Demander un certificat
Cette page explique comment créer une demande de certificat dans Certificate Authority Service.
Vous pouvez demander un certificat à l'aide des méthodes suivantes:
- Générez votre propre clé privée ou publique et envoyez une signature de certificat Requête (CSR).
- Utilisez une clé privée ou publique générée automatiquement par CA Service.
- Utilisez une clé Cloud Key Management Service (Cloud KMS) existante.
Avant de commencer
Pour obtenir les autorisations nécessaires pour émettre des certificats, contactez votre administrateur pour vous accorder le Demandeur de certificat du service CA (
roles/privateca.certificateRequester
) ou l'IAM du gestionnaire de certificats du service CA (roles/privateca.certificateManager
) rôle de ressource.Pour en savoir plus sur les rôles IAM prédéfinis pour CA Service, consultez la page Contrôle des accès avec IAM.
Pour en savoir plus sur l'attribution d'un rôle IAM à un compte principal, consultez Attribuer un seul rôle.
Demander un certificat à l'aide d'une requête de signature de certificat
Pour obtenir un certificat, vous devez générer une requête de signature de certificat que vous utiliserez ensuite pour demander le certificat.
Générer la requête de signature de certificat
Pour obtenir des instructions détaillées sur la façon de générer une requête de signature de certificat à l’aide d’OpenSSL, consultez la page Générer une requête de signature de certificat avec OpenSSL. Vous pouvez également utiliser l'exemple de fichier de configuration suivant comme référence lors de la génération votre requête de signature de certificat.
Pour utiliser l'exemple de fichier de configuration, procédez comme suit:
Créez un fichier de configuration nommé
csr.cnf
à l'aide de la configuration suivante.cat << EOF > csr.cnf [req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no [req_distinguished_name] CN = example.com [v3_req] keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = www.example.com EOF
Cet exemple génère une clé RSA de 2 048 bits (phrase secrète chiffrée) et une requête de signature de certificat correspondante. contenant les éléments suivants:
- L'attribut
commonName
dans le nom distinctif de l'objet - l'extension
subjectAlternativeName
- l'extension
keyUsage
(marquée comme critique) - l'extension
extendedKeyUsage
Modifiez les paramètres selon vos besoins. Pour utiliser le fichier de configuration
x509v3_config
pour définir les extensions des certificats X.509 et des requêtes de signature de certificat, consultez la documentation OpenSSL.- L'attribut
Exécutez la commande
openssl
suivante pour générer une requête de signature de certificat et la clé privée correspondante:openssl req -newkey rsa:2048 -out csr.pem -keyout key.pem -config csr.cnf
Cette commande génère les fichiers suivants:
csr.pem
: votre requête de signature de certificat, prête à être envoyée à une autorité de certification.key.pem
: votre clé privée, que vous devez sécuriser
Utilisez le fichier
csr.pem
dans votre demande de certificat.
Envoyer une demande de certificat à l'aide de la requête de signature de certificat
Pour demander un certificat à l'aide de la requête de signature de certificat, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur Demander un certificat.
Sélectionnez une région. La région doit être identique à celle du pool d'autorités de certification que vous prévoyez d'utiliser.
Sélectionnez un pool d'autorités de certification.
Facultatif: Sélectionnez une autorité de certification spécifique dans le pool d'autorités de certification. Notez que lorsque vous choisissez un type CA pour l’émission de certificats, vous créez une dépendance sur cette AC, ce qui la rend plus difficile effectuer la rotation des CA.
Facultatif: choisissez un modèle de certificat. Si vous utilisez un modèle de certificat, assurez-vous que les règles du modèle de certificat n'entrent pas en conflit avec du pool d'autorités de certification sélectionné.
Cliquez sur Fournir une demande de signature de certificat (CSR), puis sur Suivant. Les détails du certificat s'affichent.
Facultatif: Pour écraser le certificat généré automatiquement nom personnalisé, saisissez le nom personnalisé dans le champ Nom du certificat. Après le certificat créé, vous ne pouvez pas le supprimer ni le réutiliser son nom.
Facultatif: Pour choisir une période de validité personnalisée pour le certificat, saisissez la valeur du champ Valide pour.
Copiez et collez votre requête de signature de certificat dans la zone CSR de certificat. Si vous voulez Pour importer un fichier contenant la requête de signature de certificat, cliquez sur Parcourir, puis sélectionnez votre fichier.
Cliquez sur Générer un certificat.
Télécharger le certificat signé
- Pour voir le certificat généré, cliquez sur Afficher le certificat, puis sur Afficher.
