Créer un pool d'autorités de certification

Cette page explique comment créer des pools d'autorités de certification.

Un pool d'autorités de certification est un ensemble de plusieurs autorités de certification associées à un certificat commun. d'émission de clés et de stratégie IAM (Identity and Access Management). Un pool d'autorités de certification permet la gestion de la rotation des autorités de certification est plus simple et vous bénéficiez d'une efficacité totale de requêtes par seconde (RPS).

Vous devez créer un pool d'autorités de certification avant de pouvoir utiliser Certificate Authority Service pour créer une autorité de certification. Pour en savoir plus, consultez la page Présentation des pools d'autorités de certification.

Avant de commencer

Assurez-vous de disposer du rôle CA Service Operation Manager (roles/privateca.caManager) rôle IAM. Pour en savoir plus sur ou accorder un rôle IAM à un compte principal, consultez la section rôle.

Définir les paramètres du pool d'autorités de certification

Cette section décrit les paramètres d'un pool d'autorités de certification et fournit des recommandations pour choisir les paramètres.

Paramètres du pool d'autorités de certification permanents

Une fois le pool d'autorités de certification créé, les paramètres suivants ne peuvent plus être modifiés.

Emplacement

Spécifiez l'emplacement du pool d'autorités de certification. Un pool d'autorités de certification est stocké dans Emplacement Google Cloud. Nous vous recommandons créez votre pool d'autorités de certification au même emplacement ou à proximité de celui que vous souhaitez pour l'utiliser.

Pour obtenir la liste complète des emplacements compatibles, consultez Emplacements.

Niveau

Choisissez si vous souhaitez créer le pool d'autorités de certification avec le DevOps ou l'Enterprise à un niveau supérieur. Ce choix détermine si CA Service conserve ou non les certificats créés, si ceux-ci peuvent être révoqués ultérieurement et le taux maximal auquel vous pouvez créer des certificats à partir des autorités de certification du pool d'autorités de certification. Pour en savoir plus, consultez la section Sélectionner les niveaux d'opération.

Paramètres facultatifs du pool d'autorités de certification

Stratégie d'émission de certificats

Un pool d'autorités de certification peut disposer d'une stratégie d'émission de certificats. Cette stratégie d'émission impose des restrictions sur les certificats que les autorités de certification du pool d'autorités de certification sont autorisées à émettre. Vous pouvez mettre à jour la stratégie d'émission d'un pool d'autorités de certification après l'avoir créé. Pour en savoir plus, consultez Présentation des modèles et des règles d'émission.

Pour en savoir plus sur la configuration d'une stratégie d'émission de certificats, consultez Ajoutez une stratégie d'émission de certificats à un pool d'autorités de certification.

Options de publication

Vous pouvez configurer un pool d'autorités de certification pour publier les certificats CA pour chacune de ses autorités de certification. Lors de l'émission d'un certificat, l'URL de ce certificat CA est incluse dans certificat en tant qu'extension d'accès aux informations d'autorité (AIA).

Les autorités de certification des pools d'autorités de certification de niveau Entreprise peuvent être autorisées à publier des certificats listes de révocation (LRC) à l'instance Cloud Storage associée bucket. Lors de l'émission d'un certificat, une URL vers cette liste de révocation de certificats est incluse dans en tant qu'extension de point de distribution (CDP) de la liste de révocation de certificats. Impossible de trouver la LRC sans l'extension CDP dans le certificat. Pour plus d'informations, consultez la section Révoquer des certificats.

Vous pouvez également sélectionner le format d'encodage des certificats CA publiés et LRC. Les formats d'encodage compatibles sont PEM (Privacy Enhanced Mail) et Règles d'encodage distingué (DER, Distinguished Encoding Rules). Si aucun format d'encodage n'est spécifié, Le format PEM sera utilisé.

Si vous créez le pool d'autorités de certification à l'aide de Google Cloud CLI ou de la console Google Cloud, CA Service active ces options de publication par défaut. Pour Pour plus d'informations, consultez la section Désactiver la publication de certificats CA et de listes de révocation de certificats pour les autorités de certification au sein d'une autorité de certification. pool.

