Meminta sertifikat
Halaman ini menjelaskan cara membuat permintaan sertifikat di Certificate Authority Service.
Anda dapat meminta sertifikat menggunakan metode berikut:
- Buat kunci pribadi atau publik Anda sendiri dan kirimkan Permintaan Penandatanganan Sertifikat (CSR).
- Gunakan kunci pribadi atau publik yang dibuat otomatis oleh Layanan CA.
- Menggunakan kunci Cloud Key Management Service (Cloud KMS) yang ada.
Sebelum memulai
Untuk mendapatkan izin yang diperlukan guna menerbitkan sertifikat, minta administrator untuk memberi Anda peran IAM CA Service Certificate Requester (
roles/privateca.certificateRequester
) atau CA Service Certificate Manager (roles/privateca.certificateManager
).Untuk mengetahui informasi selengkapnya tentang peran IAM bawaan untuk Layanan CA, lihat Kontrol akses dengan IAM.
Untuk mengetahui informasi tentang cara memberikan peran IAM kepada akun utama, lihat Memberikan satu peran.
Meminta sertifikat menggunakan CSR
Untuk mendapatkan sertifikat, Anda membuat CSR, yang kemudian digunakan untuk meminta sertifikat.
Membuat CSR
Untuk petunjuk mendetail tentang cara membuat CSR menggunakan OpenSSL, lihat Cara membuat CSR dengan OpenSSL. Anda juga dapat menggunakan contoh file konfigurasi berikut sebagai referensi saat membuat CSR.
Untuk menggunakan contoh file konfigurasi, ikuti langkah-langkah berikut:
Buat file konfigurasi bernama
csr.cnf
menggunakan konfigurasi berikut.cat << EOF > csr.cnf [req] distinguished_name = req_distinguished_name req_extensions = v3_req prompt = no [req_distinguished_name] CN = example.com [v3_req] keyUsage = critical, digitalSignature, keyEncipherment extendedKeyUsage = serverAuth subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = www.example.com EOF
Contoh ini menghasilkan kunci RSA 2048-bit (diekripsi dengan frasa sandi) dan CSR yang sesuai yang berisi hal berikut:
- atribut
commonName
di DN subjek - ekstensi
subjectAlternativeName
- ekstensi
keyUsage
(ditandai sebagai penting) - ekstensi
extendedKeyUsage
Ubah parameter sesuai kebutuhan. Untuk menggunakan format file konfigurasi
x509v3_config
guna menentukan ekstensi untuk sertifikat X.509 dan CSR, lihat dokumentasi OpenSSL.- atribut
Jalankan perintah
openssl
berikut untuk membuat CSR dan kunci pribadi yang sesuai:openssl req -newkey rsa:2048 -out csr.pem -keyout key.pem -config csr.cnf
Perintah ini akan menghasilkan file berikut:
csr.pem
: CSR Anda, siap dikirim ke CAkey.pem
: kunci pribadi Anda, yang harus Anda jaga keamanannya
Gunakan file
csr.pem
dalam permintaan sertifikat Anda.
Mengirim permintaan sertifikat menggunakan CSR
Untuk meminta sertifikat menggunakan CSR, ikuti langkah-langkah berikut:
Konsol
Buka halaman Certificate Authority Service di konsol Google Cloud .
Klik Minta sertifikat.
Pilih wilayah. Region harus sama dengan region kumpulan CA yang ingin Anda gunakan.
Pilih kumpulan CA.
Opsional: Pilih CA tertentu dari kumpulan CA. Perhatikan bahwa saat memilih CA tertentu untuk penerbitan sertifikat, Anda akan membuat dependensi pada CA tersebut, sehingga lebih sulit untuk memutar CA.
Opsional: Pilih template sertifikat. Jika Anda menggunakan template sertifikat, pastikan kebijakan template sertifikat tidak bertentangan dengan kebijakan kumpulan CA yang dipilih.
Klik Berikan Permintaan Penandatanganan Sertifikat (CSR), lalu klik Berikutnya. Detail sertifikat akan ditampilkan.
