Criar um pool de CA
Esta página descreve como criar pools de autoridades certificadoras (AC).
Um pool de CAs é um conjunto de várias CAs com um certificado em comum política de emissão e do Identity and Access Management (IAM). Um pool de ACs facilita o gerenciamento da alternância de ACs e permite que você alcance um total maior de consultas eficazes por segundo (QPS, na sigla em inglês).
Você precisa criar um pool de ACs antes de usar o Certificate Authority Service para criar uma AC. Para mais informações, consulte Visão geral de pools de CA.
Antes de começar
Verifique se você tem o CA Service Operation Manager
(roles/privateca.caManager
) papel do IAM. Para informações sobre
conceder um IAM a um principal, consulte Conceder um único
de rede.
Decida as configurações do pool de ACs
Esta seção descreve as configurações de um pool de ACs e fornece recomendações para decidir as configurações.
Configurações do pool de CAs permanentes
As configurações do pool de AC a seguir não podem ser alteradas após a criação do pool de ACs.
- Local
Especifique o local do pool de ACs. Um pool de ACs é armazenado Local do Google Cloud. Recomendamos que você crie seu pool de ACs no mesmo local ou próximo ao local onde você pretende para usá-lo.
Para ver a lista completa de locais compatíveis, consulte Locais.
- Nível
Escolha se você quer criar o pool de ACs com o DevOps ou o Enterprise camada de armazenamento. Essa escolha afeta a persistência ou não do serviço de CA certificados, se os certificados criados podem ser revogados posteriormente e a taxa máxima de criação de certificados das ACs no pool de ACs. Para mais informações, consulte Selecionar os níveis de operação.
Configurações opcionais do pool de ACs
- Política de emissão de certificados
Um pool de ACs pode ter uma política de emissão de certificados. Essa política de emissão impõe restrições aos certificados que as CAs no pool de AC têm permissão para emitir. É possível atualizar a política de emissão de um pool de ACs depois de criá-lo. Para mais informações, consulte Visão geral de modelos e políticas de emissão.
Para mais informações sobre como configurar uma política de emissão de certificados, consulte Adicionar uma política de emissão de certificados a um pool de ACs.
- Opções de publicação
É possível configurar um pool de ACs para publicar os certificados de AC de cada uma das ACs dele. Ao emitir um certificado, o URL do certificado da AC é incluído no certificado como uma extensão de acesso a informações de autoridade (AIA).
As ACs em pools de CAs de nível empresarial podem publicar certificados listas de revogação (CRLs) ao Cloud Storage associado do Google Cloud. Ao emitir um certificado, um URL para essa CRL é incluído no certificado como a extensão do ponto de distribuição de CRL (CDP, na sigla em inglês). Não foi possível encontrar a CRL sem a extensão do CDP no certificado. Para mais informações, consulte Revogar certificados.
Você também pode selecionar o formato de codificação dos certificados de CA publicados e CRLs. Os formatos de codificação aceitos são Privacy Enhanced Mail (PEM) e Distinguished Encoding Rules (DER). Se um formato de codificação não for especificado, o PEM será usado.
Se você criar o pool de ACs usando a CLI ou o console do Google Cloud, o serviço de AC vai ativar essas opções de publicação por padrão. Para Para mais informações, consulte Como desativar o certificado de CA e a publicação de CRL para CAs em uma CA pool.
Criar um pool de CA
Para criar um pool de ACs, siga estas instruções:
Console
Escolher um nome para o pool de ACs
Acesse a página Certificate Authority Service no console do Google Cloud.
Clique em Gerenciador de pool de CAs.
Clique em
Criar pool.Adicione um nome ao pool de ACs exclusivo para a região.
Selecione uma região no menu suspenso do campo Região. Para mais informações, consulte Como escolher o melhor local.
Selecione o nível Enterprise ou DevOps. Para mais informações, consulte Selecionar os níveis de operação.
Clique em Próxima.
Configurar tamanhos e algoritmos de chave permitidos
O CA Service permite escolher os algoritmos de assinatura para o Chaves do Cloud KMS que armazenam as ACs no pool de ACs. Todos os algoritmos de chave são permitidos por padrão.
Para restringir as chaves permitidas nos certificados emitidos pelo pool de ACs, faça o seguinte. Esse é um procedimento opcional.
- Clique no botão de alternância.
