Anleitung: Richtliniensteuerungen verwalten

In dieser Anleitung erfahren Sie, wie Sie Richtliniensteuerungen für Ressourcen des Certificate Authority Service implementieren.

Lernziele

In diesem Leitfaden erfahren Sie, wie Sie einen freigegebenen CA-Pool (Zertifizierungsstelle) für die Ausstellung von DNS-Zertifikaten mit den folgenden Richtliniensteuerungen konfigurieren:

• Der Nutzer prod-dns-requester kann TLS-Zertifikate für Endentitätsserver für die Domain *.prod.example.com anfordern.
• Nutzer test-dns-requester kann TLS-Zertifikate für Endentitätsserver für die Domain *.test.example.com anfordern.
• Der Nutzer blank-check-requester kann vom CA-Pool jede Art von Zertifikat anfordern.

In dieser Anleitung werden die Richtlinie für die Zertifikatausstellung eines CA-Pools, Zertifikatsvorlagen und bedingte IAM-Bindungen verwendet, um dieses Szenario zu erreichen.

Hinweise

• Weitere Informationen zu den Richtliniensteuerungen
• Weitere Informationen zum Erstellen von Zertifikatsvorlagen
• Weitere Informationen zu Zertifikatsprofilen, die Sie für verschiedene Szenarien der Zertifikatsausstellung verwenden können
• Lesen Sie, wie Sie mit der Common Expression Language (CEL) verschiedene Richtlinienkontrollen für die Zertifikatausstellung erzwingen können.
• Weitere Informationen zur Verwendung einer Zertifikatsausstellungsrichtlinie
• Weitere Informationen zum Konfigurieren, Ändern und Entfernen von IAM-Richtlinien für das Erstellen und Verwalten von CA Service-Ressourcen

CA-Pool erstellen

Folgen Sie der Anleitung unten, um einen CA-Pool zu erstellen:

1. Verwenden Sie den folgenden gcloud-Befehl, um einen CA-Pool zu erstellen, der die Datei issuance-policy.yaml verwendet:

   gcloud

   gcloud privateca pools create POOL_NAME \
       --tier=ENTERPRISE
   

   Wobei:

   • Mit dem Flag --tier wird die Stufe des Zertifizierungsstellenpools angegeben. Weitere Informationen zu Stufen finden Sie unter Stufen für die Ausführung auswählen.

2. Verwenden Sie den folgenden gcloud-Befehl, um eine Zertifizierungsstelle mit von Google verwalteten Ressourcen im neu erstellten CA-Pool zu erstellen:

   gcloud

   gcloud privateca roots create CA_NAME \
      --pool=POOL_NAME \
      --subject="CN=Example DNS Root, O=Example LLC, C=US" \
      --validity="10Y" \
      --max-chain-length=1 \
      --auto-enable
   

   Wobei:

   • POOL_NAME ist die eindeutige Kennung des CA-Pools.
   • Mit dem Flag --subject wird der Name des Zertifikatsinhabers übergeben.
   • Das Flag --validity bestimmt die Gültigkeitsdauer der Zertifizierungsstelle. Die Standardgültigkeitsdauer beträgt 10 Jahre.
   • Das Flag --max-chain-length gibt die maximale Tiefe der untergeordneten Zertifizierungsstellen an, die für eine Zertifizierungsstelle zulässig sind.
   • Mit dem Flag --auto-enable wird die Zertifizierungsstelle im Status ENABLED statt im Status STAGED erstellt. Weitere Informationen zu CA-Status finden Sie unter CA-Status.

Richtliniensteuerungen für Testzertifikate konfigurieren

Die Änderungen an den Richtlinien für die Ausstellung treten sofort in Kraft. Wir empfehlen, die Einstellungen für Testrichtlinien zu konfigurieren, bevor Sie sie für die Produktion verwenden. In diesem Abschnitt wird beschrieben, wie Sie Steuerelemente für Testrichtlinien konfigurieren.

Sowohl für die Test- als auch für die Produktions-DNS-Vorlage müssen Sie dieselben vordefinierten Werte für Server-TLS-Zertifikate verwenden. Erstellen Sie eine YAML-Datei leaf_server_tls_predefined_values.yaml und kopieren Sie die folgende TLS-Konfiguration für Endentitätsserver in die Datei.

  keyUsage:
    baseKeyUsage:
      digitalSignature: true
      keyEncipherment: true
    extendedKeyUsage:
      serverAuth: true
  caOptions:
    isCa: false

Richtliniensteuerung für Test-DNS-Zertifikate konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Richtliniensteuerungen festlegen, damit der Nutzer test-dns-requester Endentitäts-Server-TLS-Zertifikate für DNS in der Domain *.test.example.com anfordern kann.

