Demander un certificat à l'aide d'un modèle de certificat
Cette page explique comment demander un certificat à l'aide d'un modèle de certificat.
Les modèles de certificats vous permettent de mettre en œuvre des contrôles de stratégie précis concernant l'émission de vos certificats. Par exemple, vous pouvez utiliser des modèles de certificat pour standardiser l'émission des certificats TLS de serveur dans les pools d'autorités de certification de votre organisation. Vous pouvez également utiliser des modèles de certificat pour appliquer des règles à un niveau plus précis, par exemple pour des utilisateurs spécifiques. Cela est utile lorsque vous devez restreindre les types de certificats que différentes personnes peuvent émettre. Vous pouvez aussi réutiliser des modèles pour des scénarios d'émission courants.
Avant de commencer
Pour obtenir les autorisations nécessaires pour émettre des certificats à l'aide d'un modèle de certificat, demandez à votre administrateur de vous accorder le rôle IAM Utilisateur de modèle de certificat du service CA (
roles/privateca.templateUser
) sur le modèle de certificat.Pour en savoir plus sur les rôles IAM prédéfinis pour le service CA, consultez la page Contrôle des accès avec IAM.
Pour en savoir plus sur l'attribution d'un rôle IAM à un compte principal, consultez la section Attribuer un rôle unique.
Émission de certificats de test
Avant d'utiliser un modèle de certificat pour demander un certificat signé, nous vous recommandons de vérifier la capacité du modèle de certificat à générer un certificat. L'émission des certificats échoue en cas de conflit entre les règles d'émission du pool d'autorités de certification et les stratégies du modèle de certificat. En testant l'émission, vous pouvez identifier et résoudre ces conflits de manière proactive. Notez que les certificats de test ne sont pas encodés au format PEM. Ils ne sont pas signés, et leur génération n'entraîne aucuns frais.
Pour tester l'émission d'un certificat à l'aide d'un modèle de certificat, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur l'onglet Gestionnaire de modèles.
Cliquez sur le modèle de certificat que vous souhaitez tester. La page Détails du modèle s'affiche.
Pour créer une demande test, cliquez sur Créer un certificat, puis sur Émission de certificats de test. Le formulaire de demande de certificat s'affiche.
Spécifiez les informations suivantes qui sont requises pour créer une demande de certificat:
- Région: emplacement du certificat. Il doit être identique à celui du pool d'autorités de certification.
- Pool d'autorités de certification: pool d'autorités de certification chargé d'émettre le certificat.
- Modèle de certificat: modèle que vous souhaitez utiliser pour l'émission de certificats.
- Domain (Domaine) : nom de domaine du site que vous souhaitez sécuriser à l'aide d'un certificat SSL ou TLS.
Cliquez sur Générer un certificat.
Une fois le certificat créé, cliquez sur Afficher. Le certificat de test ou l'exemple de certificat s'affiche sur la même page, dans un panneau distinct.
Si l'émission du certificat échoue en raison de conflits, résolvez les conflits et renvoyez la demande de certificat de test.
Émettre des certificats à l'aide d'un modèle de certificat
Pour émettre un certificat signé à l'aide d'un modèle de certificat, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur l'onglet Gestionnaire de modèles.
Sur la page Modèles de certificat, cliquez sur le modèle de certificat que vous souhaitez utiliser. La page Détails du modèle s'affiche.
Cliquez sur Créer un certificat.
Sélectionnez une région. Cette région doit être identique à celle du pool d'autorités de certification que vous prévoyez d'utiliser.
Sélectionnez le pool d'autorités de certification.
Pour générer un certificat à l'aide d'une demande de signature de certificat (CSR), consultez la section Demander un certificat via CSR.
Pour générer un certificat à l'aide d'une clé générée automatiquement, consultez la section Demander un certificat à l'aide d'une clé générée automatiquement.
Générer le certificat
- Cliquez sur Générer un certificat. Si le certificat a bien été généré, un message s'affiche.
- Pour voir le certificat généré, cliquez sur Afficher le certificat, puis sur Afficher.
Facultatif: Télécharger le certificat signé
- Pour télécharger la chaîne de certificats encodée au format PEM, cliquez sur Télécharger la chaîne de certificats.
- Pour télécharger la clé privée encodée au format PEM associée, cliquez sur Télécharger la clé privée.
gcloud
Pour émettre un certificat à l'aide d'un modèle de certificat, ajoutez l'option --template
à la commande gcloud privateca certificates create
en utilisant le format suivant:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Remplacez CERTIFICATE_TEMPLATE par le nom du modèle de certificat que vous souhaitez utiliser pour émettre ce certificat. Le modèle spécifié doit se trouver au même emplacement que le pool d'autorités de certification émettrices. Pour en savoir plus, consultez les exemples fournis pour la génération de certificats DNS de test et la génération de certificats de production.
Terraform
Pour savoir comment appliquer ou supprimer une configuration Terraform, consultez la page Commandes Terraform de base.
Partager un lien de demande de certificat
Pour partager un lien vers un formulaire de demande de certificat avec d'autres personnes de votre organisation afin qu'elles puissent demander un certificat en utilisant les mêmes paramètres, procédez comme suit:
Console
- Dans la console Google Cloud, accédez à l'onglet Gestionnaire de pool d'autorités de certification, puis cliquez sur Lien du formulaire de demande de partage.
- Dans le panneau Lien vers le formulaire de demande de partage qui s'affiche, sélectionnez le pool d'autorités de certification et le modèle de certificat que vous avez choisi pour créer votre requête. Le lien de demande de certificat s'affiche.
- Copiez le lien et partagez-le selon vos besoins.
Résoudre les conflits de règles
Les requêtes de certificat échouent et renvoient une erreur d'argument non valide en cas de conflit entre la stratégie d'émission du pool d'autorités de certification et le modèle de certificat. Par exemple, si la même extension (telle que l'utilisation de base des clés) est définie dans les valeurs de référence du pool d'autorités de certification et dans les valeurs prédéfinies du modèle de certificat. Ou lorsqu'une règle comporte des contraintes d'extension qui excluent une extension spécifique et que l'autre règle une valeur pour cette extension dans ses valeurs de référence.
Pour afficher et résoudre les conflits de règles, procédez comme suit:
Console
- Cliquez sur le lien Outil de dépannage des règles d'émission qui s'affiche avec le message d'erreur. Une page de dépannage s'affiche. Elle vous permet de comparer les valeurs de référence et les contraintes d'extension de la stratégie d'émission du pool d'autorités de certification à celles de la stratégie du modèle de certificat. Notez que les conflits de règles sont mis en surbrillance.
- Accédez au pool d'autorités de certification ou au modèle de certificat pour mettre à jour les valeurs en conflit et résoudre le conflit.
- Une fois le conflit résolu, renvoyez la demande de certificat.
Afficher les certificats émis à l'aide d'un modèle
Pour afficher les certificats émis à l'aide d'un modèle de certificat, procédez comme suit:
Console
- Dans la console Google Cloud, accédez à l'onglet Gestionnaire de modèles.
- Cliquez sur le modèle de certificat que vous avez utilisé pour l'émission du certificat.
- Sur la page Détails du modèle, cliquez sur Certificats. La liste des certificats émis à l'aide du modèle de certificat sélectionné s'affiche.
Étapes suivantes
- Découvrez comment afficher les certificats émis.