Gérer les ressources
Les autorités de certification créées via Certificate Authority Service s'appuient sur deux types de ressources secondaires:
- Une version de clé Cloud Key Management Service utilisée pour signer les certificats et Listes de révocation de certificats (LRC) émises par l'autorité de certification. Pour en savoir plus sur les versions de clé, consultez la section Versions de clé.
- Un bucket Cloud Storage permettant d'héberger un certificat CA les LRC publiées par l'autorité de certification, si ces paramètres sont activés. Pour en savoir plus sur les buckets Cloud Storage, consultez la page Buckets.
Ces deux ressources doivent exister pour chaque autorité de certification et ne peuvent pas être modifiées après l'autorité de certification est créée.
Modèles de gestion
CA Service prend en charge deux modèles de gestion du cycle de vie ressources:
- Géré par Google
- Gérée par le client
Il n'est pas nécessaire que la clé Cloud KMS et le bucket Cloud Storage utilisent le même modèle de gestion. Par exemple, la clé Cloud KMS peut être est géré par Google, et le bucket Cloud Storage peut être géré par le client, ou l'autre dans tous les sens.
Géré par Google
CA Service crée et configure automatiquement les ressources en suivant ce modèle lors de la création d'une autorité de certification, et supprime les ressources lors de la suppression de l'autorité de certification. Ces ressources ne vous sont pas facturées séparément.
Par défaut, les nouvelles autorités de certification utilisent des clés Cloud KMS gérées par Google des buckets Cloud Storage. Vous pouvez choisir un algorithme de clé spécifique pour la clé Cloud KMS gérée par Google lorsque vous créez une autorité de certification. Les clés Cloud KMS gérées par Google ne sont pas réutilisées entre les autorités de certification.
Pour en savoir plus sur la création d'une autorité de certification racine, consultez Créez une autorité de certification racine. Pour savoir comment créer une autorité de certification subordonnée, consultez Créer une autorité de certification subordonnée. Pour obtenir des conseils sur le choix d'un algorithme de clé, consultez Choisissez un algorithme de clé.
Gérée par le client
Vous ne pouvez créer des ressources gérées par le client que pour les autorités de certification de type Enterprise niveau supérieur. Vous devez créer et configurer les ressources gérées par le client avant la création d'une autorité de certification. En outre, vous devez supprimer ces ressources à un moment approprié après que l'autorité de certification a été détruit. Ces ressources sont directement facturées aux utilisateurs.
CA Service considère le projet comme une limite de sécurité pour les clés Cloud KMS gérées par le client. Par exemple, imaginons qu'Alice utilise une clé Cloud KMS gérée par le client pour créer une autorité de certification dans le projet test. Bob peut ensuite utiliser la même clé Cloud KMS pour créer une autre autorité de certification dans le même projet. Bien qu'Alice ait besoin d'un accès administrateur à la clé pour créer la première autorité de certification, Bob n'a pas besoin d'accéder à cette clé, car Alice a déjà activé l'utilisation de la clé par le service CA dans le projet test.
Avantages de la création de ressources gérées par le client
L'un des avantages de ce modèle est que les appelants ont le contrôle direct ressources. Les appelants peuvent mettre à jour directement les attributs tels que la gestion des accès pour s'adapter leurs exigences organisationnelles.
La création d'une autorité de certification avec des ressources gérées par le client nécessite que l'appelant un accès administrateur sur ces ressources, afin d'accorder l'accès au service CA. Pour en savoir plus, consultez Agent de service CA.
Emplacement des clés Cloud KMS
Vous devez créer des clés Cloud KMS gérées par le client au même emplacement que celui de vos ressources CA Service. Pour obtenir la liste complète des emplacements du service CA, consultez Emplacements. Pour obtenir la liste des emplacements dans lesquels des ressources Cloud KMS peuvent être créées, consultez la page Emplacements Cloud KMS.
Emplacement des buckets Cloud Storage
Vous devez créer des buckets Cloud Storage gérés par le client situés à peu près au même emplacement que vos ressources CA Service. Vous ne pouvez pas créer le bucket Cloud Storage en dehors du continent dans lequel vous avez créé les ressources du service d'autorité de certification.
Par exemple, si votre autorité de certification se trouve dans us-west1, vous pouvez créer le
aux buckets Cloud Storage situés dans n'importe quelle région des États-Unis,
us-west1 ou us-east1, l'emplacement birégional NAM4 et l'emplacement multirégional US.
Pour obtenir la liste des emplacements où Cloud Storage consultez la page Emplacements Cloud Storage.
Accès aux ressources gérées
Toute personne disposant de l'URL du certificat CA hébergé sur un bucket Cloud Storage ou toute LRC publiée par l'autorité de certification peuvent accéder à ces ressources par défaut. Pour empêcher l'accès public à votre certificat d'autorité de certification et à votre liste de révocation de certificats, ajoutez le projet contenant le pool d'autorité de certification à un périmètre VPC Service Controls.
En ajoutant le projet contenant le pool d'autorités de certification à un périmètre VPC Service Controls, le bucket Cloud Storage géré par Google rejoint le périmètre. Le périmètre VPC Service Controls garantit que le bucket Cloud Storage ne peut pas être accessible en dehors des réseaux approuvés.
Les clients situés dans le périmètre du réseau peuvent toujours accéder aux LRC et aux autorités de certification de certificats sans authentification. Les demandes d'accès en dehors du réseau approuvé échouent.
