Membuat certificate authority bawah

Halaman ini menjelaskan cara membuat certificate authority (CA) bawahan dalam kumpulan CA.

CA subordinat bertanggung jawab untuk menerbitkan sertifikat secara langsung ke entitas akhir seperti pengguna, komputer, dan perangkat. CA subordinate ditandatangani secara kriptografis oleh CA induk, yang sering kali merupakan CA root. Akibatnya, sistem yang memercayai CA root, secara otomatis memercayai CA subordinate dan sertifikat entitas akhir yang diterbitkan oleh CA subordinat.

Sebelum memulai

Pastikan Anda memiliki peran CA Service Operation Manager (roles/privateca.caManager) atau CA Service Admin (roles/privateca.admin). Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kebijakan IAM.
Buat kumpulan CA.
Pilih root CA Anda.

Membuat CA subordinat

CA subordinat lebih mudah dicabut dan dirotasi daripada CA root. Jika Anda memiliki beberapa skenario penerbitan sertifikat, Anda dapat membuat CA subordinat untuk setiap skenario tersebut. Menambahkan beberapa CA subordinat dalam kumpulan CA membantu Anda mencapai load balancing untuk permintaan sertifikat yang lebih baik dan total QPS efektif yang lebih tinggi.

Untuk membuat CA subordinat, lakukan hal berikut:

Konsol

Buka halaman Certificate Authority Service di Konsol Google Cloud.

Buka Certificate Authority Service
Klik tab Pengelola CA.
Klik Create CA.

Pilih jenis CA

Klik Subordinate CA.
Klik Root CA ada di Google Cloud.
Di kolom Valid for, masukkan durasi sertifikat CA yang valid.
Opsional: Pilih tingkat untuk CA. Tingkat defaultnya adalah Enterprise. Untuk mengetahui informasi selengkapnya, lihat Memilih tingkat operasi.
Klik Region untuk memilih lokasi untuk CA. Untuk mengetahui informasi selengkapnya, lihat Lokasi.
Opsional: Di bagian Initialized state, pilih status yang harus dimiliki CA pada saat pembuatan.
Opsional: Di bagian Siapkan skenario penerbitan, klik Profil sertifikat, lalu pilih profil sertifikat yang paling sesuai dengan persyaratan Anda dari daftar. Untuk informasi selengkapnya, lihat Profil sertifikat.
Klik Next.

Konfigurasi nama subjek CA

Di kolom Organization (O), masukkan nama perusahaan Anda.
Opsional: Di kolom Unit organisasi (OU), masukkan subdivisi atau unit bisnis perusahaan.
Opsional: Di kolom Nama negara, masukkan kode negara dua huruf.
Opsional: Di kolom Nama negara bagian atau provinsi, masukkan nama negara bagian Anda.
Opsional: Di kolom Nama lokalitas, masukkan nama kota Anda.
Di kolom Nama umum CA (CN), masukkan nama CA.
Di kolom Pool ID, masukkan nama kumpulan CA. Anda tidak dapat mengubah kumpulan CA setelah membuat CA.
Klik Next.

Mengonfigurasi ukuran dan algoritma kunci CA

Pilih algoritma kunci yang paling sesuai dengan kebutuhan Anda. Untuk mengetahui informasi tentang cara menentukan algoritma kunci yang sesuai, lihat Memilih algoritma kunci.
Klik Next.

Mengonfigurasi artefak CA

Langkah-langkah berikut ini bersifat opsional. Jika Anda melewati langkah-langkah ini, setelan default akan berlaku.

Pilih apakah Anda ingin menggunakan bucket Cloud Storage yang dikelola Google atau dikelola sendiri.

Jika Anda tidak memilih bucket Cloud Storage yang dikelola sendiri, CA Service akan membuat bucket yang dikelola Google di lokasi yang sama dengan CA.

Pilih apakah Anda ingin menonaktifkan publikasi daftar pencabutan sertifikat (CRL) dan sertifikat CA ke bucket Cloud Storage.