Créer un pool d'autorités de certification

Pour créer un pool d'autorités de certification, procédez comme suit:

Console

Choisir un nom pour le pool d'autorités de certification

  1. Accédez à la page Certificate Authority Service dans la console Google Cloud.

    Accéder à Certificate Authority Service

  2. Cliquez sur Gestionnaire de pool d'autorités de certification.

  3. Cliquez sur Créer un pool.

  4. Attribuez au pool d'autorités de certification un nom unique pour la région.

  5. Sélectionnez une région dans la liste déroulante du champ Région. Pour en savoir plus, consultez Choisir le meilleur emplacement :

  6. Sélectionnez le niveau Enterprise ou DevOps. Pour en savoir plus, consultez la section Sélectionner les niveaux d'opération.

  7. Cliquez sur Suivant.

Configurer les tailles et les algorithmes de clé autorisés

CA Service vous permet de choisir les algorithmes de signature Clés Cloud KMS qui soutiennent les autorités de certification dans le pool d'autorités de certification. Tous les algorithmes clés sont autorisées par défaut.

Pour limiter les clés autorisées dans les certificats émis par le pool d'autorités de certification, comme suit. Cette procédure est facultative.

  1. Cliquez sur le bouton d'activation.
  2. Cliquez sur Ajouter un élément.

  3. Dans la liste Type, sélectionnez le type de clé.

    Si vous souhaitez utiliser des clés RSA, procédez comme suit:

    1. Facultatif: ajoutez la taille minimale du module en bits.
    2. Facultatif: ajoutez la taille de module maximale en bits.
    3. Cliquez sur OK.

    Si vous souhaitez utiliser des touches à courbe elliptique, procédez comme suit:

    1. Facultatif: Dans la liste Type de courbe elliptique, sélectionnez l'option type de courbe.
    2. Cliquez sur OK.

  4. Pour ajouter une autre clé autorisée, cliquez sur Ajouter un élément, puis répétez l'étape 2.

  5. Cliquez sur Suivant.

Configurer les méthodes de demande de certificat

Limiter les méthodes que les demandeurs de certificat peuvent utiliser pour demander des certificats au pool d'autorités de certification, procédez comme suit:

  1. Facultatif: Pour limiter les demandes de certificats basés sur une requête de signature de certificat, cliquez sur le bouton d'activation.
  2. Facultatif: Pour limiter les demandes de certificats basés sur la configuration, cliquez sur le activer/désactiver.

Configurer les options de publication

Pour configurer les options de publication, procédez comme suit:

  1. Facultatif: Pour interdire la publication de certificats CA sur Cloud Storage pour les autorités de certification du pool d'autorités de certification, cliquez sur le bouton d'activation.
  2. Facultatif: Pour interdire la publication de LRC dans le bucket Cloud Storage pour les autorités de certification du pool d'autorités de certification, cliquez sur le bouton d'activation.

  3. Cliquez sur le menu pour sélectionner le format d'encodage des certificats CA et des LRC publiés.

    Configurez les options de publication des certificats CA et des LRC pour les autorités de certification du pool d'autorités de certification.

  4. Cliquez sur Suivant.

Configurer les valeurs de référence

Pour configurer des valeurs de référence dans les certificats émis à partir du pool d'autorités de certification, procédez comme suit : les éléments suivants:

  1. Cliquez sur le bouton d'activation.
  2. Cliquez sur Configurer les valeurs de référence.
Définir l'utilisation de base des clés

Vous pouvez utiliser ce paramètre pour configurer la façon dont la clé contenue dans le certificat peut être utilisé. Les options d'utilisation des clés incluent le chiffrement, le chiffrement des données, la signature des certificats, la signature CRL, etc.

Pour en savoir plus, consultez la section Utilisation des clés.

Pour définir l'utilisation de base des clés, procédez comme suit:

  1. Facultatif: Dans la fenêtre qui s'affiche, cliquez sur le bouton d'activation, si vous souhaitez spécifier l'utilisation de base des clés pour les certificats.
  2. Cochez les cases correspondant aux modes d'utilisation de la clé.
    3. Sélectionnez les grandes façons dont vous souhaitez qu'une clé soit utilisée.
  3. Cliquez sur Suivant.
Définir l'utilisation étendue des clés

Ce paramètre vous permet de sélectionner des scénarios plus précis pour lesquels la clé contenus dans le certificat peuvent être utilisés. Les options sont "Server" l'authentification, l'authentification du client, la signature de code, la protection des e-mails et plus encore.

Les utilisations étendues de clés sont définies à l'aide d'identifiants d'objets (OID). Si vous ne configurer les utilisations étendues des clés, tous les scénarios d'utilisation des clés sont autorisés.

