Criar um pool de CA
Nesta página, descrevemos como criar pools de autoridades de certificação (CA).
Um pool de ACs é uma coleção de várias ACs com uma política comum de emissão de certificados e uma política do Identity and Access Management (IAM). Um pool de CA facilita o gerenciamento de rotação de CA e permite alcançar um total de consultas efetivas por segundo (QPS) mais alto.
Você precisa criar um pool de CAs antes de usar o Certificate Authority Service para criar uma CA. Para mais informações, consulte Visão geral dos pools de CA.
Antes de começar
Verifique se você tem o papel do IAM de Gerente de operações de serviço de CA (roles/privateca.caManager
). Para informações sobre
como conceder um IAM a um principal, consulte Conceder um
único papel.
Decidir as configurações do pool de ACs
Nesta seção, descrevemos as configurações de um pool de ACs e fornecemos recomendações para decidir as configurações.
Configurações do pool de CA permanente
As seguintes configurações do pool de ACs não podem ser alteradas após a criação do pool de ACs.
- Local
Especifique o local do pool de ACs. Um pool de ACs é armazenado em um único local do Google Cloud. Recomendamos que você crie seu pool de ACs no mesmo local ou perto do local onde pretende usá-lo.
Para ver a lista completa de locais compatíveis, consulte Locais.
- Nível
Escolha se você quer criar o pool de ACs com o nível DevOps ou Enterprise. Essa escolha afeta se o serviço de CA mantém os certificados criados, se eles podem ser revogados posteriormente e a taxa máxima com que é possível criar certificados usando as CAs no pool de ACs. Para mais informações, consulte Selecionar os níveis de operação.
Configurações opcionais do pool de ACs
- Política de emissão de certificados
Um pool de ACs pode ter uma política de emissão de certificados. Esta política de emissão restringe os certificados que as CAs no pool de CAs têm permissão para emitir. É possível atualizar a política de emissão de um pool de ACs depois de criá-lo. Para mais informações, consulte Visão geral de modelos e políticas de emissão.
Para mais informações sobre como configurar uma política de emissão de certificados, consulte Adicionar uma política de emissão de certificados a um pool de ACs.
- Opções de publicação
É possível configurar um pool de CAs para publicar os certificados de cada CA. Ao emitir um certificado, o URL para esse certificado de CA é incluído no certificado como uma extensão de acesso a informações de autoridade (AIA).
As CAs em pools de CAs de nível Enterprise podem ter permissão para publicar listas de revogação de certificados (CRLs) no bucket associado do Cloud Storage. Ao emitir um certificado, um URL para essa CRL é incluído no certificado como a extensão CRL Distribution Point (CDP). Não é possível encontrar a CRL sem a extensão CDP no certificado. Para mais informações, consulte Revogar certificados.
Também é possível selecionar o formato de codificação de certificados de CA e CRLs publicados. Os formatos de codificação compatíveis são Privacy Enhanced Mail (PEM) e Distinguined Encoding Rules (DER). Se um formato de codificação não for especificado, será usado o PEM.
Se você criar o pool de CAs usando a Google Cloud CLI ou o console do Google Cloud, o serviço de CA vai ativar essas opções de publicação por padrão. Para mais informações, consulte Como desativar o certificado de CA e a publicação da CRL para CAs em um pool de CA.
Criar um pool de CA
Para criar um pool de ACs, use as seguintes instruções:
Console
Escolher um nome para o pool de ACs
Acesse a página Certificate Authority Service no console do Google Cloud.
Acessar o Certificate Authority Service (em inglês)
Clique em Gerenciador de pools de CAs.
Clique em
Criar pool.Adicione um nome ao pool de ACs exclusivo para a região.
Na lista suspensa, selecione uma região no campo Região. Para mais informações, consulte Como escolher o melhor local.
Selecione o nível Enterprise ou DevOps. Para mais informações, consulte Selecionar os níveis de operação.
Clique em Próxima.
Configurar algoritmos e tamanhos de chave permitidos
Com o CA Service, você escolhe os algoritmos de assinatura das chaves do Cloud KMS que apoiam as CAs no pool de ACs. Todos os principais algoritmos são permitidos por padrão.
Para restringir as chaves permitidas nos certificados emitidos pelo pool de ACs, faça o seguinte. Esse procedimento é opcional.
