Crie uma autoridade de certificação de raiz
Esta página descreve como criar uma autoridade de certificação (AC) de raiz num conjunto de ACs.
Uma AC raiz está no topo de uma hierarquia de infraestrutura de chave pública (PKI) e é responsável por formar a âncora de confiança da PKI. Para participar corretamente e usar certificados numa PKI, um dispositivo, um software ou um componente tem de confiar na PKI. Isto é conseguido configurando o dispositivo, o software ou o componente para confiar na CA de raiz. Como resultado, todos os certificados emitidos pela CA de raiz são fidedignos.
Antes de começar
- Certifique-se de que tem a função do IAM de gestor de operações do serviço de AC
(
roles/privateca.caManager
) ou administrador do serviço de AC (roles/privateca.admin
). Para mais informações, consulte o artigo Configure políticas de IAM. - Crie um conjunto de ACs.
- Determine as definições da campanha de anúncios dinâmicos de pesquisa.
Crie uma AC de raiz
Uma CA de raiz tem um certificado autoassinado que tem de distribuir para os repositórios de confiança dos seus clientes. O certificado da CA de raiz encontra-se na parte superior da cadeia de certificados. Nenhuma outra AC pode revogar o certificado da AC. A LCR da AC de raiz aplica-se apenas aos outros certificados emitidos pela AC de raiz, mas não a si própria.
Pode criar uma AC raiz num conjunto de ACs existente ou num novo conjunto de ACs. As instruções seguintes usam um conjunto existente.
Consola
Para criar uma AC raiz num conjunto de ACs existente, faça o seguinte:
Aceda à página Serviço de autoridade de certificação na Google Cloud consola.
Clique no separador Gestor de AC.
Clique na seta de expansão Criar CA
e, de seguida, selecione Criar CA num conjunto de CAs existente.
Selecione o grupo de ACs
Selecione um conjunto de AC existente na lista e clique em Continuar.
Selecione o tipo de CA
- Em Tipo, selecione AC de raiz.
- No campo Válido durante, introduza a duração durante a qual quer que os certificados emitidos pelo certificado da CA sejam válidos.
- Em Estado inicializado, selecione o estado operacional da AC a ser criada.
- Clique em Continuar.
- No campo Organização (O), introduza o nome da sua empresa.
- Opcional: no campo Unidade organizacional (UO), introduza a subdivisão da empresa ou a unidade empresarial.
- Opcional: no campo Nome do país (C), introduza um código do país de duas letras.
- Opcional: no campo Nome do estado ou da província, introduza o nome do seu estado.
- Opcional: no campo Nome da localidade, introduza o nome da sua cidade.
- No campo Nome comum (CN) da AC, introduza o nome da AC.
- Clique em Continuar.
- Escolha o algoritmo de chave que melhor se adapta às suas necessidades. Para obter informações sobre como decidir o algoritmo de chave adequado, consulte Escolha um algoritmo de chave.
- Clique em Continuar.
- Escolha se quer usar um contentor do Cloud Storage gerido pela Google ou pelo cliente.
- Para um contentor do Cloud Storage gerido pela Google, o serviço de AC cria um contentor gerido pela Google na mesma localização que a AC.
- Para um contentor do Cloud Storage gerido pelo cliente, clique em Procurar e selecione um dos contentores do Cloud Storage existentes.
- Clique em Continuar.
Os passos seguintes são opcionais.
Se quiser adicionar etiquetas à CA, faça o seguinte:
- Clique em Adicionar item.
- No campo Chave 1, introduza a chave da etiqueta.
- No campo Valor 1, introduza o valor da etiqueta.
- Se quiser adicionar outra etiqueta, clique em Adicionar item. Em seguida, adicione a chave e o valor da etiqueta, conforme mencionado nos passos 2 e 3.
- Clique em Continuar.
Reveja cuidadosamente todas as definições e, de seguida, clique em Concluído para criar a CA.
gcloud
Para criar uma nova AC raiz num conjunto de ACs existente, execute o seguinte comando:
gcloud privateca roots create ROOT_CA_ID \ --location=LOCATION \ --pool=POOL_ID \ --key-algorithm=KEY_ALGORITHM \ --subject="CN=my-ca, O=Test LLC"
Substitua o seguinte:
- ROOT_CA_ID: o nome da CA.