DNS-Zertifikatsvorlage für Testzertifikate erstellen

In diesem Abschnitt wird beschrieben, wie Sie eine Zertifikatvorlage erstellen, die die TLS-Konfiguration für Endentitätsserver enthält. Mit dieser Zertifikatvorlage werden Zertifikate auf die Verwendung von DNS-SANs in der Domain *.test.example.com beschränkt. Diese Einschränkungen werden mit einem Common Expression Language-Ausdruck (CEL) implementiert. Die Zertifikatsvorlage löscht auch alle in der Zertifikatsanfrage angegebenen Antragsteller.

1. Verwenden Sie den folgenden gcloud-Befehl, um die Zertifikatvorlage zu erstellen, die die TLS-Erweiterungen des Endentitätsservers enthält, alle in der Zertifikatanfrage angegebenen subject entfernt und zulässige SANs einschränkt.

   gcloud

   gcloud privateca templates create test-server-tls-template \
     --predefined-values-file  ./leaf_server_tls_predefined_values.yaml \
     --no-copy-subject \
     --copy-sans \
     --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.test.example.com'))"
   

   Wobei:

   • Mit dem Flag --predefined-values-file wird eine YAML-Datei übergeben, die alle vordefinierten X.509-Werte beschreibt, die in der Zertifikatsvorlage festgelegt sind.
   • Mit dem Flag --no-copy-subject werden alle vom Anrufer angegebenen Antragsteller aus der Zertifikatsanfrage entfernt.
   • Das Flag --copy sans sorgt dafür, dass die SAN-Erweiterung aus der Zertifikatsanfrage in das signierte Zertifikat kopiert wird.
   • Mit dem Flag --identity-cel-expression wird ein CEL-Ausdruck übergeben, der vor der Ausstellung mit der Identität im Zertifikat verglichen wird. Weitere Informationen zur Verwendung von CEL-Ausdrücken zum Implementieren verschiedener Richtliniensteuerungen finden Sie unter CEL verwenden.

   Weitere Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

IAM-Bindungen für DNS-Testzertifikate erstellen

Wenn Sie dem Nutzer test-dns-requester@ im DNS-CA-Pool erlauben möchten, TLS-Zertifikate für Testserver anzufordern, erstellen Sie eine bedingte IAM-Bindung für den CA-Pool. Gewähren Sie dem Nutzer test-dns-requester@ nur dann die Rolle privateca.certificateRequester, wenn die Zertifikatsanfrage einen Verweis auf die Vorlage test-server-tls-template enthält. Weitere Informationen zu IAM-Rollen und -Berechtigungen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.

1. Erstellen Sie eine YAML-Richtliniendatei test_dns_condition.yaml und kopieren Sie die folgende TLS-Konfiguration in die Datei.

   title: test DNS binding
   description: allows user to only create DNS test certificates
   expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/test-server-tls-template"
   

   Der in der IAM-Bedingung angegebene Vorlagenname muss mit dem Vorlagennamen in der Zertifikatsanfrage übereinstimmen. Wenn Sie also im privateca.googleapis.com/template-Attribut des CEL-Ausdrucks eine Projekt-ID angeben, müssen Sie auch beim Anfordern des Zertifikats eine Projekt-ID angeben. Wenn Sie im CEL-Ausdruck eine Projektnummer angeben, müssen Sie auch in der Zertifikatsanfrage eine Projektnummer angeben.

2. Mit dem folgenden gcloud-Befehl können Sie Richtliniensteuerungen hinzufügen, die es test-dns-requester@ ermöglichen, nur Produktions-Test-TLS-Zertifikate vom CA-Pool anzufordern.

   gcloud

   gcloud privateca pools add-iam-policy-binding POOL_NAME \
       --role='roles/privateca.certificateRequester' \
       --member='user:test-dns-requester@' \
       --condition-from-file=./test_dns_condition.yaml
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.
   • Mit dem Flag condition-from-file wird der Name der Datei mit der CEL-Bedingung übergeben.

3. Verwenden Sie den folgenden gcloud, um Richtliniensteuerungen hinzuzufügen, die es test-dns-requester@ ermöglichen, die Zertifikatvorlage „test-server-tls-template“ zu verwenden.

   gcloud

   gcloud privateca templates add-iam-policy-binding test-server-tls-template \
       --role='roles/privateca.templateUser' \
       --member='user:test-dns-requester@'
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.

   Weitere Informationen zum Konfigurieren von IAM-Richtlinien finden Sie unter IAM-Richtlinien konfigurieren.

Richtliniensteuerung für Produktionszertifikate konfigurieren

Nachdem Sie die Richtliniensteuerungen getestet haben, können Sie sie in Ihrer Produktionsumgebung verwenden.

Richtliniensteuerung für Produktions-DNS-Zertifikate konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Richtliniensteuerungen festlegen, damit der Nutzer prod-dns-requester TLS-Zertifikate für Endentitäten für die DNS-Domain .prod.example.com anfordern kann.

Zertifikatsvorlage für Produktions-DNS-Zertifikate erstellen

Folgen Sie der folgenden Anleitung, um eine Zertifikatvorlage mit der TLS-Konfiguration für Endentitätsserver zu erstellen. Mit dieser Zertifikatvorlage werden Zertifikate auf die Verwendung von DNS-SANs in der Domain *.prod.example.com beschränkt. Diese Einschränkungen werden mit einem Common Expression Language-Ausdruck (CEL) implementiert. Die Zertifikatsvorlage löscht auch alle in der Zertifikatsanfrage angegebenen Antragsteller.