Publikasi CRL dan sertifikat CA pada bucket Cloud Storage diaktifkan secara default. Untuk menonaktifkan setelan ini, klik tombol.

Klik Next.

Tambahkan label

Langkah-langkah berikut ini bersifat opsional.

Jika Anda ingin menambahkan label ke CA, lakukan hal berikut:

Klik Tambahkan item.
Di kolom Kunci 1, masukkan kunci label.
Di kolom Nilai 1, masukkan nilai label.
Jika Anda ingin menambahkan label lain, klik Tambahkan item. Kemudian, tambahkan kunci label dan nilai seperti yang disebutkan pada langkah 2 dan 3.
Klik Next.

Tinjau setelan

Tinjau semua setelan dengan cermat, lalu klik Buat untuk membuat CA.

gcloud

Buat kumpulan CA untuk CA subordinat:
```
gcloud privateca pools create SUBORDINATE_POOL_ID
```
Ganti SUBORDINATE_POOL_ID dengan nama kumpulan CA.

Untuk mengetahui informasi selengkapnya tentang cara membuat kumpulan CA, lihat Membuat kumpulan CA.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools create, lihat gcloud privateca pool create.
Membuat CA subordinat dalam kumpulan CA yang dibuat.

Catatan: Anda bisa mendapatkan ID resource penerbit (POOL_ID) dengan menyalin ID dari perintah create, atau dengan memanfaatkan perintah gcloud privateca pools list.
```
gcloud privateca subordinates create SUBORDINATE_CA_ID \
  --pool=SUBORDINATE_POOL_ID \
  --issuer-pool=POOL_ID \
  --key-algorithm="ec-p256-sha256" \
  --subject="CN=Example Server TLS CA, O=Example LLC"
```
Pernyataan berikut ditampilkan saat subordinate CA dibuat.
```
Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].
```
Untuk melihat daftar lengkap setelan, jalankan perintah gcloud berikut:
```
gcloud privateca subordinates create --help
```
Perintah tersebut menampilkan contoh untuk membuat CA subordinat yang penerbitnya berlokasi di CA Service atau berada di tempat lain.

Terraform

resource "google_privateca_certificate_authority" "root_ca" {
  pool                                   = "my-pool"
  certificate_authority_id               = "my-certificate-authority-root"
  location                               = "us-central1"
  deletion_protection                    = false # set to true to prevent destruction of the resource
  ignore_active_certificates_on_deletion = true
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name  = "my-certificate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        # is_ca *MUST* be true for certificate authorities
        is_ca = true
      }
      key_usage {
        base_key_usage {
          # cert_sign and crl_sign *MUST* be true for certificate authorities
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
          server_auth = false
        }
      }
    }
  }
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
}

resource "google_privateca_certificate_authority" "default" {
  // This example assumes this pool already exists.
  // Pools cannot be deleted in normal test circumstances, so we depend on static pools
  pool                     = "my-pool"
  certificate_authority_id = "my-certificate-authority-sub"
  location                 = "us-central1"
  deletion_protection      = false # set to true to prevent destruction of the resource
  subordinate_config {
    certificate_authority = google_privateca_certificate_authority.root_ca.name
  }
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name  = "my-subordinate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        is_ca = true
        # Force the sub CA to only issue leaf certs
        max_issuer_path_length = 0
      }
      key_usage {
        base_key_usage {
          digital_signature  = true
          content_commitment = true
          key_encipherment   = false
          data_encipherment  = true
          key_agreement      = true
          cert_sign          = true
          crl_sign           = true
          decipher_only      = true
        }
        extended_key_usage {
          server_auth      = true
          client_auth      = false
          email_protection = true
          code_signing     = true
          time_stamping    = true
        }
      }
    }
  }
  lifetime = "86400s"
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
  type = "SUBORDINATE"
}

Java

Untuk mengautentikasi ke CA Service, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, baca Menyiapkan autentikasi untuk lingkungan pengembangan lokal.


