Meminta sertifikat menggunakan template sertifikat
Halaman ini menjelaskan cara meminta sertifikat menggunakan template sertifikat.
Template sertifikat memungkinkan Anda menerapkan kontrol kebijakan yang mendetail atas penerbitan sertifikat. Misalnya, Anda dapat menggunakan template sertifikat untuk menstandarkan penerbitan sertifikat TLS server di seluruh kumpulan CA dalam organisasi Anda. Atau, Anda dapat menggunakan template sertifikat untuk menerapkan kebijakan pada tingkat yang lebih terperinci, seperti kepada pengguna tertentu. Hal ini berguna dalam situasi saat Anda perlu membatasi jenis sertifikat yang dapat diberikan oleh individu yang berbeda. Anda juga dapat menggunakan kembali template untuk skenario penerbitan umum.
Sebelum memulai
Untuk mendapatkan izin yang Anda perlukan untuk menerbitkan sertifikat menggunakan template sertifikat, minta administrator untuk memberi Anda peran IAM Pengguna Template Sertifikat Layanan CA (
roles/privateca.templateUser
) di template sertifikat.Untuk mengetahui informasi selengkapnya tentang peran IAM yang telah ditetapkan untuk Layanan CA, lihat Kontrol akses dengan IAM.
Untuk mengetahui informasi tentang cara memberikan peran IAM kepada akun utama, lihat Memberikan satu peran.
Penerbitan sertifikat pengujian
Sebelum menggunakan template sertifikat untuk meminta sertifikat yang ditandatangani, sebaiknya verifikasi kemampuan template sertifikat agar berhasil membuat sertifikat. Penerbitan sertifikat akan gagal jika ada konflik antara kebijakan penerbitan kumpulan CA dan kebijakan template sertifikat. Dengan menguji penerbitan, Anda dapat mengidentifikasi dan menyelesaikan konflik ini secara proaktif. Perlu diketahui bahwa sertifikat pengujian tidak dienkode dalam PEM, tidak ditandatangani, dan tidak dikenai biaya untuk pembuatan.
Untuk menguji penerbitan sertifikat menggunakan template sertifikat, ikuti langkah-langkah berikut:
Konsol
Buka halaman Certificate Authority Service di Konsol Google Cloud.
Klik tab Pengelola Template.
Klik template sertifikat yang ingin diuji. Halaman Template Details akan muncul.
Untuk membuat permintaan pengujian, klik Buat sertifikat, lalu klik Uji penerbitan sertifikat. Formulir permintaan sertifikat akan muncul.
Tentukan detail yang diperlukan untuk membuat permintaan sertifikat berikut:
- Region: lokasi sertifikat. Ini harus sama dengan lokasi kumpulan CA.
- Kumpulan CA: kumpulan CA yang bertanggung jawab untuk menerbitkan sertifikat.
- Template sertifikat: template yang ingin Anda gunakan untuk penerbitan sertifikat.
- Domain: nama domain situs yang ingin Anda amankan dengan sertifikat SSL atau TLS.
Klik Buat sertifikat.
Setelah sertifikat dibuat, klik Lihat. Sertifikat pengujian atau contoh ditampilkan di halaman yang sama di panel terpisah.
Jika penerbitan sertifikat gagal karena konflik, selesaikan konflik, lalu kirim lagi permintaan sertifikat pengujian.
Menerbitkan sertifikat menggunakan template sertifikat
Untuk menerbitkan sertifikat yang ditandatangani menggunakan template sertifikat, lakukan hal berikut:
Konsol
Buka halaman Certificate Authority Service di Konsol Google Cloud.
Klik tab Pengelola Template.
Di halaman Template sertifikat, klik template sertifikat yang ingin digunakan. Halaman Detail template akan muncul.
Klik Buat sertifikat.
Pilih wilayah. Region ini harus sama dengan region kumpulan CA yang ingin Anda gunakan.
Pilih kumpulan CA.