Opsional: Untuk menimpa nama sertifikat yang dibuat secara otomatis, masukkan nama kustom di kolom Nama sertifikat. Setelah sertifikat dibuat, Anda tidak dapat menghapus atau menggunakan kembali nama sertifikat.
Opsional: Untuk memilih periode validitas kustom untuk sertifikat, masukkan nilai di kolom Valid for.
Salin dan tempel CSR Anda di kotak Certificate CSR. Jika Anda ingin mengupload file yang berisi CSR, klik Cari, lalu pilih file Anda.
Klik Buat sertifikat.
Mendownload sertifikat yang ditandatangani
- Untuk melihat sertifikat yang dibuat, klik Lihat sertifikat, lalu klik Lihat.
- Untuk menyalin sertifikat, klik
.crt
, klik Download certificate.
.
Untuk mendownload sertifikat dalam bentuk file - Opsional: Untuk mendownload rantai sertifikat, klik Download certificate chain.
gcloud
gcloud privateca certificates create CERT_ID \
--issuer-pool POOL_ID \
--csr CSR_FILENAME \
--cert-output-file CERT_FILENAME \
--validity "P30D"
Ganti kode berikut:
- CERT_ID: ID unik sertifikat.
- POOL_ID: Nama kumpulan CA.
- CSR_FILENAME: File yang menyimpan CSR yang dienkode PEM.
Flag --validity
menentukan durasi sertifikat yang valid. Ini adalah flag opsional yang nilai defaultnya adalah 30 hari.
Untuk informasi selengkapnya tentang perintah gcloud privateca certificates create
, lihat gcloud privateca certificates create.
Terraform
REST API
Buat Permintaan Pendaftaran Sertifikat (CSR) menggunakan metode pilihan Anda, seperti
openssl
.Berikut adalah contoh CSR yang dienkode untuk JSON.
-----BEGIN CERTIFICATE REQUEST-----\nMIIChTCCAW0CAQAwQDELMAkGA1UEBhMCVVMxCzAJBgNVBAgMAkNBMQ8wDQYDVQQK\nDAZKb29uaXgxEzARBgNVBAMMCmpvb25peC5uZXQwggEiMA0GCSqGSIb3DQEBAQUA\nA4IBDwAwggEKAoIBAQCnyy+5vcRQUBPqAse3ojmWjyUvhcJK6eLRXpp0teEUF5kg\nHb2ov8gYXb9sSim5fnvs09dGYDKibSrL4Siy7lA/NzMzWtKwyQQeLIQq/cLUJVcd\ndItJ0VRcqr+UPkTCii2vrdcocNDChHM1J8chDdl6DkpYieSTqZwlPcWlQBGAINmT\nT3Q0ZarIVM5l74j13WPuToGrhbVOIZXWxWqJjlHbBA8B/VKtSRCzM1qG60y8Pu2f\n6c78Dfg8+CGRzGwnz8aFS0Yf9czT9luNHSadS/RHjvE9FPZCsinz+6mJlXRcphi1\nKaHsDbstUAhse1h5E9Biyr9SFYRHxY7qRv9aSJ/dAgMBAAGgADANBgkqhkiG9w0B\nAQsFAAOCAQEAZz+I9ff1Rf3lTewXRUpA7nr5HVO1ojCR93Pf27tI/hvNH7z7GwnS\noScoJlClxeRqABOCnfmVoRChullb/KmER4BZ/lF0GQpEtbqbjgjkEDpVlBKCb0+L\nHE9psplIz6H9nfFS3Ouoiodk902vrMEh0LyDYNQuqFoyCZuuepUlK3NmtmkexlgT\n0pJg/5FV0iaQ+GiFXSZhTC3drfiM/wDnXGiqpbW9WmebSij5O+3BNYXKBUgqmT3r\nbryFydNq4qSOIbnN/MNb4UoKno3ve7mnGk9lIDf9UMPvhl+bT7C3OLQLGadJroME\npYnKLoZUvRwEdtZpbNL9QhCAm2QiJ6w+6g==\n-----END CERTIFICATE REQUEST-----
Minta sertifikat.
