Gérer les ressources
Les autorités de certification créées via Certificate Authority Service s'appuient sur deux types de ressources secondaires:
- Version de clé Cloud Key Management Service permettant de signer les certificats et les listes de révocation de certificats (LRC) émis par l'autorité de certification. Pour en savoir plus sur les versions de clé, consultez Versions de clé.
- Un bucket Cloud Storage permettant d'héberger un certificat CA et toutes les LRC publiées par l'autorité de certification, si ces paramètres sont activés Pour en savoir plus sur les buckets Cloud Storage, consultez la page Buckets.
Ces deux ressources doivent exister pour chaque autorité de certification et ne peuvent pas être modifiées une fois l'autorité de certification créée.
Modèles de gestion
CA Service est compatible avec deux modèles de gestion du cycle de vie pour ces ressources:
- Gérée par Google
- Gérée par le client
La clé Cloud KMS et le bucket Cloud Storage n'ont pas besoin d'utiliser le même modèle de gestion. Par exemple, la clé Cloud KMS peut être gérée par Google, et le bucket Cloud Storage peut être géré par le client, ou inversement.
Gérée par Google
CA Service crée et configure automatiquement les ressources suivant ce modèle lors de la création de l'autorité de certification, et les supprime lors de la suppression de l'autorité de certification. Ces ressources ne vous sont pas facturées séparément.
Par défaut, les nouvelles autorités de certification utilisent des clés Cloud KMS et des buckets Cloud Storage gérés par Google. Vous pouvez choisir un algorithme de clé spécifique pour la clé Cloud KMS gérée par Google lors de la création d'une autorité de certification. Les clés Cloud KMS gérées par Google ne sont pas réutilisées entre les autorités de certification.
Pour en savoir plus sur la création d'une autorité de certification racine, consultez la section Créer une autorité de certification racine. Pour découvrir comment créer une autorité de certification subordonnée, consultez Créer une autorité de certification subordonnée. Pour savoir comment choisir un algorithme de clé, consultez Choisir un algorithme de clé.
Gérée par le client
Vous ne pouvez créer des ressources gérées par le client que pour les autorités de certification de niveau Enterprise. Vous devez créer et configurer les ressources gérées par le client avant la création de l'autorité de certification. De plus, vous devez supprimer ces ressources à un moment approprié après la destruction de l'autorité de certification. Ces ressources sont facturées directement aux utilisateurs.
CA Service considère le projet comme une limite de sécurité pour les clés Cloud KMS gérées par le client. Par exemple, supposons qu'une utilisatrice Alice utilise une clé Cloud KMS gérée par le client pour créer une autorité de certification dans le projet test. Ensuite, un autre utilisateur Bob peut utiliser la même clé Cloud KMS pour créer une autre autorité de certification dans le même projet. Bien qu'Alice ait besoin de disposer d'un accès administrateur à la clé pour créer la première autorité de certification, Bob n'a pas besoin d'un accès à cette clé, car Alice a déjà autorisé l'utilisation de cette clé par CA Service dans le projet test.
Avantages de la création de ressources gérées par le client
L'un des avantages de ce modèle est que les appelants ont un contrôle direct sur ces ressources. Les appelants peuvent directement mettre à jour des attributs tels que la gestion des accès pour répondre aux exigences de leur organisation.
Pour créer une autorité de certification avec des ressources gérées par le client, l'appelant doit disposer d'un accès administrateur à ces ressources pour accorder l'accès approprié au service CA. Pour en savoir plus, consultez la page Agent de service CA.
Emplacement des clés Cloud KMS
Vous devez créer des clés Cloud KMS gérées par le client au même emplacement que celui de vos ressources du service CA. Pour obtenir la liste complète des emplacements du service d'autorité de certification, consultez la section Emplacements. Pour obtenir la liste des emplacements dans lesquels des ressources Cloud KMS peuvent être créées, consultez la section Emplacements Cloud KMS.
Emplacement des buckets Cloud Storage
Vous devez créer des buckets Cloud Storage gérés par le client à peu près au même emplacement que les ressources du service CA. Vous ne pouvez pas créer le bucket Cloud Storage en dehors du continent dans lequel vous avez créé les ressources du service CA.
Par exemple, si votre autorité de certification se trouve dans la région us-west1, vous pouvez créer les buckets Cloud Storage dans n'importe quelle région des États-Unis, telle que us-west1 ou us-east1, l'emplacement birégional NAM4 et l'emplacement multirégional US.
Pour obtenir la liste des emplacements dans lesquels des ressources Cloud Storage peuvent être créées, consultez la section Emplacements Cloud Storage.
Accès aux ressources gérées
Toute personne disposant de l'URL du certificat CA hébergé sur un bucket Cloud Storage ou de toute liste de révocation de certificats publiée par l'autorité de certification peut accéder à ces ressources par défaut. Pour empêcher l'accès public à votre certificat CA et à la liste de révocation de certificats, ajoutez le projet contenant le pool d'autorités de certification à un périmètre VPC Service Controls.
En ajoutant le projet contenant le pool d'autorités de certification à un périmètre VPC Service Controls, le bucket Cloud Storage géré par Google rejoint le périmètre. Le périmètre VPC Service Controls garantit que le bucket Cloud Storage n'est pas accessible depuis l'extérieur des réseaux approuvés.