URL HTTP pour les certificats CA et les LRC
Les certificats CA et les LRC sont disponibles sur les URL HTTP pour les éléments suivants : raisons:
Un certificat CA publié dans un bucket Cloud Storage n'est pas censé aux clients en l'état. Les certificats CA font partie d'un chaîne de certificats, qui commence par le certificat de l'autorité de certification racine. Chaque certificat de la chaîne de certificats est signé par le certificat CA qui est plus haut dans la chaîne pour préserver l’intégrité du certificat. Il existe donc n'apporte aucun avantage supplémentaire à l'utilisation du protocole HTTPS.
Certains clients refusent les URL HTTPS lors de la validation des certificats.
Activer la publication des certificats CA et des LRC pour les autorités de certification d'un pool d'autorités de certification
Le service d'autorité de certification active la publication du certificat d'autorité de certification et de la liste de révocation de certificats dans les buckets Cloud Storage par défaut lorsque vous créez un pool d'autorités de certification. Si vous a désactivé la publication des certificats CA et des LRC lors de la création du pool d'autorités de certification pour les activer dès maintenant, suivez les instructions de cette section.
Pour activer la publication de certificats CA et de listes de révocation de certificats pour toutes les autorités de certification d'une autorité de certification , procédez comme suit:
Console
Accédez à la page Certificate Authority Service dans la console Google Cloud.
Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification souhaité. à modifier.
Sur la page Pool d'autorités de certification, cliquez sur Modifier.
Sous Configurer les tailles et algorithmes de clé autorisés, cliquez sur Suivant.
Sous Configurer les méthodes de demande de certificat acceptées, cliquez sur Suivant.
Sous Configurer les options de publication, activez l'option Publier l'autorité de certification. vers le bucket Cloud Storage pour les autorités de certification de ce pool.
Activez l'option Publier la LRC dans le bucket Cloud Storage pour les autorités de certification de ce pool.
gcloud
Exécutez la commande suivante :
gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert
Remplacez POOL_ID par le nom du pool d'autorités de certification.
Si vous activez --publish-ca-cert, le service d'autorité de certification écrit le certificat de chaque autorité de certification dans un bucket Cloud Storage, dont le chemin d'accès est spécifié dans la ressource de l'autorité de certification. L'extension AIA de tous les certificats émis pointe vers
URL de l'objet Cloud Storage contenant le certificat CA. LRC
L'extension du point de distribution (CDP) de tous les certificats émis pointe vers
l'URL de l'objet Cloud Storage contenant la LRC.
Pour en savoir plus sur l'activation de la publication de listes de révocation de certificats pour la révocation de certificats, consultez Révocation de certificats
Pour plus d'informations sur la commande gcloud privateca pools update, consultez la page sur gcloud privateca pools update.
Désactiver la publication des certificats CA et des LRC pour les autorités de certification d'un pool d'autorités de certification
Pour désactiver la publication de certificats CA ou de listes de révocation de certificats pour toutes les autorités de certification d'un d'autorités de certification, procédez comme suit:
Console
Accédez à la page Certificate Authority Service dans la console Google Cloud.
Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification souhaité. à modifier.
Sur la page Pool de CA, cliquez sur Modifier.
Sous Configurer les tailles et algorithmes de clé autorisés, cliquez sur Suivant.
Sous Configurer les méthodes de demande de certificat acceptées, cliquez sur Suivant.
Sous Configurer les options de publication, activez l'option Publier l'autorité de certification. vers le bucket Cloud Storage pour les autorités de certification de ce pool.
Activez l'option Publier la LRC dans le bucket Cloud Storage pour les autorités de certification de ce pool.
gcloud
Exécutez la commande suivante :
gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert
Remplacez POOL_ID par le nom du pool d'autorités de certification.
La désactivation des points de distribution ne supprime pas le bucket Cloud Storage ses autorisations, et ne supprime pas les certificats CA ou les LRC qui sont qui y est déjà hébergée. Toutefois, cela signifie que les futures LRC ne seront plus seront publiés dans le bucket Cloud Storage, et les futurs certificats n'auront plus les extensions AIA et CDP.
Mettre à jour le format d'encodage des certificats CA et des LRC publiés
Pour mettre à jour le format d'encodage des certificats CA et des LRC publiés, procédez comme suit:
Console
Accédez à la page Certificate Authority Service (Service d'autorité de certification) dans la console Google Cloud.
Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification souhaité. à modifier.
Sur la page Pool de CA, cliquez sur Modifier.
Sous Configurer les tailles et algorithmes de clé autorisés, cliquez sur Suivant.
Sous Configurer les méthodes de demande de certificat acceptées, cliquez sur Suivant.
Sous Configurer les options de publication, cliquez sur le menu déroulant Format d'encodage de publication.
Sélectionnez le format d'encodage de la publication.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Remplacez les éléments suivants :
- POOL_ID : nom de votre pool d'autorités de certification.
- PUBLISHING_ENCODING_FORMAT :
PEMouDER.
Pour plus d'informations sur la commande gcloud privateca pools update, consultez la page sur gcloud privateca pools update.
Étape suivante
- Découvrez comment créer des pools d'autorités de certification.
- Découvrez comment créer une autorité de certification racine.
- Découvrez comment créer une autorité de certification subordonnée.
- Découvrez comment créer une autorité de certification subordonnée à partir d'une autorité de certification externe.