Solicitar um certificado e conferir os certificados emitidos
Neste tópico, descrevemos como solicitar um certificado do Certificate Authority Service e ver os certificados emitidos.
Antes de começar
Verifique se você tem o papel do IAM de Solicitante de certificado de serviço de CA
(roles/privateca.certificateRequester
) ou de Gerenciador de certificados
de serviço de CA (roles/privateca.certificateManager
). Para mais informações sobre os papéis de IAM predefinidos para o serviço de CA, consulte Controle de acesso com o IAM.
Para informações sobre como conceder um papel do IAM a um principal, consulte Conceder um único papel.
Visão geral
É possível solicitar um certificado usando os seguintes métodos:
- Gere sua própria chave privada ou pública e envie uma solicitação de assinatura de certificado (CSR, na sigla em inglês).
- Peça para o serviço de CA criar uma chave privada ou pública para você.
- Usar uma chave atual do Cloud Key Management Service (Cloud KMS).
Solicitar certificado usando uma CSR
Antes de continuar, você precisa gerar uma CSR. Depois de gerar uma CSR, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Acessar o Certificate Authority Service (em inglês)
Clique na guia CA Manager.
Clique no nome da CA da qual você quer emitir.
Na parte de baixo da página de detalhes da CA, clique em Solicitar um certificado.
Opcional: se você quiser usar um modelo de certificado, clique em , selecione um modelo na lista e clique em Salvar.
Clique em Fornecer CSR.
Opcional: para substituir o nome do certificado gerado automaticamente, insira o nome personalizado no campo Nome do certificado.
Opcional: para escolher um período de validade personalizado para o certificado, insira o valor no campo Válido para.
Copie e cole a CSR na caixa Certificate CSR. Para fazer upload da CSR, clique em Procurar.
Clique em Próxima.
Fazer o download do certificado assinado
- Para copiar o certificado, clique em
.crt
, clique em Fazer o download do certificado.
.
Para fazer o download do certificado na forma de um arquivo - Opcional: para fazer o download da cadeia de certificados, clique em Fazer o download da cadeia de certificados.
- Clique em Concluído.
gcloud
gcloud privateca certificates create CERT_ID \
--issuer-pool POOL_ID \
--csr CSR_FILENAME \
--cert-output-file CERT_FILENAME \
--validity "P30D"
Substitua:
- CERT_ID: o identificador exclusivo do certificado.
- POOL_ID: o nome do pool de ACs.
- CSR_FILENAME: o arquivo que armazena a CSR codificada em PEM.
A sinalização --validity
define o período de validade do certificado. Trata-se de uma sinalização opcional cujo valor padrão é 30 dias.
Para mais informações sobre o comando gcloud privateca certificates create
, consulte gcloud privatecacertificate create.
Terraform
API REST
Gere uma solicitação de assinatura de certificado (CSR, na sigla em inglês) usando seu método preferido, como
openssl
.Veja a seguir um exemplo de CSR codificado para JSON.
-----BEGIN CERTIFICATE REQUEST-----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\npYnKLoZUvRwEdtZpbNL9QhCAm2QiJ6w+6g==\n-----END CERTIFICATE REQUEST-----
Solicitar um certificado.
Método HTTP e URL:
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools/POOL_ID/certificates?certificate_id=CERTIFICATE_ID
Corpo JSON da solicitação:
{ "lifetime": { "seconds": 3600, "nanos": 0 }, "pem_csr": "PEM_CSR" }
Para enviar a solicitação, expanda uma destas opções:
Você receberá uma resposta JSON semelhante a esta:
{ "name": "projects/project-id/locations/location/certificateAuthorities/ca-id/certificates/certificate-id", "pemCertificate": "-----BEGIN CERTIFICATE-----...", "certificateDescription": {...} }
Solicitar certificado usando uma chave gerada automaticamente
Console
É possível usar o console do Google Cloud para gerar certificados TLS de cliente ou servidor.
No console do Google Cloud, acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Clique na guia CA Manager.
Clique no nome da CA da qual você quer emitir.
Na parte inferior da página de detalhes Autoridade de certificação, clique em Solicitar um certificado.