Untuk membuat sertifikat menggunakan Permintaan Penandatanganan Sertifikat (CSR), lihat Meminta sertifikat menggunakan CSR.
Untuk membuat sertifikat menggunakan kunci yang dibuat secara otomatis, lihat Meminta sertifikat menggunakan kunci yang dibuat secara otomatis.
Buat sertifikat
- Klik Buat sertifikat. Jika sertifikat berhasil dibuat, pesan akan ditampilkan.
- Untuk melihat sertifikat yang dibuat, klik Lihat sertifikat, lalu klik Lihat.
Opsional: Download sertifikat yang ditandatangani
- Untuk mendownload rantai sertifikat yang dienkode ke PEM, klik Download rantai sertifikat.
- Untuk mendownload kunci pribadi terkait yang dienkode ke PEM, klik Download kunci pribadi.
gcloud
Untuk menerbitkan sertifikat menggunakan template sertifikat, tambahkan
flag --template
ke perintah gcloud privateca certificates create
dalam format berikut:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
Ganti CERTIFICATE_TEMPLATE dengan nama template sertifikat yang ingin Anda gunakan untuk menerbitkan sertifikat ini. Template yang ditentukan harus berada di lokasi yang sama dengan kumpulan CA penerbit. Lihat contoh yang disediakan untuk membuat sertifikat DNS uji dan membuat sertifikat produksi untuk mengetahui informasi selengkapnya.
Terraform
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
Bagikan link permintaan sertifikat
Untuk membagikan link formulir permintaan sertifikat kepada orang lain di organisasi Anda agar mereka dapat meminta sertifikat menggunakan parameter yang sama, lakukan hal berikut:
Konsol
- Di konsol Google Cloud, buka tab CA pool manager dan klik Share request form link.
- Di panel Share request form link yang muncul, pilih kumpulan CA dan template sertifikat yang Anda pilih untuk membuat permintaan. Link permintaan sertifikat akan ditampilkan.
- Salin link dan bagikan seperlunya.
Selesaikan konflik kebijakan
Permintaan sertifikat gagal dengan error argumen yang tidak valid saat ada konflik antara kebijakan penerbitan kumpulan CA dan template sertifikat. Misalnya, jika ekstensi yang sama (seperti penggunaan kunci dasar) ditetapkan dalam nilai dasar pengukuran kumpulan CA dan nilai yang telah ditetapkan pada template sertifikat. Atau, jika satu kebijakan memiliki batasan ekstensi yang mengecualikan ekstensi tertentu dan kebijakan lainnya menentukan nilai untuk ekstensi tersebut dalam nilai dasarnya.
Untuk melihat dan menyelesaikan konflik kebijakan, ikuti langkah-langkah berikut:
Konsol
- Klik link Pemecah masalah kebijakan penerbitan yang ditampilkan dengan pesan error. Halaman pemecah masalah akan muncul, tempat Anda dapat membandingkan nilai dasar pengukuran dan batasan ekstensi dalam kebijakan penerbitan kumpulan CA dengan nilai dasar pengukuran dan batasan ekstensi dalam kebijakan template sertifikat. Perhatikan bahwa konflik kebijakan ditandai.
- Akses kumpulan CA atau template sertifikat untuk memperbarui nilai yang bertentangan dan menyelesaikan konflik tersebut.
- Setelah konflik terselesaikan, kirim permintaan sertifikat lagi.
Melihat sertifikat yang diterbitkan menggunakan template
Untuk melihat sertifikat yang diterbitkan menggunakan template sertifikat, lakukan hal berikut:
Konsol
- Di konsol Google Cloud, buka tab Template Manager.
- Klik template sertifikat yang telah Anda gunakan untuk penerbitan sertifikat.
- Di halaman Template Details, klik Certificates. Daftar sertifikat yang diterbitkan menggunakan template sertifikat yang dipilih akan ditampilkan.
Langkah selanjutnya
- Pelajari cara melihat sertifikat yang diterbitkan.