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPoolName;
import com.google.cloud.security.privateca.v1.CertificateAuthority;
import com.google.cloud.security.privateca.v1.CertificateAuthority.KeyVersionSpec;
import com.google.cloud.security.privateca.v1.CertificateAuthority.SignHashAlgorithm;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateConfig;
import com.google.cloud.security.privateca.v1.CertificateConfig.SubjectConfig;
import com.google.cloud.security.privateca.v1.CreateCertificateAuthorityRequest;
import com.google.cloud.security.privateca.v1.KeyUsage;
import com.google.cloud.security.privateca.v1.KeyUsage.KeyUsageOptions;
import com.google.cloud.security.privateca.v1.Subject;
import com.google.cloud.security.privateca.v1.SubjectAltNames;
import com.google.cloud.security.privateca.v1.X509Parameters;
import com.google.cloud.security.privateca.v1.X509Parameters.CaOptions;
import com.google.longrunning.Operation;
import com.google.protobuf.Duration;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateSubordinateCa {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set it to the CA Pool under which the CA should be created.
    // subordinateCaName: Unique name for the Subordinate CA.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    String subordinateCaName = "subordinate-certificate-authority-name";

    createSubordinateCertificateAuthority(project, location, poolId, subordinateCaName);
  }

  public static void createSubordinateCertificateAuthority(
      String project, String location, String poolId, String subordinateCaName)
      throws IOException, ExecutionException, InterruptedException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      String commonName = "commonname";
      String orgName = "csr-org-name";
      String domainName = "dns.example.com";
      int caDuration = 100000; // Validity of this CA in seconds.

      // Set the type of Algorithm.
      KeyVersionSpec keyVersionSpec =
          KeyVersionSpec.newBuilder().setAlgorithm(SignHashAlgorithm.RSA_PKCS1_4096_SHA256).build();

      // Set CA subject config.
      SubjectConfig subjectConfig =
          SubjectConfig.newBuilder()
              .setSubject(
                  Subject.newBuilder().setCommonName(commonName).setOrganization(orgName).build())
              // Set the fully qualified domain name.
              .setSubjectAltName(SubjectAltNames.newBuilder().addDnsNames(domainName).build())
              .build();

      //  Set the key usage options for X.509 fields.
      X509Parameters x509Parameters =
          X509Parameters.newBuilder()
              .setKeyUsage(
                  KeyUsage.newBuilder()
                      .setBaseKeyUsage(
                          KeyUsageOptions.newBuilder().setCrlSign(true).setCertSign(true).build())
                      .build())
              .setCaOptions(CaOptions.newBuilder().setIsCa(true).build())
              .build();

      // Set certificate authority settings.
      CertificateAuthority subCertificateAuthority =
          CertificateAuthority.newBuilder()
              .setType(CertificateAuthority.Type.SUBORDINATE)
              .setKeySpec(keyVersionSpec)
              .setConfig(
                  CertificateConfig.newBuilder()
                      .setSubjectConfig(subjectConfig)
                      .setX509Config(x509Parameters)
                      .build())
              // Set the CA validity duration.
              .setLifetime(Duration.newBuilder().setSeconds(caDuration).build())
              .build();

      // Create the CertificateAuthorityRequest.
      CreateCertificateAuthorityRequest subCertificateAuthorityRequest =
          CreateCertificateAuthorityRequest.newBuilder()
              .setParent(CaPoolName.of(project, location, poolId).toString())
              .setCertificateAuthorityId(subordinateCaName)
              .setCertificateAuthority(subCertificateAuthority)
              .build();

      // Create Subordinate CA.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient
              .createCertificateAuthorityCallable()
              .futureCall(subCertificateAuthorityRequest);

      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating Subordinate CA !" + response.getError());
        return;
      }

      System.out.println(
          "Subordinate Certificate Authority created successfully : " + subordinateCaName);
    }
  }
}

Python

Untuk mengautentikasi ke CA Service, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, baca Menyiapkan autentikasi untuk lingkungan pengembangan lokal.