Opcional: se você quiser usar um modelo de certificado, clique em , selecione um modelo na lista e clique em Salvar.
Clique em Inserir detalhes.
Opcional: substitua o Nome do certificado gerado automaticamente por um nome personalizado exclusivo.
Opcional: para escolher um período de validade personalizado para o certificado, insira o valor no campo Válido para.
Adicionar nome de domínio
- Em Adicionar nome de domínio, digite um nome de domínio no campo Nome de domínio 1.
- Opcional: para adicionar mais de um nome de domínio, clique em Adicionar item e digite outro nome de domínio no campo Nome de domínio 2.
Uso estendido de chave
Opcional: em Uso estendido de chave, selecione uma das opções a seguir com base no seu caso de uso:
- TLS do servidor: esses certificados permitem autenticar a identidade de um servidor.
- TLS do cliente: esses certificados permitem autenticar a identidade de um solicitante.
Clique em Próxima.
Configurar o tamanho e o algoritmo da chave
- Opcional: em Configurar o tamanho e o algoritmo da chave, selecione o tamanho e o algoritmo da chave de assinatura na lista. Se você pular essa etapa, será usada a chave RSASSA-PSS de 2.048 bits com um resumo SHA 256. Para saber mais sobre como selecionar uma chave de assinatura e um algoritmo, consulte Escolher um algoritmo de chave.
- Clique em Continuar.
Fazer o download do certificado assinado
- Opcional: para fazer o download da cadeia de certificados codificadas em PEM, clique em Fazer o download da cadeia de certificados.
Opcional: para fazer o download da chave privada codificada em PEM associada, clique em Fazer o download da chave privada.
Clique em Concluído.
gcloud
Para usar o recurso de chave gerada automaticamente, instale a biblioteca Python Cryptographic Authority (PyCA). Para instruções sobre como instalar a biblioteca de criptografia Pyca, consulte Como incluir a biblioteca de criptografia Pyca.
Para criar um certificado, use o seguinte comando gcloud
:
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--generate-key \
--key-output-file KEY_FILENAME \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "CERTIFICATE_PROFILE"
Substitua:
- POOL_ID: o nome do pool de ACs.
- KEY_FILENAME: o caminho em que o arquivo de chave privada gerado precisa ser gravado.
- CERT_FILENAME: o caminho em que o arquivo de cadeia de certificados codificado em PEM precisa ser gravado. A cadeia de certificados é ordenada da entidade final para a raiz.
- DNS_NAME: um ou mais nomes alternativos do assunto DNS (SANs, na sigla em inglês) separados por vírgulas.
- CERTIFICATE_PROFILE: o identificador exclusivo do
perfil de certificado.
Por exemplo, use
leaf_server_tls
para o TLS do servidor da entidade final.
O comando gcloud
menciona as seguintes sinalizações:
--generate-key
: gera uma nova chave privada RSA-2048 na sua máquina.
Também é possível usar qualquer combinação das seguintes sinalizações:
--dns-san
: permite transmitir um ou mais SANs DNS separadas por vírgulas.--ip-san
: permite transmitir um ou mais SANs IP separados por vírgulas.--uri-san
: permite transmitir um ou mais SANs de URI separados por vírgulas.--subject
: permite transmitir um nome X.501 do assunto do certificado.
Para mais informações sobre o comando gcloud privateca certificates create
, consulte gcloud privatecacertificate create.
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Solicitar certificado usando uma chave do Cloud KMS
Para usar uma chave do Cloud KMS a fim de criar um certificado TLS do servidor de entidade final, execute o seguinte comando:
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--kms-key-version projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY/cryptoKeyVersions/KEY_VERSION \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "leaf_server_tls"
Substitua:
- POOL_ID: o nome do pool de ACs.
- PROJECT_ID: o ID do projeto.
- LOCATION_ID: a localização do keyring.
- KEY_RING: o nome do keyring em que a chave está localizada.
- KEY: o nome da chave.
- KEY_VERSION: a versão da chave.
- CERT_FILENAME: o caminho do arquivo de cadeia de certificados codificado em PEM. O arquivo da cadeia de certificados é ordenado da entidade final para a raiz.
