Solicitar um certificado usando um modelo

Esta página descreve como solicitar um certificado usando uma modelo de certificado.

Com os modelos de certificado, você pode implementar controles de políticas refinados na emissão de certificados. Por exemplo, é possível usar modelos de certificado para padronize a emissão de certificados TLS de servidor nos pools de CAs da sua organização. Também é possível usar modelos de certificado para aplicar políticas em um nível mais granular, como quanto a usuários específicos. Isso é útil em situações em que você precisa restringir os tipos de certificados que indivíduos diferentes podem emitir. Você também pode reutilizar modelos para cenários de emissão comuns.

Antes de começar

  1. Prepare seu ambiente para o serviço de CA.

  2. Para receber as permissões necessárias para emitir certificados usando um modelo de certificado, peça ao administrador para conceder a você o papel de IAM de usuário do modelo de certificado de serviço de CA (roles/privateca.templateUser) no modelo de certificado.

    Para mais informações sobre os papéis predefinidos do IAM para o serviço de CA, consulte Controle de acesso com o IAM.

    Para informações sobre como conceder um papel do IAM a um principal, consulte Conceder um único papel.

Emissão de certificado de teste

Antes de usar um modelo de certificado para solicitar um certificado assinado, recomendamos que você verifique a capacidade do modelo de gerar um certificado. A emissão de certificado falha quando há um conflito entre a CA políticas de emissão do pool e as políticas do modelo de certificado. Ao testar a emissão, você poderá identificar e resolver esses conflitos de forma proativa. Os certificados de teste não são codificados em PEM, não são assinados e não geram cobranças.

Para testar a emissão de certificados usando um modelo, siga estas etapas:

Console

  1. Acesse a página Serviço de autoridade certificadora no console do Google Cloud.

    Acesse Certificate Authority Service

  2. Clique na guia Gerenciador de modelos.

  3. Clique no modelo de certificado que você quer testar. A página Detalhes do modelo é exibida.

  4. Para criar uma solicitação de teste, clique em Criar certificado e depois em Emissão de certificado de teste. O formulário de solicitação de certificado aparece.

  5. Especifique os seguintes detalhes necessários para criar uma solicitação de certificado:

    • Região: local do certificado. Precisa ser o mesmo local do pool de ACs.
    • Pool de CAs: o pool de CAs responsável por emitir o certificado.
    • Modelo de certificado: o modelo que você quer usar para a emissão de certificados.
    • Domínio: o nome de domínio do site que você quer proteger com um certificado SSL ou TLS.

  6. Clique em Gerar certificado.

  7. Depois que o certificado for criado, clique em Visualizar. O teste ou a amostra certificado é exibido na mesma página, em um painel separado.

  8. Se a emissão do certificado falhar devido a conflitos, resolva os conflitos e envie a solicitação de certificado de teste novamente.

Emitir certificados usando um modelo de certificado

Para emitir um certificado assinado usando um modelo, faça o seguinte:

Console

  1. Acesse a página Serviço de autoridade certificadora no console do Google Cloud.

    Acesse o Certificate Authority Service.}

  2. Clique na guia Gerenciador de modelos.

  3. Na página Modelos de certificado, clique no modelo que você quer usar. A página Detalhes do modelo é exibida.

  4. Clique em Criar certificado.

  5. Selecione uma região. Esta região precisa ser igual à região do pool de ACs que você pretende usar.

  6. Selecione o pool de ACs.

  7. Para gerar um certificado usando uma solicitação de assinatura de certificado (CSR), consulte Solicitar um certificado usando CSR.

  8. Para gerar um certificado usando uma chave gerada automaticamente, consulte Solicitar certificado usando uma chave gerada automaticamente.

Gerar o certificado

  1. Clique em Gerar certificado. Se o certificado for gerado, uma mensagem será exibida.
  2. Para conferir o certificado gerado, clique em View certificate e em View.

Opcional: fazer o download do certificado assinado

  1. Para fazer o download da cadeia de certificados codificada em PEM, clique em Fazer o download da cadeia de certificados.
  2. Para fazer o download da chave privada codificada em PEM associada, clique em Faça o download da chave privada.

gcloud

Para emitir um certificado usando um modelo, adicione o Sinalização --template para o comando gcloud privateca certificates create no seguinte formato:

--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE

Substitua CERTIFICATE_TEMPLATE pelo nome do modelo de certificado que que você quer usar para emitir o certificado. O modelo especificado deve estar no mesmo local que o pool de AC emissores. Consulte as amostras fornecidas para gerar certificados DNS de teste e gerar certificados de produção para mais informações.

