Créer une autorité de certification racine
Cette page explique comment créer une autorité de certification racine (AC) dans un pool d'autorités de certification.
Une autorité de certification racine se trouve au sommet de la hiérarchie d'une infrastructure à clé publique (PKI) et est chargée de former l'ancre de confiance de la PKI. Pour participer correctement à une PKI et utiliser les certificats, un appareil, un logiciel ou un composant doit faire confiance à la PKI. Pour ce faire, configurez l'appareil, le logiciel ou le composant pour qu'il fasse confiance à l'autorité de certification racine. Par conséquent, tous les certificats émis par l'autorité de certification racine sont approuvés.
Avant de commencer
- Assurez-vous de disposer du rôle IAM "Responsable des opérations du service CA" (
roles/privateca.caManager
) ou "Administrateur du service CA" (roles/privateca.admin
). Pour en savoir plus, consultez la section Configurer des stratégies IAM. - Créez un pool d'autorités de certification.
- Déterminez les paramètres de votre autorité de certification.
Créer une autorité de certification racine
Une autorité de certification racine dispose d'un certificat autosigné que vous devez distribuer aux magasins de confiance de vos clients. Le certificat de l'autorité de certification racine se trouve en haut de la chaîne de certificats. Aucune autre autorité de certification ne peut révoquer le certificat de l'autorité de certification. La liste de révocation de l'autorité de certification racine ne s'applique qu'aux autres certificats qu'elle a émis, mais pas à elle-même.
Vous pouvez créer une autorité de certification racine dans un pool d'autorités de certification existant ou dans un nouveau pool. Les instructions suivantes utilisent un pool existant.
Pour créer une autorité de certification racine dans un pool d'autorités de certification existant, procédez comme suit:
Accédez à la page Certificate Authority Service (Service d'autorité de certification) dans la console Google Cloud.
Cliquez sur l'onglet Gestionnaire d'autorités de certification.
Cliquez sur la flèche d'expansion
Créer une autorité de certification, puis sélectionnez Créer une autorité de certification dans un pool d'autorités de certification existant.
Sélectionner un pool d'autorités de certification
Sélectionnez un pool de certification existant dans la liste, puis cliquez sur Continuer.
Sélectionner le type d'autorité de certification
- Sous Type, sélectionnez Autorité de certification racine.
- Dans le champ Valide pour, saisissez la durée pendant laquelle vous souhaitez que les certificats émis par le certificat d'autorité de certification soient valides.
- Sous État initialisé, sélectionnez l'état opérationnel de l'autorité de certification à créer.
- Cliquez sur Continuer.
- Dans le champ Organisation (O), saisissez le nom de votre entreprise.
- Facultatif: Dans le champ Unité organisationnelle (UO), saisissez la subdivision de l'entreprise ou l'unité commerciale.
- Facultatif: Dans le champ Nom du pays (C), saisissez un code pays à deux lettres.
- Facultatif: Dans le champ Nom de l'État ou de la province, saisissez le nom de votre État.
- Facultatif: Dans le champ Nom de la localité, saisissez le nom de votre ville.
- Dans le champ Nom courant de l'autorité de certification (CN), saisissez le nom de l'autorité de certification.
- Cliquez sur Continuer.
- Choisissez l'algorithme de clé qui répond le mieux à vos besoins. Pour savoir comment choisir l'algorithme de clé approprié, consultez la section Choisir un algorithme de clé.
- Cliquez sur Continuer.
- Indiquez si vous souhaitez utiliser un bucket Cloud Storage géré par Google ou par le client.
- Pour un bucket Cloud Storage géré par Google, CA Service crée un bucket géré par Google au même emplacement que l'autorité de certification.
- Pour un bucket Cloud Storage géré par le client, cliquez sur "Parcourir", puis sélectionnez l'un des buckets Cloud Storage existants.
- Cliquez sur Continuer.
Les étapes suivantes sont facultatives.
Si vous souhaitez ajouter des libellés à l'autorité de certification, procédez comme suit:
- Cliquez sur Ajouter un élément.
- Dans le champ Clé 1, saisissez la clé de libellé.
- Dans le champ Valeur 1, saisissez la valeur de l'étiquette.
- Si vous souhaitez ajouter un autre libellé, cliquez sur Ajouter un élément. Ajoutez ensuite la clé et la valeur du libellé, comme indiqué aux étapes 2 et 3.
- Cliquez sur Continuer.
Vérifiez attentivement tous les paramètres, puis cliquez sur OK pour créer l'autorité de certification.
Pour créer une autorité de certification racine dans un pool d'autorités de certification existant, exécutez la commande suivante:
gcloud privateca roots create
ROOT_CA_ID \ --location=LOCATION \ --pool=POOL_ID \ --key-algorithm=KEY_ALGORITHM \ --subject="CN=my-ca, O=Test LLC"Remplacez les éléments suivants :
- ROOT_CA_ID: nom de l'autorité de certification.
- LOCATION: emplacement du pool d'autorités de certification.