- Pour copier le certificat, cliquez sur
.crt
, cliquez sur Télécharger le certificat
.
Pour télécharger le certificat sous la forme d'un fichier - Facultatif: Pour télécharger la chaîne de certificats, cliquez sur Télécharger la chaîne de certificats
gcloud
gcloud privateca certificates create CERT_ID \
--issuer-pool POOL_ID \
--csr CSR_FILENAME \
--cert-output-file CERT_FILENAME \
--validity "P30D"
Remplacez les éléments suivants :
- CERT_ID: identifiant unique du certificat.
- POOL_ID: nom du pool d'autorités de certification.
- CSR_FILENAME: fichier qui stocke la requête de signature de certificat encodée au format PEM.
L'option --validity
définit la durée de validité du certificat. Il s'agit d'un indicateur facultatif dont la valeur par défaut est de 30 jours.
Pour plus d'informations sur la commande gcloud privateca certificates create
, consultez la page sur la commande gcloud privateca certificate create.
Terraform
API REST
Générez une demande de signature de certificat (CSR) en utilisant la méthode de votre choix, comme
openssl
.Voici un exemple de requête de signature de certificat encodée pour JSON.
-----BEGIN CERTIFICATE REQUEST-----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\npYnKLoZUvRwEdtZpbNL9QhCAm2QiJ6w+6g==\n-----END CERTIFICATE REQUEST-----
Demandez un certificat.
Méthode HTTP et URL :
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates?certificate_id=CERTIFICATE_ID
Corps JSON de la requête :
{ "lifetime": { "seconds": 3600, "nanos": 0 }, "pem_csr": "PEM_CSR" }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/project-id/locations/location/certificateAuthorities/ca-id/certificates/certificate-id", "pemCertificate": "-----BEGIN CERTIFICATE-----...", "certificateDescription": {...} }
Demander un certificat à l'aide d'une clé générée automatiquement
Console
Vous pouvez utiliser la console Google Cloud pour générer des certificats TLS côté client ou serveur.
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur Demander un certificat.
Sélectionnez une région. La région doit être identique à celle du pool d'autorités de certification que vous prévoyez d'utiliser.
Sélectionnez un pool d'autorités de certification.
Cliquez sur Saisir les détails manuellement. Les détails du certificat s'affichent.
Facultatif: Remplacez le nom du certificat généré automatiquement par un nom personnalisé un nom unique.
Facultatif: Pour choisir une période de validité personnalisée pour le certificat, saisissez la valeur du champ Valide pour.
Ajouter un nom de domaine
- Sous Ajouter un nom de domaine, saisissez un nom de domaine dans le champ Nom de domaine 1. .
- Facultatif: Si vous souhaitez ajouter plusieurs noms de domaine, cliquez sur Ajouter , puis saisissez un autre nom de domaine dans le champ Nom de domaine 2.
Utilisation étendue des clés
Facultatif: Sous Utilisation étendue de la clé, sélectionnez l'une des options suivantes en fonction de votre cas d'utilisation:
- TLS client: ces certificats vous permettent d'authentifier l'identité un demandeur.
- TLS du serveur: ces certificats vous permettent d'authentifier l'identité d'un serveur.
Cliquez sur Suivant.
Configurer l'algorithme et la taille de clé
- Facultatif: Sous Configurer la taille et l'algorithme de la clé, sélectionnez l'option de signature la taille de clé et l'algorithme de la liste. Si vous ignorez cette étape, RSASSA-PSS utilise une clé de 2 048 bits avec un condensé SHA 256. Pour plus d'informations sur la sélection d'une clé de signature et d'un algorithme, consultez Choisir un algorithme de clé.
- Cliquez sur Générer un certificat.
Télécharger le certificat signé
- Pour voir le certificat généré, cliquez sur Afficher le certificat, puis sur Afficher.
- Facultatif: Pour télécharger la chaîne de certificats encodée au format PEM, cliquez sur Télécharger la chaîne de certificats
Facultatif: Pour télécharger la clé privée encodée au format PEM qui est associée, cliquez sur Téléchargez la clé privée.
gcloud
Pour utiliser la fonctionnalité de clé générée automatiquement, vous devez installer le package Python bibliothèque de l'autorité de chiffrement (PyCA). Pour savoir comment installer la bibliothèque de cryptographie Pyca, consultez Inclure la bibliothèque de cryptographie Pyca.