- LOCATION: a localização do grupo de ACs.
- POOL_ID: o nome do grupo de ACs.
- KEY_ALGORITHM: o algoritmo a usar para criar uma chave do Cloud KMS. Esta flag é opcional. Se não incluir esta flag, o algoritmo da chave é predefinido para
rsa-pkcs1-4096-sha256
. Para mais informações, consulte a flag --key-algorithm.
Por predefinição, a CA é criada no estado
STAGED
. Para ativar uma CA por predefinição, inclua a sinalização--auto-enable
.Se quiser usar um contentor do Cloud Storage gerido pelo cliente para publicar certificados de AC e CRLs, adicione
--bucket bucket-name
ao comando. Substitua bucket-name pelo nome do contentor do Cloud Storage.Para ver a lista exaustiva de definições, execute o seguinte comando:
gcloud privateca roots create --help
Terraform
Para criar uma AC de raiz com uma chave de encriptação baseada no Google Cloud, use a seguinte configuração de exemplo:
Para criar uma AC raiz com uma chave autogerida, use a seguinte configuração de exemplo:
Ir
Para se autenticar no serviço de AC, configure as Credenciais padrão da aplicação. Para mais informações, consulte o artigo Configure a autenticação para um ambiente de desenvolvimento local.
Java
Para se autenticar no serviço de AC, configure as Credenciais padrão da aplicação. Para mais informações, consulte o artigo Configure a autenticação para um ambiente de desenvolvimento local.
Python
Para se autenticar no serviço de AC, configure as Credenciais padrão da aplicação. Para mais informações, consulte o artigo Configure a autenticação para um ambiente de desenvolvimento local.
API REST
Crie uma AC de raiz.
Método HTTP e URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities?certificate_authority_id=ROOT_CA_ID
Corpo JSON do pedido:
{ "type": "SELF_SIGNED", "lifetime": { "seconds": 315576000, "nanos": 0 }, "config": { "subject_config": { "subject": { "organization": "ORGANIZATION_NAME", "common_name": "COMMON_NAME" } }, "x509_config":{ "ca_options":{ "is_ca":true }, "key_usage":{ "base_key_usage":{ "cert_sign":true, "crl_sign":true } } } }, "key_spec":{ "algorithm":"RSA_PKCS1_4096_SHA256" } }
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": false }
Sondar a operação até que esteja concluída.
Método HTTP e URL:
GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CertificateAuthority", "name": "...", } }
Depois de verificar que a AC funciona conforme esperado, pode ativá-la para começar a emitir certificados com balanceamento de carga para o conjunto de ACs.
Ative uma AC de raiz
gcloud
Para ativar uma AC raiz, execute o seguinte comando gcloud
:
gcloud privateca roots enable ROOT_CA_ID --location=LOCATION --pool=POOL_ID
Substitua o seguinte:
- ROOT_CA_ID: o nome da CA.
- LOCATION: a localização do grupo de ACs. Para ver a lista completa de localizações, consulte Localizações.
- POOL_ID: o nome do grupo de ACs.
Terraform
Se usar o Terraform para criar uma CA de raiz, a CA de raiz é ativada no momento da criação. Para criar uma CA de raiz no estado STAGED
, defina o campo desired_state
como STAGED
quando criar a CA.
Pode definir o campo desired_state
como ENABLED
ou DISABLED
após a criação do CA.
Ir
Para se autenticar no serviço de AC, configure as Credenciais padrão da aplicação. Para mais informações, consulte o artigo Configure a autenticação para um ambiente de desenvolvimento local.
Java
Para se autenticar no serviço de AC, configure as Credenciais padrão da aplicação. Para mais informações, consulte o artigo Configure a autenticação para um ambiente de desenvolvimento local.
Python
Para se autenticar no serviço de AC, configure as Credenciais padrão da aplicação. Para mais informações, consulte o artigo Configure a autenticação para um ambiente de desenvolvimento local.
API REST
Permitir que a AC emita certificados a partir do conjunto de ACs.