Metode HTTP dan URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates?certificate_id=CERTIFICATE_ID
Meminta isi JSON:
{ "lifetime": { "seconds": 3600, "nanos": 0 }, "pem_csr": "PEM_CSR" }
Untuk mengirim permintaan Anda, perluas salah satu opsi berikut:
Anda akan melihat respons JSON seperti berikut:
{ "name": "projects/project-id/locations/location/certificateAuthorities/ca-id/certificates/certificate-id", "pemCertificate": "-----BEGIN CERTIFICATE-----...", "certificateDescription": {...} }
Meminta sertifikat menggunakan kunci yang dibuat secara otomatis
Konsol
Anda dapat menggunakan konsol Google Cloud untuk membuat sertifikat TLS klien atau server.
Buka halaman Certificate Authority Service di konsol Google Cloud .
Klik Minta sertifikat.
Pilih wilayah. Region harus sama dengan region kumpulan CA yang ingin Anda gunakan.
Pilih kumpulan CA.
Klik Masukkan detail secara manual. Detail sertifikat akan ditampilkan.
Opsional: Ganti Nama sertifikat yang dibuat otomatis dengan nama kustom yang unik.
Opsional: Untuk memilih periode validitas kustom untuk sertifikat, masukkan nilai di kolom Valid for.
Menambahkan nama domain
- Di bagian Tambahkan nama domain, masukkan nama domain di kolom Nama domain 1.
- Opsional: Jika Anda ingin menambahkan lebih dari satu nama domain, klik Tambahkan item, lalu masukkan nama domain lain di kolom Domain name 2.
Penggunaan kunci yang diperpanjang
Opsional: Di bagian Extended key usage, pilih antara opsi berikut berdasarkan kasus penggunaan Anda:
- TLS Klien: Sertifikat ini memungkinkan Anda mengautentikasi identitas peminta.
- TLS Server: Sertifikat ini memungkinkan Anda mengautentikasi identitas server.
Klik Berikutnya.
Mengonfigurasi ukuran dan algoritma kunci
- Opsional: Di bagian Configure key size and algorithm, pilih ukuran dan algoritma kunci tanda tangan dari daftar. Jika Anda melewati langkah ini, kunci RSASSA-PSS 2048 bit dengan ringkasan SHA 256 akan digunakan. Untuk informasi cara memilih kunci dan algoritma penandatanganan, lihat Memilih algoritma kunci.
- Klik Buat sertifikat.
Mendownload sertifikat yang ditandatangani
- Untuk melihat sertifikat yang dihasilkan, klik Lihat sertifikat, lalu klik Lihat.
- Opsional: Untuk mendownload rantai sertifikat berenkode PEM, klik Download rantai sertifikat.
Opsional: Untuk mendownload kunci pribadi berenkode PEM yang terkait, klik Download kunci pribadi.
gcloud
Untuk menggunakan fitur kunci yang dibuat otomatis, Anda harus menginstal library Python Cryptographic Authority (PyCA). Untuk petunjuk tentang cara menginstal library kriptografi Pyca, lihat Menyertakan library kriptografi Pyca.
Untuk membuat sertifikat, gunakan perintah gcloud
berikut:
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--generate-key \
--key-output-file KEY_FILENAME \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "CERTIFICATE_PROFILE"
Ganti kode berikut:
- POOL_ID: Nama kumpulan CA.
- KEY_FILENAME: Jalur tempat file kunci pribadi yang dihasilkan harus ditulis.
- CERT_FILENAME: Jalur tempat file rantai sertifikat yang dienkode PEM harus ditulis. Rantai sertifikat diurutkan dari entitas akhir ke root.
- DNS_NAME: Satu atau beberapa nama alternatif subjek (SAN) DNS yang dipisahkan koma.
- CERTIFICATE_PROFILE: ID unik
profil sertifikat.
Misalnya, gunakan
leaf_server_tls
untuk TLS server entitas akhir.
Perintah gcloud
menyebutkan flag berikut:
--generate-key
: Membuat kunci pribadi RSA-2048 baru di komputer Anda.