Pour créer un certificat, utilisez la commande gcloud
suivante:
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--generate-key \
--key-output-file KEY_FILENAME \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "CERTIFICATE_PROFILE"
Remplacez les éléments suivants :
- POOL_ID: nom du pool d'autorités de certification.
- KEY_FILENAME: chemin d'accès à l'emplacement du fichier de clé privée doit être écrit.
- CERT_FILENAME: chemin d'accès où la valeur le fichier de chaîne de certificats doit être écrit. La chaîne de certificats est ordonné de l'entité de fin à la racine.
- DNS_NAME: un ou plusieurs noms d'objet DNS (SAN) séparés par une virgule.
- CERTIFICATE_PROFILE: identifiant unique du
le profil de certificat.
Par exemple, utilisez
leaf_server_tls
pour le protocole TLS du serveur d'entité de fin.
La commande gcloud
mentionne les options suivantes:
--generate-key
: génère une nouvelle clé privée RSA-2048 sur votre machine.
Vous pouvez également utiliser n'importe quelle combinaison des options suivantes:
--dns-san
: permet de transmettre un ou plusieurs SAN DNS séparés par une virgule.--ip-san
: permet de transmettre un ou plusieurs réseaux IP SAN séparés par une virgule.--uri-san
: permet de transmettre un ou plusieurs URI SAN séparés par une virgule.--subject
: permet de transmettre un nom X.501 du certificat. l'objet.
Pour plus d'informations sur la commande gcloud privateca certificates create
, consultez la page sur la commande gcloud privateca certificate create.
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Demander un certificat à l'aide d'une clé Cloud KMS existante
Vous ne pouvez utiliser la Google Cloud CLI que pour demander des certificats à l'aide d'une clé Cloud KMS.
gcloud
Pour créer un certificat TLS du serveur d'entité finale à l'aide d'une clé Cloud KMS, exécutez la commande suivante:
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "leaf_server_tls"
Remplacez les éléments suivants :
- POOL_ID: nom du pool d'autorités de certification.
- PROJECT_ID : ID du projet
- LOCATION_ID: emplacement du trousseau de clés
- KEY_RING: nom du trousseau de clés dans lequel la clé se trouve.
- KEY : nom de la clé.
- KEY_VERSION: version de la clé.
- CERT_FILENAME: chemin d'accès au fichier encodé au format PEM de la chaîne de certificats. Le fichier de chaîne de certificats est trié par entité de fin à la racine.
- DNS_NAME: réseaux SAN DNS séparés par une virgule.
Émettre un certificat à partir d'une autorité de certification spécifique dans un pool d'autorités de certification
Cette section explique comment émettre des certificats à partir d'une autorité de certification spécifique dans un pool d'autorités de certification.
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur Demander un certificat.
Sélectionnez une région. La région doit être identique à celle du pool d'autorités de certification que vous prévoyez d'utiliser.
Sélectionnez un pool d'autorités de certification.
Pour choisir une autorité de certification, cliquez sur Utiliser une autorité de certification spécifique de ce pool d'autorités de certification, puis sélectionnez une autorité de certification de la liste.
Sélectionnez d'autres paramètres comme vous l'avez fait dans la section Demander un certificat à l'aide d'une clé générée automatiquement ou Demander un certificat à l'aide d'une requête de signature de certificat. .
gcloud
Pour cibler une autorité de certification spécifique dans le pool d'autorités de certification en vue de l'émission du certificat, ajoutez le
l'option --ca
avec le CA_ID de l'autorité de certification qui doit émettre le certificat ;
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--ca CA_ID \
--generate-key \
--key-output-file KEY_FILENAME \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "leaf_server_tls"
Terraform
Demander un certificat en mode validation
Demander un certificat en mode validation crée un test non signé certificat. Ce certificat de test n'est pas encodé au format PEM et n'entraîne aucuns frais. Bien que vous ne puissiez pas télécharger le certificat, la description du certificat fictif vous permet de vérifier que vous pouvez émettre un certificat signé avec le certificat paramètres.
Pour demander un certificat en mode validation, procédez comme suit:
Console
Accédez à la page Certificate Authority Service de la console Google Cloud.
Cliquez sur Demander un certificat.
Sélectionnez Utiliser le mode validation pour une description de certificat fictif au lieu d'un certificat signé.
Suivez la même procédure que pour demander un certificat signé.
Étape suivante
- En savoir plus sur les profils de certificat
- Découvrez comment révoquer des certificats.
- Découvrez comment trier et filtrer les certificats.
- Découvrez comment gérer les certificats à l'aide de la Google Cloud CLI.