- Clique em Adicionar um item.
Na lista Tipo, selecione o tipo de chave.
Se você quiser usar chaves RSA, faça o seguinte:
- Opcional: adicione o tamanho mínimo do módulo em bits.
- Opcional: adicione o tamanho máximo do módulo em bits.
- Clique em Concluído.
Se você quiser usar chaves de curva elíptica, faça o seguinte:
- Opcional: na lista Tipo de curva elíptica, selecione a tipo de curva.
- Clique em Concluído.
Para adicionar outra chave permitida, clique em Adicionar um item e repita a etapa 2.
Clique em Próxima.
Configurar métodos de solicitação de certificado
Limitar os métodos que os solicitantes de certificados podem usar para solicitar certificados do pool de ACs, faça o seguinte:
- Opcional: para restringir as solicitações de certificado com base em CSR, clique na chave.
- Opcional: para restringir solicitações de certificado com base em configuração, clique no interruptor.
Configurar opções de publicação
Para configurar as opções de publicação, faça o seguinte:
- Opcional: para não permitir a publicação de certificados de CA no Cloud Storage para as ACs no pool de ACs, clique no botão de alternância.
- Opcional: para proibir a publicação de CRLs no bucket do Cloud Storage por as ACs no pool de ACs, clique no botão de alternância.
Clique no menu para selecionar o formato de codificação dos certificados de AC e das CRLs publicados.
Clique em Próxima.
Para configurar valores de referência nos certificados emitidos do pool de ACs, faça o seguinte: o seguinte:
- Clique no botão de alternância.
- Clique em Configurar valores de referência.
Você pode usar essa configuração para definir como a chave contida em o certificado possa ser usado. As opções de uso incluem chaves encriptação de dados, assinatura de certificado, assinatura de CRL e muito mais.
Para mais informações, consulte Uso da chave.
Para definir os usos de chave base, faça o seguinte:
- Opcional: na janela que aparece, clique no botão se você quiser especificar usos de chaves básicas para os certificados.
- Marque as caixas de seleção referentes às maneiras em que você quer que uma chave seja usada.
- Clique em Próxima.
Use essa configuração para selecionar cenários mais granulares para os quais contidas no certificado possam ser usadas. As opções incluem autenticação do servidor, autenticação do cliente, assinatura de código, proteção de e-mail e muito mais.
Os usos estendidos de chave são definidos com identificadores de objeto (OIDs). Se você não configurar os usos de chave estendidos, todos os cenários de uso de chaves serão permitidos.
Para mais informações, consulte Uso estendido da chave.
Para definir os usos estendidos de chave, faça o seguinte:
- Opcional: para especificar os usos de chave estendidos dos certificados emitidos pelo pool de CAs, clique na chave.
- Marque as caixas de seleção dos cenários de uso estendido de chave.
- Clique em Próxima.
A extensão de políticas de certificados no certificado expressa as políticas que o pool de ACs emissor segue. Essa extensão pode incluir informações sobre como as identidades são validadas antes da emissão, como os certificados são revogado e como a integridade do pool de ACs é garantida. Essa extensão ajuda você verificar os certificados emitidos pelo pool de ACs e conferir como eles são usadas.
Para mais informações, consulte Políticas de certificados.
Para especificar a política que define o uso do certificado, faça o seguinte:
- Opcional: adicione o identificador de política no campo Identificadores de política.
- Clique em Próxima.
A extensão AIA em um certificado fornece as seguintes informações:
- Endereço dos servidores OCSP de onde é possível verificar o status de revogação do certificado.
- O método de acesso para o emissor do certificado.
Para mais informações, consulte Acesso a informações de autoridade.
Para adicionar os servidores OCSP que aparecem no campo de extensão AIA na os certificados, faça o seguinte. O procedimento a seguir é opcional.
- Opcional: clique em Adicionar item.
- No campo URL do servidor, adicione o URL do servidor OCSP.
- Clique em Concluído.
- Clique em Próxima.
Para configurar outras extensões personalizadas a serem incluídas nos certificados emitidos pelo pool de ACs, faça o seguinte. O procedimento a seguir é opcional.
- Clique em Adicionar item.
- No campo Identificador do objeto, adicione um identificador de objeto válido que esteja formatado como dígitos separados por pontos.
- No campo Valor, adicione o valor codificado em base64 para o identificador.