- DNS_NAME: SANs DNS separadas por vírgulas.
Como executar operações comuns com certificados
Nesta seção, descrevemos como executar determinadas operações comuns com certificados.
Emitir um certificado de uma AC específica em um pool de ACs
gcloud
Para segmentar uma AC específica no pool de ACs para a emissão de certificados, adicione a sinalização --ca
com o CA_ID da AC que precisa emitir o certificado.
gcloud privateca certificates create \
--issuer-pool POOL_ID \
--ca CA_ID \
--generate-key \
--key-output-file KEY_FILENAME \
--cert-output-file CERT_FILENAME \
--dns-san "DNS_NAME" \
--use-preset-profile "leaf_server_tls"
Console
O console do Google Cloud só oferece suporte à emissão de certificados por uma determinada CA. Siga as instruções na seção Solicitar certificado usando uma chave gerada automaticamente ou Solicitar certificado usando uma CSR para escolher a CA que precisa emitir o certificado.
Terraform
Ver certificados emitidos
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Clique na guia CA manager.
Na página Autoridades de certificação, clique no nome da CA.
Na parte inferior da página de detalhes Autoridade de certificação, clique em Ver certificados emitidos para ver a lista de certificados emitidos pela CA.
Os certificados ficam na página Todos os certificados. Os detalhes incluem o status do certificado, a CA emissora, o pool de CAs que contém a CA, a data de validade do certificado e muito mais.
gcloud
Para listar todos os certificados emitidos por uma determinada CA em um pool de CAs, use o seguinte comando gcloud
:
gcloud privateca certificates list --issuer-pool ISSUER_POOL --ca CA_NAME
Para mais informações sobre o comando gcloud privateca certificates list
, consulte gcloud privatecacertificate list.
Para listar todos os certificados de todas as CAs em um determinado local, use o seguinte comando gcloud
:
gcloud privateca certificates list --location LOCATION
Go
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no serviço de CA, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Mais detalhes de um único certificado
Console
No console do Google Cloud, acesse a página Certificate Authority Service.
Acessar o Certificate Authority Service (em inglês)
Escolha a CA desejada na guia CA Manager.
Clique no nome da CA.
Na parte inferior da página de detalhes Autoridade de certificação, clique em Ver certificados emitidos para consultar a lista de certificados emitidos.
Clique em
na coluna Ações do certificado que você quer transferir por download.Em Fazer o download, clique em Certificado. Para fazer o download da cadeia de certificados, clique em Cadeia de certificados.
gcloud
Para ver a descrição completa de um certificado, execute o seguinte comando:
gcloud privateca certificates describe CERT_NAME \
--issuer-pool POOL_ID
Para mais informações sobre o comando gcloud privateca certificates describe
, consulte gcloud privateca Certificates describe.
Para exportar a cadeia de certificados X.509 codificada em PEM e para um arquivo, execute o seguinte comando:
gcloud privateca certificates export CERT_NAME \
--issuer-pool POOL_ID \
--include-chain \
--output-file certificate-file
Para mais informações sobre o comando gcloud privateca certificates export
, consulte gcloud privatecacertificate export.
Comprovante de posse de certificados
O comprovante de posse da chave privada garante que o solicitante do certificado tenha essa chave. O CA Service verifica o comprovante de posse somente se o solicitante fornecer um CSR PKCS #10 de acordo com a RFC 2986. A prova de posse para outras formas de solicitações de certificado, como solicitações de CertificateConfig, não é aplicada.
Os aplicativos clientes que aceitam certificados são responsáveis por validar se o titular do certificado tem a chave privada desse certificado. Aplicar verificações de comprovação de posse durante a emissão do certificado é uma forma de defesa profunda para proteger contra clientes que se comportam mal. A existência desses clientes, mesmo que a CA verifique a posse deles, pode constituir uma vulnerabilidade de segurança.
A seguir
- Saiba mais sobre perfis de certificado.
- Saiba como revogar certificados.
- Saiba como classificar e filtrar certificados.
- Saiba como gerenciar certificados usando a Google Cloud CLI.