- POOL_ID: nom du pool d'autorités de certification.
- KEY_ALGORITHM: algorithme à utiliser pour créer une clé Cloud KMS. Cette option est facultative. Si vous n'incluez pas cet indicateur, l'algorithme de clé est défini par défaut sur
rsa-pkcs1-4096-sha256
. Pour en savoir plus, consultez l'option --key-algorithm.
Par défaut, l'autorité de certification est créée à l'état
STAGED
. Pour activer une autorité de certification par défaut, incluez l'indicateur--auto-enable
.Si vous souhaitez utiliser un bucket Cloud Storage géré par le client pour publier des certificats d'autorité de certification et des listes de révocation de certificats, ajoutez
--bucket bucket-name
à la commande. Remplacez bucket-name par le nom du bucket Cloud Storage.Pour afficher la liste complète des paramètres, exécutez la commande suivante:
gcloud privateca roots create --help
Pour créer une autorité de certification racine à l'aide d'une clé de chiffrement appartenant à Google et gérée par Google , utilisez l'exemple de configuration suivant:
Pour créer une autorité de certification racine à l'aide d'une clé autogérée, utilisez l'exemple de configuration suivant:
Pour vous authentifier auprès du service d'autorité de certification, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Pour vous authentifier auprès du service d'autorité de certification, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Pour vous authentifier auprès du service d'autorité de certification, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Créez une autorité de certification racine.
Méthode HTTP et URL :
POST https://privateca.googleapis.com/v1/projects/
PROJECT_ID /locations/LOCATION /caPools/POOL_ID /certificateAuthorities?certificate_authority_id=ROOT_CA_ID Corps JSON de la requête :
{ "type": "SELF_SIGNED", "lifetime": { "seconds": 315576000, "nanos": 0 }, "config": { "subject_config": { "subject": { "organization": "
ORGANIZATION_NAME ", "common_name": "COMMON_NAME " } }, "x509_config":{ "ca_options":{ "is_ca":true }, "key_usage":{ "base_key_usage":{ "cert_sign":true, "crl_sign":true } } } }, "key_spec":{ "algorithm":"RSA_PKCS1_4096_SHA256" } }Pour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /caPools/POOL_ID /certificateAuthorities?certificate_authority_id=ROOT_CA_ID "PowerShell (Windows)
Enregistrez le corps de la requête dans un fichier nommé
request.json
, puis exécutez la commande suivante :$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /caPools/POOL_ID /certificateAuthorities?certificate_authority_id=ROOT_CA_ID " | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/
PROJECT_ID /locations/LOCATION /operations/operation-UUID ", "metadata": {...}, "done": false }Interrogez l'opération jusqu'à ce qu'elle soit terminée.
Méthode HTTP et URL :
GET https://privateca.googleapis.com/v1/projects/
PROJECT_ID /locations/LOCATION /operations/operation-UUID Pour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)
Exécutez la commande suivante :
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /operations/operation-UUID "PowerShell (Windows)
Exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /operations/operation-UUID " | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/
PROJECT_ID /locations/LOCATION /operations/operation-UUID ", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CertificateAuthority", "name": "...", } }
Après avoir vérifié que l'autorité de certification fonctionne comme prévu, vous pouvez l'activer pour qu'elle commence à émettre des certificats équilibrés en charge pour le pool d'autorités de certification.
Activer une autorité de certification racine
Pour activer une autorité de certification racine, exécutez la commande gcloud
suivante:
gcloud privateca roots enable ROOT_CA_ID --location=LOCATION --pool=POOL_ID
Remplacez les éléments suivants :
- ROOT_CA_ID: nom de l'autorité de certification.
- LOCATION: emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.
- POOL_ID: nom du pool d'autorités de certification.
Si vous utilisez Terraform pour créer une autorité de certification racine, elle est activée lors de sa création. Pour créer une autorité de certification racine dans l'état STAGED
, définissez le champ desired_state
sur STAGED
lorsque vous créez l'autorité de certification.
Vous pouvez définir le champ desired_state
sur ENABLED
ou DISABLED
après la création de l'autorité de certification.
Pour vous authentifier auprès du service d'autorité de certification, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Pour vous authentifier auprès du service d'autorité de certification, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Pour vous authentifier auprès du service d'autorité de certification, configurez les identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Autorisez l'autorité de certification à émettre des certificats à partir du pool d'autorités de certification.
Méthode HTTP et URL :
POST https://privateca.googleapis.com/v1/projects/
PROJECT_ID /locations/LOCATION /caPools/POOL_ID /certificateAuthorities/ROOT_CA_ID :enablePour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)
Exécutez la commande suivante :
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d "" \
"https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /caPools/POOL_ID /certificateAuthorities/ROOT_CA_ID :enable"PowerShell (Windows)
Exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /caPools/POOL_ID /certificateAuthorities/ROOT_CA_ID :enable" | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/
PROJECT_ID /locations/LOCATION /operations/operation-UUID ", "metadata": {...}, "done": false }Interrogez l'opération jusqu'à ce qu'elle soit terminée.