import google.cloud.security.privateca_v1 as privateca_v1
from google.protobuf import duration_pb2

def create_subordinate_ca(
    project_id: str,
    location: str,
    ca_pool_name: str,
    subordinate_ca_name: str,
    common_name: str,
    organization: str,
    domain: str,
    ca_duration: int,
) -> None:
    """
    Create Certificate Authority (CA) which is the subordinate CA in the given CA Pool.
    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: set it to the CA Pool under which the CA should be created.
        subordinate_ca_name: unique name for the Subordinate CA.
        common_name: a title for your certificate authority.
        organization: the name of your company for your certificate authority.
        domain: the name of your company for your certificate authority.
        ca_duration: the validity of the certificate authority in seconds.
    """

    ca_service_client = privateca_v1.CertificateAuthorityServiceClient()

    # Set the type of Algorithm
    key_version_spec = privateca_v1.CertificateAuthority.KeyVersionSpec(
        algorithm=privateca_v1.CertificateAuthority.SignHashAlgorithm.RSA_PKCS1_4096_SHA256
    )

    # Set CA subject config.
    subject_config = privateca_v1.CertificateConfig.SubjectConfig(
        subject=privateca_v1.Subject(
            common_name=common_name, organization=organization
        ),
        # Set the fully qualified domain name.
        subject_alt_name=privateca_v1.SubjectAltNames(dns_names=[domain]),
    )

    # Set the key usage options for X.509 fields.
    x509_parameters = privateca_v1.X509Parameters(
        key_usage=privateca_v1.KeyUsage(
            base_key_usage=privateca_v1.KeyUsage.KeyUsageOptions(
                crl_sign=True,
                cert_sign=True,
            )
        ),
        ca_options=privateca_v1.X509Parameters.CaOptions(
            is_ca=True,
        ),
    )

    # Set certificate authority settings.
    certificate_authority = privateca_v1.CertificateAuthority(
        type_=privateca_v1.CertificateAuthority.Type.SUBORDINATE,
        key_spec=key_version_spec,
        config=privateca_v1.CertificateConfig(
            subject_config=subject_config,
            x509_config=x509_parameters,
        ),
        # Set the CA validity duration.
        lifetime=duration_pb2.Duration(seconds=ca_duration),
    )

    ca_pool_path = ca_service_client.ca_pool_path(project_id, location, ca_pool_name)

    # Create the CertificateAuthorityRequest.
    request = privateca_v1.CreateCertificateAuthorityRequest(
        parent=ca_pool_path,
        certificate_authority_id=subordinate_ca_name,
        certificate_authority=certificate_authority,
    )

    operation = ca_service_client.create_certificate_authority(request=request)
    result = operation.result()

    print(f"Operation result: {result}")

Mengaktifkan CA subordinat

Untuk mengaktifkan CA subordinat, lakukan hal berikut:

Konsol

Buka halaman Certificate Authority Service di Google Cloud Console.

Buka Certificate Authority Service
Klik tab Pengelola CA.
Di bagian Certificate authority, pilih CA yang ingin Anda aktifkan.
Klik Aktifkan.
Pada dialog yang terbuka, klik Download CSR untuk mendownload file CSR berenkode PEM yang dapat ditandatangani oleh CA penerbit.
Klik Next.
Di kolom Upload Certificate Chain, klik Browse.
Upload file sertifikat yang ditandatangani dengan ekstensi .crt.
Klik Aktifkan.

gcloud

Untuk mengaktifkan CA subordinate yang baru dibuat, jalankan perintah berikut:

gcloud privateca subordinates enable SUBORDINATE_CA_ID --pool=SUBORDINATE_POOL_ID

Ganti kode berikut:

SUBORDINATE_CA_ID: ID unik CA subordinat.
SUBORDINATE_POOL_ID: nama kumpulan CA yang berisi CA subordinat.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca subordinates enable, lihat gcloud privateca subordinates enable.

Terraform

Tetapkan kolom desired_state ke ENABLED pada CA subordinate dan jalankan terraform apply.

Langkah selanjutnya

Pelajari cara meminta sertifikat.
Pelajari kebijakan template dan penerbitan.