province, saisissez le nom de votre État.
- Facultatif: dans le champ Nom de la localité, saisissez le nom de votre ville.
- Dans le champ Nom commun de l'autorité de certification (CN), saisissez le nom de l'autorité de certification.
- Dans le champ ID du pool, saisissez le nom du pool d'autorités de certification. Vous ne pouvez pas modifier le pool d'autorités de certification après avoir créé l'autorité de certification.
- Cliquez sur Suivant.
- Choisissez l'algorithme de clé qui répond le mieux à vos besoins. Pour en savoir plus sur le choix de l'algorithme de clé approprié, consultez Choisir un algorithme de clé.
- Cliquez sur Suivant.
Les étapes suivantes sont facultatives. Si vous ignorez ces étapes, les paramètres par défaut s'appliquent.
- Indiquez si vous souhaitez utiliser un bucket Cloud Storage géré par Google ou autogéré.
- Indiquez si vous souhaitez désactiver la publication des listes de révocation de certificats (LRC) et des certificats CA dans le bucket Cloud Storage.
- Cliquez sur Suivant.
Si vous ne sélectionnez pas de bucket Cloud Storage autogéré, CA Service crée un bucket géré par Google au même emplacement que l'autorité de certification.
La publication de certificats LRC et CA sur un bucket Cloud Storage est activée par défaut. Pour désactiver ces paramètres, cliquez sur les boutons d'activation.
Les étapes suivantes sont facultatives.
Si vous souhaitez ajouter des étiquettes à l'autorité de certification, procédez comme suit:
- Cliquez sur Ajouter un élément.
- Dans le champ Clé 1, saisissez la clé de libellé.
- Dans le champ Valeur 1, saisissez la valeur du libellé.
- Si vous souhaitez ajouter un autre libellé, cliquez sur Ajouter un élément. Ajoutez ensuite la clé et la valeur de libellé, comme indiqué aux étapes 2 et 3.
- Cliquez sur Suivant.
Examinez attentivement tous les paramètres, puis cliquez sur Créer pour créer l'autorité de certification.
gcloud
Créez un pool d'autorités de certification pour l'autorité de certification subordonnée:
gcloud privateca pools create SUBORDINATE_POOL_ID
Remplacez SUBORDINATE_POOL_ID par le nom du pool d'autorités de certification.
Pour en savoir plus sur la création de pools d'autorités de certification, consultez la page Créer un pool d'autorités de certification.
Pour plus d'informations sur la commande
gcloud privateca pools create
, consultez la page gcloud privateca pools create.Créez une autorité de certification subordonnée dans le pool d'autorités de certification créé.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_POOL_ID \ --issuer-pool=POOL_ID \ --key-algorithm="ec-p256-sha256" \ --subject="CN=Example Server TLS CA, O=Example LLC"
L'instruction suivante est renvoyée lors de la création de l'autorité de certification subordonnée.
Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].
Pour afficher la liste complète des paramètres, exécutez la commande
gcloud
suivante:gcloud privateca subordinates create --help
La commande renvoie des exemples pour créer une autorité de certification subordonnée dont l'émetteur est situé sur le service d'autorité de certification ou ailleurs.
Terraform
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Activer une autorité de certification subordonnée
Pour activer une autorité de certification subordonnée, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur l'onglet Gestionnaire de CA.
Sous Autorités de certification, sélectionnez l'autorité de certification que vous souhaitez activer.
Cliquez sur
Activer.Dans la boîte de dialogue qui s'ouvre, cliquez sur Télécharger la requête de signature de certificat pour télécharger le fichier de requête de signature de certificat encodé au format PEM que l'autorité de certification émettrice peut signer.
Cliquez sur Suivant.
Dans le champ Importer la chaîne de certificats, cliquez sur Parcourir.
Importez le fichier de certificat signé avec l'extension
.crt
.Cliquez sur Activer.
gcloud
Pour activer une autorité de certification subordonnée nouvellement créée, exécutez la commande suivante:
gcloud privateca subordinates enable SUBORDINATE_CA_ID --pool=SUBORDINATE_POOL_ID
Remplacez les éléments suivants :
- SUBORDINATE_CA_ID: identifiant unique de l'autorité de certification subordonnée.
- SUBORDINATE_POOL_ID: nom du pool d'autorités de certification qui contient l'autorité de certification subordonnée.
Pour plus d'informations sur la commande gcloud privateca subordinates enable
, consultez la section gcloud privateca suborinates enable.
Terraform
Définissez le champ desired_state
sur ENABLED
sur l'autorité de certification subordonnée et exécutez terraform apply
.
Étapes suivantes
- Découvrez comment demander des certificats.
- En savoir plus sur les modèles et les règles d'émission