Méthode HTTP et URL :
GET https://privateca.googleapis.com/v1/projects/
PROJECT_ID /locations/LOCATION /operations/operation-UUID Pour envoyer votre requête, développez l'une des options suivantes :
curl (Linux, macOS ou Cloud Shell)
Exécutez la commande suivante :
curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /operations/operation-UUID "PowerShell (Windows)
Exécutez la commande suivante :
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method GET `
-Headers $headers `
-Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID /locations/LOCATION /operations/operation-UUID " | Select-Object -Expand ContentVous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/
PROJECT_ID /locations/LOCATION /operations/operation-UUID ", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CertificateAuthority", "name": "...", } }
Tester une autorité de certification
Pour vérifier qu'une autorité de certification peut émettre des certificats, demandez un certificat au pool d'autorités de certification associé et mentionnez explicitement le nom de l'autorité de certification que vous souhaitez tester à l'aide de l'indicateur --ca
.
Vous pouvez utiliser les méthodes suivantes pour demander un certificat à partir d'un pool d'autorités de certification:
- Demandez au service CA de créer une clé privée ou publique pour vous.
- Générez votre propre clé privée ou publique, puis envoyez une requête de signature de certificat (CSR).
Il est plus facile d'utiliser une clé privée ou publique générée automatiquement pour demander un certificat à une autorité de certification dans un pool d'autorités de certification. Cette section fournit des informations sur le test d'une autorité de certification à l'aide de cette méthode.
Pour utiliser une clé privée ou publique générée automatiquement pour demander un certificat à une autorité de certification dans un pool d'autorités de certification, exécutez la commande gcloud
suivante:
gcloud privateca certificates create \
--issuer-pool=POOL_ID \
--issuer-location=ISSUER_LOCATION \
--ca=ROOT_CA_ID \
--generate-key \
--key-output-file=KEY_FILENAME \
--cert-output-file=CERT_FILENAME \
--dns-san=DNS_NAME
Remplacez les éléments suivants :
- POOL_ID: nom du pool d'autorités de certification.
- ISSUER_LOCATION: emplacement de l'autorité de certification (CA) qui a émis le certificat numérique.
- ROOT_CA_ID: identifiant unique de l'autorité de certification que vous souhaitez tester.
- KEY_FILENAME: fichier dans lequel la clé générée est écrite au format PEM.
- CERT_FILENAME: fichier dans lequel le fichier de chaîne de certificats encodé au format PEM est écrit. L'ordre de la chaîne de certificats est de la feuille à la racine.
DNS_NAME: un ou plusieurs autres noms d'objet DNS (SAN, Subject Alternative Name) séparés par une virgule.
L'indicateur
--generate-key
génère une nouvelle clé privée RSA-2048 sur votre ordinateur.
Pour utiliser une demande de signature de certificat (CSR) afin de demander un certificat à une autorité de certification dans un pool d'autorités de certification, ou pour en savoir plus sur les demandes de certificats, consultez Demander un certificat et afficher les certificats émis.
Cloner des autorités de certification
Pour cloner une autorité de certification existante afin de la renouveler ou pour créer une autorité de certification avec la même configuration, exécutez la commande suivante:
gcloud privateca roots create NEW_CA_ID \
--location=LOCATION \
--pool=POOL_ID \
--from-ca=EXISTING_CA_ID \
--key-algorithm "ec-p384-sha384"
Remplacez les éléments suivants :
- NEW_CA_ID: identifiant unique de la nouvelle autorité de certification.
- LOCATION: emplacement du pool d'autorités de certification.
- POOL_ID: nom du pool d'autorités de certification dans lequel vous souhaitez créer l'autorité de certification.
- EXISTING_CA_ID: ID de l'autorité de certification source ou identifiant complet de l'autorité de certification source.
L'indicateur --from-ca
est compatible avec la création d'autorités de certification racine et subordonnées. L'autorité de certification existante doit appartenir au même pool d'autorités de certification que la nouvelle autorité de certification.
L'indicateur --key-algorithm
copie toute la configuration de l'autorité de certification à partir de l'autorité de certification existante (à l'exception de la version de clé Cloud KMS et du bucket Cloud Storage).
Toutefois, vous pouvez toujours remplacer l'une des valeurs de configuration de la nouvelle autorité de certification en fournissant explicitement l'indicateur approprié. Par exemple, vous pouvez toujours spécifier `--subject SUBJECT pour utiliser un nouveau sujet.
Si vous omettez l'option --key-algorithm
, l'algorithme est défini par défaut sur:
rsa-pkcs1-4096-sha256
pour les autorités de certification racine.rsa-pkcs1-2048-sha256
pour les autorités de certification subordonnées.
Pour en savoir plus sur cette commande gcloud
, consultez gcloud privateca roots create.
Étape suivante
- Découvrez comment créer une autorité de certification secondaire.
- Découvrez comment demander des certificats.
- En savoir plus sur les modèles et les règles d'émission