Pour en savoir plus, consultez la section Utilisation étendue des clés.

Pour définir les utilisations étendues des clés, procédez comme suit:

  1. Facultatif: Pour spécifier les utilisations étendues des clés pour les certificats que le les problèmes liés au pool d'autorités de certification, cliquez sur le bouton d'activation.
  2. Cochez les cases correspondant aux scénarios d'utilisation étendue des clés.
  3. Cliquez sur Suivant.
Définir des identifiants de stratégie

L'extension des stratégies de certificat dans le certificat exprime les stratégies suivi par le pool d'autorités de certification émettrices. Cette extension peut inclure des informations les identités sont validées avant l'émission des certificats, comment les certificats sont et comment l'intégrité du pool d'autorités de certification est garantie. Cette extension vous aide vérifier les certificats émis par le pool d'autorités de certification et voir comment sont utilisés.

Pour en savoir plus, consultez la section Stratégies relatives aux certificats.

Pour spécifier la stratégie qui définit l'utilisation du certificat, procédez comme suit:

  1. (Facultatif) Ajoutez l'identifiant de règle dans le champ Identifiants de règle.
  2. Cliquez sur Suivant.
Ajouter des serveurs OCSP (Authority Information Access)

L'extension AIA d'un certificat fournit les informations suivantes:

  • Adresse des serveurs OCSP à partir desquels vous pouvez vérifier l'état de révocation du certificat.
  • Méthode d'accès de l'émetteur du certificat.

Pour en savoir plus, consultez la section Accès aux informations des autorités.

Pour ajouter les serveurs OCSP qui apparaissent dans le champ d'extension AIA du des certificats : La procédure suivante est facultative.

  1. Facultatif: Cliquez sur Ajouter un élément.
  2. Dans le champ URL du serveur, ajoutez l'URL du serveur OCSP.
  3. Cliquez sur OK.
  4. Cliquez sur Suivant.
Configurer des extensions supplémentaires

Pour configurer des extensions personnalisées supplémentaires à inclure dans de certificats émis par le pool d'autorités de certification, procédez comme suit : La procédure suivante est facultatif.

  1. Cliquez sur Ajouter un élément.
  2. Dans le champ Identifiant d'objet, ajoutez un identifiant d'objet valide qui se présente sous la forme de chiffres séparés par un point.
  3. Dans le champ Valeur, ajoutez la valeur encodée en base64 pour l'identifiant.
  4. Si l'extension est essentielle, sélectionnez L'extension est essentielle.

Pour enregistrer toutes les configurations de valeur de référence, cliquez sur OK.

Configurer les contraintes d'extension

Pour interdire l'inclusion de toutes les extensions des demandes de certificat dans les certificats émis, cliquez sur le bouton d'activation.

Après avoir cliqué sur le bouton d'activation, vous verrez s'afficher le bouton Certificat connu extensions que vous pouvez utiliser pour sélectionner les extensions de certificat. À sélectionnez les extensions de certificat, procédez comme suit:

  1. Facultatif: Cliquez sur le champ Extensions de certificat connues, puis désélectionnez les extensions non requises dans le menu.
  2. (Facultatif) Dans le champ Extensions personnalisées, ajoutez les identifiants d'objets. pour les extensions que vous souhaitez inclure dans les certificats que le pool d'autorités de certification les problèmes de performances.
Configurer des contraintes d'identité

Pour configurer des contraintes sur le sujet et les SAN dans les certificats qui les problèmes liés au pool d'autorités de certification, procédez comme suit:

  1. Facultatif: Pour interdire la transmission de l'objet des demandes de certificat cliquez sur le bouton d'activation.
  2. Facultatif: Pour interdire les autres noms d'objet dans les demandes de certificat ne soient pas transmises, cliquez sur le bouton d'activation.
  3. Facultatif: Ajoutez une expression CEL (Common Expression Language) à placer sur les sujets des certificats. Pour en savoir plus, consultez Utiliser le langage CEL
  4. Cliquez sur Suivant.

Pour apprendre à configurer des paramètres supplémentaires dans la stratégie d'émission de certificats, voir IssuancePolicy.

Pour créer le pool d'autorités de certification, cliquez sur OK.

gcloud

Exécutez la commande suivante :

gcloud privateca pools create POOL_NAME

Remplacez POOL_NAME par le nom du pool d'autorités de certification.