- Se a extensão for essencial, selecione A extensão é crítica.
Para salvar todas as configurações de valores de referência, clique em Concluído.
Configurar restrições de extensãoPara impedir a inclusão de todas as extensões de solicitações de certificado em certificados emitidos, clique no botão de ativação.
Depois de clicar no botão, você verá a página Certificado conhecido extensões que pode ser usado para selecionar as extensões do certificado. Para selecione as extensões de certificado, faça o seguinte:
- Opcional: clique no campo Extensões de certificado conhecidas e limpe as extensões não obrigatórias do menu.
- Opcional: no campo Extensões personalizadas, adicione os identificadores de objeto. extensões que você quer incluir nos certificados que o pool de ACs problemas.
Para configurar restrições sobre o assunto e SANs nos certificados que os problemas do pool de ACs, faça o seguinte:
- Opcional: para impedir a transmissão do assunto nas solicitações de certificado, clique no botão de alternância.
- Opcional: para não permitir nomes alternativos do assunto em solicitações de certificado sejam transmitidos, clique no botão.
- Opcional: adicionar uma expressão Common Expression Language (CEL) para colocar restrições quanto a assuntos dos certificados. Para mais informações, consulte Como usar CEL.
- Clique em Próxima.
Para saber como configurar parâmetros adicionais na política de emissão de certificados, consulte IssuancePolicy.
Para criar o pool de ACs, clique em Concluído.
gcloud
Execute este comando:
gcloud privateca pools create POOL_NAME
Substitua POOL_NAME pelo nome do pool de ACs.
Se você não especificar qual nível exige para seu pool de ACs, o Enterprise
é selecionada por padrão. Se você quiser especificar o nível do pool de
AC, execute o comando gcloud
a seguir:
gcloud privateca pools create POOL_NAME --tier=TIER_NAME
Substitua:
- POOL_NAME: o nome do seu pool de ACs.
- TIER_NAME:
devops
ouenterprise
. Para mais informações, consulte Selecionar os níveis de operação.
Se você não especificar o formato de codificação de publicação para o pool de ACs, o PEM
o formato de codificação de publicação é selecionado por padrão. Se você quiser especificar o formato de codificação de publicação para seu
Pool de CAs, execute o seguinte comando gcloud
:
gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Substitua:
- POOL_NAME: o nome do seu pool de ACs.
- PUBLISHING_ENCODING_FORMAT:
PEM
ouDER
.
Para mais informações sobre o comando gcloud privateca pools create
, consulte
gcloud privateca pools create.
Para mais informações sobre como restringir o tipo de certificado que um pool de AC pode emitir, consulte Adicionar uma política de emissão de certificados a um pool de AC.
Terraform
Go
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no CA Service, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
API REST
Crie um pool de ACs.
Método HTTP e URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID
Corpo JSON da solicitação:
{ "tier": "ENTERPRISE" }
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": false }
Pesquise a operação até que ela seja concluída.
A operação é concluída quando a propriedade
done
da operação de longa duração é definido comotrue
.Método HTTP e URL:
GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool", "name": "...", "tier": "ENTERPRISE" } }
Adicionar ou atualizar rótulos em um pool de ACs
Um rótulo é um par de chave-valor que ajuda a organizar seu serviço de AC. do Google Cloud. É possível filtrar os recursos com base nos rótulos.
Para adicionar ou atualizar rótulos em um pool de ACs, faça o seguinte:
Console
Para adicionar um marcador, faça o seguinte:
Acesse a página Certificate Authority Service.
Na guia Gerenciador de pool de CAs, selecione o pool de ACs.
Clique em Marcadores.
Clique em
Adicionar marcador.Adicione um par de chave-valor.
Clique em Salvar.
Para editar um marcador, faça o seguinte:
Acesse a página Serviço de autoridade certificadora.
Na guia Gerenciador de pool de CAs, selecione o pool de ACs.
Clique em Marcadores.
Edite o valor do rótulo.
Clique em Salvar.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --update-labels foo=bar
Substitua POOL_ID pelo nome do pool de ACs.
A seguir
- Saiba como criar uma AC raiz.
- Saiba como criar uma AC subordinada.
- Saiba como usar uma política de emissão de certificados.
- Saiba como aumentar a capacidade de criação de certificados usando pools de CAs.
- Saiba como atualizar e excluir um pool de ACs.