Anda juga dapat menggunakan kombinasi flag berikut:
--dns-san
: Memungkinkan Anda meneruskan satu atau beberapa SAN DNS yang dipisahkan koma.--ip-san
: Memungkinkan Anda meneruskan satu atau beberapa SAN IP yang dipisahkan koma.--uri-san
: Memungkinkan Anda meneruskan satu atau beberapa SAN URI yang dipisahkan koma.--subject
: Memungkinkan Anda meneruskan nama X.501 subjek sertifikat.
Untuk informasi selengkapnya tentang perintah gcloud privateca certificates create
, lihat gcloud privateca certificates create.
Go
Untuk melakukan autentikasi ke Layanan CA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Java
Untuk melakukan autentikasi ke Layanan CA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Python
Untuk melakukan autentikasi ke Layanan CA, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal.
Meminta sertifikat menggunakan kunci Cloud KMS yang ada
Anda hanya dapat menggunakan Google Cloud CLI untuk meminta sertifikat menggunakan kunci Cloud KMS.
gcloud
Untuk menggunakan kunci Cloud KMS guna membuat sertifikat TLS server entitas akhir, jalankan perintah berikut:
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "leaf_server_tls"
Ganti kode berikut:
- POOL_ID: Nama kumpulan CA.
- PROJECT_ID: Project ID.
- LOCATION_ID: Lokasi key ring.
- KEY_RING: Nama key ring tempat kunci berada.
- KEY: Nama kunci.
- KEY_VERSION: Versi kunci.
- CERT_FILENAME: Jalur file rantai sertifikat yang dienkode PEM. File rantai sertifikat diurutkan dari entitas akhir ke root.
- DNS_NAME: SAN DNS yang dipisahkan koma.
Menerbitkan sertifikat dari CA tertentu dalam kumpulan CA
Bagian ini menjelaskan cara menerbitkan sertifikat dari CA tertentu dalam kumpulan CA.
Konsol
Buka halaman Certificate Authority Service di konsol Google Cloud .
Klik Minta sertifikat.
Pilih wilayah. Region harus sama dengan region kumpulan CA yang ingin Anda gunakan.
Pilih kumpulan CA.
Untuk memilih CA, klik Gunakan CA tertentu dari kumpulan CA ini, lalu pilih CA dari daftar.
Pilih parameter lain seperti yang Anda lakukan di bagian Meminta sertifikat menggunakan Kunci yang dibuat secara otomatis atau bagian Meminta sertifikat menggunakan CSR.
gcloud
Untuk menargetkan CA tertentu dalam kumpulan CA untuk penerbitan sertifikat, tambahkan
tanda --ca
dengan CA_ID CA yang harus menerbitkan sertifikat.
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--ca CA_ID \
--generate-key \
--key-output-file KEY_FILENAME \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "leaf_server_tls"
Terraform
Meminta sertifikat dalam mode validasi
Meminta sertifikat dalam mode validasi akan membuat sertifikat pengujian yang tidak ditandatangani. Sertifikat pengujian ini tidak dienkode PEM dan tidak dikenai biaya. Meskipun Anda tidak dapat mendownload sertifikat, deskripsi sertifikat hipotetis memungkinkan Anda mengonfirmasi bahwa Anda berhasil menerbitkan sertifikat yang ditandatangani dengan parameter yang dipilih.
Untuk meminta sertifikat dalam mode validasi, ikuti langkah-langkah berikut:
Konsol
Buka halaman Certificate Authority Service di konsol Google Cloud .
Klik Minta sertifikat.
Pilih Gunakan mode validasi untuk deskripsi sertifikat hipotetis, bukan sertifikat yang ditandatangani.
Ikuti langkah-langkah yang sama seperti yang Anda lakukan untuk meminta sertifikat yang ditandatangani.
Langkah selanjutnya
- Pelajari profil sertifikat.
- Pelajari cara membatalkan sertifikat.
- Pelajari cara mengurutkan dan memfilter sertifikat.
- Pelajari cara mengelola sertifikat menggunakan Google Cloud CLI.