Si vous ne spécifiez pas le niveau requis pour votre pool d'autorités de certification, Enterprise est sélectionné par défaut. Si vous souhaitez spécifier le niveau d'autorités de certification, exécutez la commande gcloud suivante:

gcloud privateca pools create POOL_NAME --tier=TIER_NAME

Remplacez les éléments suivants :

Si vous ne spécifiez pas le format d'encodage de publication pour votre pool d'autorités de certification, le PEM le format d'encodage de publication est sélectionné par défaut. Si vous souhaitez spécifier le format d'encodage de publication pour votre d'autorités de certification, exécutez la commande gcloud suivante:

gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Remplacez les éléments suivants :

  • POOL_NAME: nom de votre pool d'autorités de certification.
  • PUBLISHING_ENCODING_FORMAT : PEM ou DER.

Pour en savoir plus sur la commande gcloud privateca pools create, consultez la page gcloud privateca pools create.

Pour en savoir plus sur l'application de restrictions sur le type de certificat qu'un pool d'autorités de certification peut émettre, consultez Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.

Terraform

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  }
  labels = {
    foo = "bar"
  }
}

Go

Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,
	}

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,
	}

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)
	}

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)
	}

	fmt.Fprintf(w, "CA Pool created")

	return nil
}

Java

Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 


import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);
  }

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()
          .setIdentityConstraints(CertificateIdentityConstraints.newBuilder()
              .setAllowSubjectPassthrough(true)
              .setAllowSubjectAltNamesPassthrough(true)
              .build())
          .build();

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      */
      CreateCaPoolRequest caPoolRequest =
          CreateCaPoolRequest.newBuilder()
              .setParent(LocationName.of(project, location).toString())
              .setCaPoolId(poolId)
              .setCaPool(
                  CaPool.newBuilder()
                      .setIssuancePolicy(issuancePolicy)
                      .setTier(Tier.ENTERPRISE)
                      .build())
              .build();

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient.createCaPoolCallable().futureCall(caPoolRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());
        return;
      }

      System.out.println("CA pool created successfully: " + poolId);
    }
  }
}

Python

Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 

import google.cloud.security.privateca_v1 as privateca_v1


def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    """
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
        tier=privateca_v1.CaPool.Tier.ENTERPRISE,
    )
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(
        parent=location_path,
        ca_pool_id=ca_pool_name,
        ca_pool=ca_pool,
    )

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

API REST

  1. Créez un pool d'autorités de certification.

    Méthode HTTP et URL : 

    POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

    Corps JSON de la requête :

    {
"tier": "ENTERPRISE"
}

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
 "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
 "metadata": {...},
 "done": false
}

  2. Interrogez l'opération jusqu'à ce qu'elle soit terminée.

    L'opération est terminée lorsque la propriété done de l'opération de longue durée est définie sur true.

    Méthode HTTP et URL : 

    GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
 "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
 "metadata": {...},
 "done": true,
 "response": {
   "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
   "name": "...",
   "tier": "ENTERPRISE"
 }
}

Ajouter ou mettre à jour des étiquettes sur un pool d'autorités de certification

Une étiquette est une paire clé-valeur qui vous aide à organiser votre service CA ressources. Vous pouvez filtrer vos ressources en fonction de leurs étiquettes.

Pour ajouter ou mettre à jour des étiquettes sur un pool d'autorités de certification, procédez comme suit:

Console

Pour ajouter un libellé, procédez comme suit:

  1. Accédez à la page Certificate Authority Service.

    Accéder à Certificate Authority Service

  2. Dans l'onglet Gestionnaire de pool d'autorités de certification, sélectionnez le pool d'autorités de certification.

  3. Cliquez sur Libellés.

  4. Cliquez sur Ajouter une étiquette.

  5. Ajoutez une paire clé-valeur.

  6. Cliquez sur Enregistrer.

    Ajoutez une étiquette à un pool d&#39;autorités de certification existant.

Pour modifier un libellé existant, procédez comme suit:

  1. Accédez à la page Certificate Authority Service.

    Accéder à Certificate Authority Service

  2. Dans l'onglet Gestionnaire de pool d'autorités de certification, sélectionnez le pool d'autorités de certification.

  3. Cliquez sur Libellés.

  4. Modifiez la valeur du libellé.

  5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande suivante :

gcloud privateca pools update POOL_ID --update-labels foo=bar

Remplacez POOL_ID par le nom du pool d'autorités de certification.

Étape suivante