Método HTTP e URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificateAuthorities/ROOT_CA_ID:enable
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": false }
Sondar a operação até que esteja concluída.
Método HTTP e URL:
GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID
Para enviar o seu pedido, expanda uma destas opções:
Deve receber uma resposta JSON semelhante à seguinte:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CertificateAuthority", "name": "...", } }
Teste uma AC
Para verificar se uma AC consegue emitir certificados, peça um certificado ao conjunto de ACs associado e mencione explicitamente o nome da AC que quer testar através da flag --ca
.
Pode usar os seguintes métodos para pedir um certificado a um conjunto de ACs:
- Pedir ao serviço de CA que crie uma chave privada ou pública para si.
- Gere a sua própria chave privada ou pública e envie um pedido de assinatura de certificado (CSR).
É mais fácil usar uma chave privada ou uma chave pública gerada automaticamente para pedir um certificado a uma CA num conjunto de CAs. Esta secção fornece informações sobre como testar uma CA através desse método.
Para usar uma chave privada ou uma chave pública gerada automaticamente para pedir um certificado a uma CA num conjunto de CAs, execute o seguinte comando gcloud
:
gcloud privateca certificates create \
--issuer-pool=POOL_ID \
--issuer-location=ISSUER_LOCATION \
--ca=ROOT_CA_ID \
--generate-key \
--key-output-file=KEY_FILENAME \
--cert-output-file=CERT_FILENAME \
--dns-san=DNS_NAME
Substitua o seguinte:
- POOL_ID: o nome do grupo de ACs.
- ISSUER_LOCATION: a localização da autoridade de certificação (AC) que emitiu o certificado digital.
- ROOT_CA_ID: o identificador exclusivo da AC que quer testar.
- KEY_FILENAME: o ficheiro onde a chave gerada é escrita no formato PEM.
- CERT_FILENAME: o ficheiro onde o ficheiro da cadeia de certificados codificado em PEM resultante é escrito. A ordem da cadeia de certificados é da entidade final para a raiz.
DNS_NAME: um ou mais nomes alternativos do assunto (SANs) do DNS separados por vírgulas.
A flag
--generate-key
gera uma nova chave privada RSA-2048 no seu computador.
Para usar um pedido de assinatura de certificado (CSR) para pedir um certificado a uma AC num conjunto de ACs ou para mais informações sobre como pedir certificados, consulte o artigo Peça um certificado e veja os certificados emitidos.
Clone autoridades de certificação
Para clonar uma AC existente para renovar essa AC ou para criar uma nova AC com a mesma configuração, execute o seguinte comando:
gcloud privateca roots create NEW_CA_ID \
--location=LOCATION \
--pool=POOL_ID \
--from-ca=EXISTING_CA_ID \
--key-algorithm "ec-p384-sha384"
Substitua o seguinte:
- NEW_CA_ID: o identificador exclusivo da nova AC.
- LOCATION: a localização do grupo de ACs.
- POOL_ID: o nome do grupo de ACs no qual quer criar a nova AC.
- EXISTING_CA_ID: o ID da CA de origem ou o identificador totalmente qualificado da CA de origem.
A flag --from-ca
é suportada para a criação de CAs de raiz e subordinadas. A AC existente tem de estar no mesmo conjunto de ACs que a nova AC.
A flag --key-algorithm
copia toda a configuração da AC da AC existente (exceto a versão da chave do Cloud KMS e o contentor do Cloud Storage).
No entanto, pode continuar a substituir qualquer um dos valores de configuração no novo CA fornecendo explicitamente o sinalizador adequado. Por exemplo, pode continuar a especificar `--subject SUBJECT para usar um novo assunto.
Se omitir a flag --key-algorithm
, o algoritmo é predefinido para:
rsa-pkcs1-4096-sha256
para ACs de raiz.rsa-pkcs1-2048-sha256
para CAs subordinados.
Para mais informações sobre este comando gcloud
, consulte gcloud privateca roots
create.
O que se segue?
- Saiba como criar uma AC subordinada.
- Saiba como pedir certificados.
- Saiba mais sobre os modelos e as políticas de emissão.