- Clique no botão de alternância.
- Clique em Adicionar um item.
Na lista Tipo, selecione o tipo de chave.
Se você quiser usar chaves RSA, faça o seguinte:
- Opcional: adicione o tamanho mínimo do módulo em bits.
- Opcional: adicione o tamanho máximo do módulo em bits.
- Clique em Concluído.
Se você quiser usar teclas de curva elíptica, faça o seguinte:
- Opcional: na lista Tipo de curva elíptica, selecione o tipo de curva elíptica.
- Clique em Concluído.
Para adicionar outra chave permitida, clique em Adicionar um item e repita a etapa 2.
Clique em Próxima.
Configurar métodos de solicitação de certificado
Para limitar os métodos que os solicitantes de certificados podem usar para solicitar certificados do pool de ACs, faça o seguinte:
- Opcional: para restringir solicitações de certificado com base nos CSR, clique no botão de alternância.
- Opcional: para restringir solicitações de certificado com base na configuração, clique no botão de alternância.
Configurar opções de publicação
Para configurar as opções de publicação, faça o seguinte:
- Opcional: para proibir a publicação de certificados de CA no bucket do Cloud Storage para as CAs no pool de CAs, clique no botão de alternância.
- Opcional: para proibir a publicação de CRLs no bucket do Cloud Storage para as CAs no pool de CAs, clique no botão de alternância.
Clique no menu para selecionar o formato de codificação dos certificados CA e CRLs publicados.
Clique em Próxima.
Para configurar restrições de assunto e SANs nos certificados que o pool de CAs emite, faça o seguinte:
- Opcional: para impedir a transmissão do assunto de solicitações de certificado, clique no botão de alternância.
- Opcional: para impedir a transmissão de nomes alternativos do assunto em solicitações de certificado, clique no botão de alternância.
- Opcional: adicione uma expressão Common Expression Language (CEL) para impor restrições a assuntos de certificados. Para mais informações, consulte Como usar a CEL.
- Clique em Próxima.
Para impedir que todas as extensões de solicitações de certificado sejam incluídas nos certificados emitidos, clique no botão de ativação.
Depois de clicar no botão de alternância, você verá o campo Extensões de certificado conhecidas, que pode ser usado para selecionar as extensões de certificado. Para selecionar as extensões de certificado, faça o seguinte:
- Opcional: clique no campo Extensões de certificado conhecidas e limpe as extensões desnecessárias do menu.
- Opcional: no campo Extensões personalizadas, adicione os identificadores de objeto das extensões que você quer incluir nos certificados emitidos pelo pool de ACs.
Para configurar valores de referência nos certificados emitidos do pool de ACs, faça o seguinte:
- Clique no botão de alternância.
- Clique em Configurar valores de referência.
Use esta configuração para definir as maneiras como a chave contida no certificado pode ser usada. As opções para uso de chaves incluem codificação de chaves, de dados, de certificados, de CRLs e muito mais.
Para mais informações, consulte Uso da chave.
Para definir os usos de chave base, faça o seguinte:
- Opcional: na janela exibida, clique no botão de alternância se quiser especificar os usos de chave base para os certificados.
- Marque as caixas de seleção correspondentes a como você quer que a chave seja usada.
- Clique em Próxima.
É possível usar essa configuração para selecionar cenários mais granulares em que a chave contida no certificado pode ser usada. As opções incluem autenticação do servidor, autenticação do cliente, assinatura de código, proteção de e-mail e muito mais.
Os usos de chave estendidos são definidos com identificadores de objeto (OIDs). Se você não configurar os usos de chave estendidos, todos os cenários de uso de chave serão permitidos.
Para saber mais, consulte Uso estendido de chave.
Para definir os usos de chave estendidos, faça o seguinte:
- Opcional: para especificar o uso de chaves estendidos para os certificados que o pool de CAs emite, clique no botão de alternância.
- Marque as caixas de seleção dos cenários de uso de chave estendido.
- Clique em Próxima.
A extensão das políticas de certificado no certificado expressa as políticas que o pool de CAs emissoras segue. Essa extensão pode incluir informações sobre como as identidades são validadas antes da emissão do certificado, como os certificados são revogados e como a integridade do pool de ACs é garantida. Essa extensão ajuda a verificar os certificados que o pool de CAs emite e a ver como os certificados são usados.