Les clients du périmètre réseau peuvent toujours accéder aux LRC et aux certificats CA sans authentification. Les demandes d'accès provenant de l'extérieur du réseau approuvé échouent.
URL HTTP pour les certificats CA et les LRC
Les certificats CA et les LRC sont disponibles sur les URL HTTP pour les raisons suivantes:
Un certificat CA publié dans un bucket Cloud Storage n'est pas censé être approuvé en l'état par les clients. Les certificats CA font partie d'une chaîne de certificats qui commence par le certificat de l'autorité de certification racine. Chaque certificat de la chaîne est signé par le certificat CA situé le plus haut dans la chaîne afin de préserver l'intégrité du certificat. Par conséquent, l'utilisation du protocole HTTPS ne présente aucun avantage supplémentaire.
Certains clients refusent les URL HTTPS lors de la validation des certificats.
Activer la publication de certificats CA et de LRC pour les autorités de certification d'un pool d'autorités de certification
Le service CA active par défaut la publication de certificats CA et de LRC dans les buckets Cloud Storage lorsque vous créez un pool d'autorités de certification. Si vous avez désactivé la publication de certificats CA et de LRC lors de la création du pool d'autorités de certification et que vous souhaitez les activer maintenant, vous pouvez suivre les instructions de cette section.
Pour activer la publication de certificats CA et la publication LRC pour toutes les autorités de certification d'un pool d'autorités de certification, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification à modifier.
Sur la page Pool de CA, cliquez sur Modifier.
Sous Configurer les algorithmes et les tailles de clé autorisées, cliquez sur Suivant.
Sous Configurer les méthodes de requête de certificat acceptées, cliquez sur Suivant.
Sous Configurer les options de publication, cliquez sur le bouton d'activation pour Publier le certificat CA dans un bucket Cloud Storage pour les autorités de certification de ce pool.
Cliquez sur le bouton d'activation pour Publier la LRC dans le bucket Cloud Storage pour les autorités de certification de ce pool.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert
Remplacez POOL_ID par le nom du pool d'autorités de certification.
Si vous activez --publish-ca-cert, le service CA écrit le certificat de chaque autorité de certification dans un bucket Cloud Storage, dont le chemin d'accès est spécifié dans la ressource d'autorité de certification. L'extension AIA dans tous les certificats émis pointe vers l'URL de l'objet Cloud Storage qui contient le certificat CA. L'extension CRL Distribution Point (CDP) dans tous les certificats émis pointe vers l'URL de l'objet Cloud Storage qui contient la LRC.
Pour en savoir plus sur l'activation de la publication de LRC pour la révocation de certificats, consultez la section Révocation de certificats.
Pour en savoir plus sur la commande gcloud privateca pools update, consultez la page gcloud privateca pools update.
Désactiver la publication de certificats CA et de LRC pour les autorités de certification d'un pool d'autorités de certification
Pour désactiver la publication de certificats CA ou la publication LRC pour toutes les autorités de certification d'un pool d'autorités de certification, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification à modifier.
Sur la page Pool de CA, cliquez sur Modifier.
Sous Configurer les algorithmes et les tailles de clé autorisées, cliquez sur Suivant.
Sous Configurer les méthodes de requête de certificat acceptées, cliquez sur Suivant.
Sous Configurer les options de publication, cliquez sur le bouton d'activation pour Publier le certificat CA dans un bucket Cloud Storage pour les autorités de certification de ce pool.
Cliquez sur le bouton d'activation pour Publier la LRC dans le bucket Cloud Storage pour les autorités de certification de ce pool.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert
Remplacez POOL_ID par le nom du pool d'autorités de certification.
La désactivation des points de distribution ne supprime pas le bucket Cloud Storage ni ses autorisations, et ne supprime pas les certificats CA ni les LRC qui y sont déjà hébergés. Toutefois, les futures LRC ne seront plus publiées dans le bucket Cloud Storage et les futurs certificats n'auront plus les extensions AIA et CDP.
Mettre à jour le format d'encodage des certificats CA et des LRC publiés
Pour mettre à jour le format d'encodage des certificats CA et des LRC publiés, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification à modifier.
Sur la page Pool de CA, cliquez sur Modifier.
Sous Configurer les algorithmes et les tailles de clé autorisées, cliquez sur Suivant.
Sous Configurer les méthodes de requête de certificat acceptées, cliquez sur Suivant.
Sous Configurer les options de publication, cliquez sur le menu déroulant Format d'encodage de publication.
Sélectionnez le format d'encodage de publication.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Remplacez les éléments suivants :
- POOL_ID: nom de votre pool d'autorités de certification.
- PUBLISHING_ENCODING_FORMAT :
PEMouDER.
Pour en savoir plus sur la commande gcloud privateca pools update, consultez la page gcloud privateca pools update.
Étapes suivantes
- Découvrez comment créer des pools d'autorités de certification.
- Découvrez comment créer une autorité de certification racine.
- Découvrez comment créer une autorité de certification subordonnée.
- Découvrez comment créer une autorité de certification subordonnée à partir d'une autorité de certification externe.