Terraform

/**
 * Copyright 2022 Google LLC
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      http://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

resource "google_privateca_certificate_template" "template" {
  location    = "us-central1"
  name        = "my-certificate-template"
  description = "An updated sample certificate template"

  identity_constraints {
    allow_subject_alt_names_passthrough = true
    allow_subject_passthrough           = true

    cel_expression {
      description = "Always true"
      expression  = "true"
      location    = "any.file.anywhere"
      title       = "Sample expression"
    }
  }

  passthrough_extensions {
    additional_extensions {
      object_id_path = [1, 6]
    }

    known_extensions = ["EXTENDED_KEY_USAGE"]
  }

  predefined_values {
    additional_extensions {
      object_id {
        object_id_path = [1, 6]
      }

      value    = "c3RyaW5nCg=="
      critical = true
    }

    aia_ocsp_servers = ["string"]

    ca_options {
      is_ca                  = false
      max_issuer_path_length = 6
    }

    key_usage {
      base_key_usage {
        cert_sign          = false
        content_commitment = true
        crl_sign           = false
        data_encipherment  = true
        decipher_only      = true
        digital_signature  = true
        encipher_only      = true
        key_agreement      = true
        key_encipherment   = true
      }

      extended_key_usage {
        client_auth      = true
        code_signing     = true
        email_protection = true
        ocsp_signing     = true
        server_auth      = true
        time_stamping    = true
      }

      unknown_extended_key_usages {
        object_id_path = [1, 6]
      }
    }

    policy_ids {
      object_id_path = [1, 6]
    }
  }
}

resource "google_privateca_certificate_authority" "test_ca" {
  pool                     = "my-pool"
  certificate_authority_id = "my-certificate-authority-test-ca"
  location                 = "us-central1"
  deletion_protection      = false # set to true to prevent destruction of the resource
  config {
    subject_config {
      subject {
        organization = "HashiCorp"
        common_name  = "my-certificate-authority"
      }
      subject_alt_name {
        dns_names = ["hashicorp.com"]
      }
    }
    x509_config {
      ca_options {
        # is_ca *MUST* be true for certificate authorities
        is_ca = true
      }
      key_usage {
        base_key_usage {
          # cert_sign and crl_sign *MUST* be true for certificate authorities
          cert_sign = true
          crl_sign  = true
        }
        extended_key_usage {
          server_auth = false
        }
      }
    }
  }
  key_spec {
    algorithm = "RSA_PKCS1_4096_SHA256"
  }
}


resource "google_privateca_certificate" "default" {
  pool                  = "my-pool"
  location              = "us-central1"
  certificate_authority = google_privateca_certificate_authority.test_ca.certificate_authority_id
  lifetime              = "860s"
  name                  = "my-certificate-from-template"
  pem_csr               = tls_cert_request.example.cert_request_pem
  certificate_template  = google_privateca_certificate_template.template.id
}

resource "tls_private_key" "example" {
  algorithm = "RSA"
}

resource "tls_cert_request" "example" {
  private_key_pem = tls_private_key.example.private_key_pem

  subject {
    common_name  = "example.com"
    organization = "ACME Examples, Inc"
  }
}

Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.

Compartilhar um link de formulário de solicitação de certificado com outras pessoas na sua organização para solicitar um certificado usando os mesmos parâmetros, faça o seguinte:

Console

  1. No console do Google Cloud, acesse a guia Gerenciador de pool de ACs e clique em Compartilhar link do formulário de solicitação.
  2. No painel Share request form link que aparece, selecione o pool de AC e o modelo de certificado que você escolheu para criar a solicitação. O link de solicitação de certificado.
  3. Copie o link e compartilhe conforme necessário.

Resolver conflitos de políticas

As solicitações de certificado falham com um erro de argumento inválido quando há um conflito entre a política de emissão do pool de ACs e o modelo de certificado. Por exemplo: se a mesma extensão (como o uso de chave base) for definida no valores de referência e os valores predefinidos do modelo de certificado. Ou quando uma política tem restrições de extensão que excluem uma extensão específica e a outra política define um valor para essa extensão nos valores de referência.

Para visualizar e resolver os conflitos de políticas, siga estas etapas:

Console

  1. Clique no link Solução de problemas de política de emissão que aparece com a mensagem de erro. Uma página de solução de problemas aparece para comparar os valores de referência e as restrições de extensão na política de emissão do pool de ACs com os valores de referência e as restrições de extensão na política do modelo de certificado. Observe que os conflitos de políticas estão destacados.
  2. Acesse o pool de ACs ou o modelo de certificado para atualizar os valores conflitantes e resolver o conflito.
  3. Depois que o conflito for resolvido, envie a solicitação de certificado novamente.

Ver certificados emitidos usando um modelo

Para visualizar os certificados emitidos usando um modelo de certificado, faça o seguinte:

Console

  1. No console do Google Cloud, acesse a guia Gerenciador de modelos.
  2. Clique no modelo de certificado que você usou para a emissão.
  3. Na página Detalhes do modelo, clique em Certificados. A lista de certificados emitidos usando o modelo de certificado selecionado é exibida.

A seguir