Veja mais informações em Políticas de certificado.
Para especificar a política que define o uso do certificado, faça o seguinte:
- Opcional: adicione o identificador da política no campo Identificadores da política.
- Clique em Próxima.
A extensão AIA em um certificado fornece as seguintes informações:
- Endereço dos servidores OCSP de onde é possível verificar o status de revogação do certificado.
- O método de acesso para o emissor do certificado.
Para mais informações, consulte Acesso a informações de autoridade.
Para adicionar os servidores OCSP que aparecem no campo de extensão AIA nos certificados, faça o seguinte. O procedimento a seguir é opcional.
- Opcional: clique em Adicionar item.
- No campo URL do servidor, adicione o URL do servidor OCSP.
- Clique em Concluído.
- Clique em Próxima.
Para configurar outras extensões personalizadas que serão incluídas nos certificados emitidos pelo pool de ACs, faça o seguinte. O procedimento a seguir é opcional.
- Clique em Adicionar item.
- No campo Identificador de objeto, adicione um identificador de objeto válido que seja formatado como dígitos separados por pontos.
- No campo Valor, adicione o valor codificado em base64 para o identificador.
- Se a extensão for essencial, selecione A extensão é essencial.
Para salvar todas as configurações dos valores de referência, clique em Concluído.
Para criar o pool de CAs, clique em Concluído.
gcloud
Execute este comando:
gcloud privateca pools create POOL_NAME
Substitua POOL_NAME pelo nome do pool de ACs.
Se você não especificar qual nível precisa para seu pool de CAs, o nível Enterprise
será selecionado por padrão. Se você quiser especificar o nível do pool de CAs, execute o seguinte comando gcloud
:
gcloud privateca pools create POOL_NAME --tier=TIER_NAME
Substitua:
- POOL_NAME: o nome do pool de ACs.
- TIER_NAME:
devops
ouenterprise
. Para mais informações, consulte Selecionar os níveis de operação.
Se você não especificar o formato de codificação de publicação para seu pool de CAs, o formato de codificação de publicação PEM
será selecionado por padrão. Se você quiser especificar o formato de codificação de publicação para seu pool de CAs, execute o seguinte comando gcloud
:
gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Substitua:
- POOL_NAME: o nome do pool de ACs.
- PUBLISHING_ENCODING_FORMAT:
PEM
ouDER
.
Para mais informações sobre o comando gcloud privateca pools create
, consulte
gcloud privateca pools create.
Para informações sobre como aplicar restrições aos tipos de certificados que um pool de ACs pode emitir, consulte Adicionar uma política de emissão de certificados a um pool de ACs.
Terraform
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
API REST
Crie um pool de ACs.
Método HTTP e URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID
Corpo JSON da solicitação:
{ "tier": "ENTERPRISE" }
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": false }
Pesquise a operação até que ela seja concluída.
A operação será concluída quando a propriedade
done
da operação de longa duração for definida comotrue
.Método HTTP e URL:
GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool", "name": "...", "tier": "ENTERPRISE" } }
Adicionar ou atualizar rótulos em um pool de ACs
Um rótulo é um par de chave-valor que ajuda a organizar os recursos de serviço de AC. É possível filtrar os recursos com base nos rótulos.
Para adicionar ou atualizar rótulos em um pool de ACs, faça o seguinte:
Console
Para adicionar um rótulo, faça o seguinte:
Acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Na guia Gerenciador de pools de CAs, selecione o pool de ACs.
Clique em Marcadores.
Clique em
Adicionar marcador.Adiciona um par de chave-valor.
Clique em Save.
Para editar um rótulo existente, faça o seguinte:
Acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Na guia Gerenciador de pools de CAs, selecione o pool de ACs.
Clique em Marcadores.
Edite o valor do rótulo.
Clique em Save.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --update-labels foo=bar
Substitua POOL_ID pelo nome do pool de ACs.
A seguir
- Saiba como criar uma CA raiz.
- Saiba como criar uma AC subordinada.
- Saiba como usar uma política de emissão de certificados.
- Saiba como aumentar a capacidade de criação de certificados usando pools de CA.
- Saiba como atualizar e excluir um pool de ACs.