Erstellen Sie mit dem folgenden Befehl eine Zertifikatvorlage prod-server-tls-template.gcloud

  gcloud privateca templates create prod-server-tls-template \
    --predefined-values-file ./leaf_server_tls_predefined_values.yaml \
    --no-copy-subject \
    --copy-sans \
    --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.prod.example.com'))"

Weitere Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

Weitere Informationen zum Befehl gcloud privateca templates create finden Sie unter gcloud privateca templates create.

IAM-Bindung für Produktions-DNS erstellen

Damit der Nutzer prod-dns-requester@ im DNS-CA-Pool TLS-Zertifikate für Produktionsserver anfordern kann, erstellen Sie eine bedingte IAM-Bindung für den CA-Pool. Weisen Sie dem Nutzer prod-dns-requester@ nur dann die Rolle privateca.certificateRequester zu, wenn die Zertifikatsanfrage einen Verweis auf die Vorlage prod-server-tls-template enthält. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.

1. Erstellen Sie eine YAML-Richtliniendatei prod_dns_condition.yaml und kopieren Sie die folgende TLS-Konfiguration in die Datei.

   title: Production DNS binding
   description: allows user to only create DNS production certificates
   expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/prod-server-tls-template"
   

2. Mit dem folgenden gcloud-Befehl können Sie Richtliniensteuerungen hinzufügen, die es prod-dns-requester@ ermöglichen, nur Produktionsserver-TLS-Zertifikate vom CA-Pool anzufordern.

   gcloud

   gcloud privateca pools add-iam-policy-binding POOL_NAME \
       --role='roles/privateca.certificateRequester' \
       --member='user:prod-dns-requester@' \
       --condition-from-file=./prod_dns_condition.yaml
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.
   • Mit dem Flag condition-from-file wird der Name der Datei mit der CEL-Bedingung übergeben.

   Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca pools add-iam-policy-binding.

3. Wenn Sie Richtliniensteuerungen hinzufügen möchten, die es prod-dns-requester@ ermöglichen, die Zertifikatvorlage „prod-server-tls-template“ zu verwenden, verwenden Sie den folgenden gcloud-Befehl:

   gcloud

   gcloud privateca templates add-iam-policy-binding prod-server-tls-template \
       --role='roles/privateca.templateUser' \
       --member='user:prod-dns-requester@'
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für den CA-Dienst finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.

Steuerungen für uneingeschränkte Nutzerrichtlinien

Wenn Sie dem Nutzer blank-check-requester@ erlauben möchten, ohne Einschränkungen ein Zertifikat anzufordern, erstellen Sie eine IAM-Bindung ohne Bedingungen, die dem Nutzer die Rolle privateca.certificateRequester zuweist.

gcloud privateca pools add-iam-policy-binding POOL_NAME \
  --role='roles/privateca.certificateRequester' \
  --member='user:blank-check-requester@example.com'

Richtlinienkontrollen testen

Nachdem Sie die Richtlinien für die Zertifikatsausstellung und IAM implementiert haben, sollten Sie diese Richtlinien überprüfen und testen, um sicherzustellen, dass sie wie erwartet funktionieren.

Alle Richtlinienbindungen abrufen

Rufen Sie alle IAM-Richtlinien ab, die in Ihrem CA-Pool implementiert sind. Verwenden Sie den Befehl gcloud privateca pools get-iam-policy, um alle IAM-Richtlinien für den CA-Pool abzurufen:

gcloud privateca pools get-iam-policy POOL_NAME

Weitere Informationen zum Befehl gcloud privateca pools get-iam-policy finden Sie unter gcloud privateca pools get-iam-policy.

Zertifikate generieren

In diesem Abschnitt finden Sie Informationen zum Generieren von allgemeinen Zertifikaten sowie Test- und Produktions-DNS-Zertifikaten.

Test-DNS-Zertifikate generieren

Wenn Sie dem Nutzer test-dns-requester@ erlauben möchten, Test-DNS-Zertifikate vom CA-Pool anzufordern, verwenden Sie den folgenden gcloud-Befehl:

gcloud privateca certificates create test-dns-1 \
    --project=PROJECT_ID \
    --issuer-location=LOCATION \
    --issuer-pool=POOL_NAME \
    --dns-san=foo.bar.test.example.com \
    --generate-key \
    --key-output-file=KEY_FILE_NAME \
    --cert-output-file=test_dns_cert.pem \
    --template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/test-server-tls-template

Produktionszertifikate generieren

Der Nutzer prod-dns-requester kann jetzt Produktions-DNS-Zertifikate vom CA-Pool anfordern. Mit dem --dns-san=foo.bar.prod.example.com wird der Zertifikatsanfrage ein SAN vom Typ „DNS“ mit dem angegebenen Wert hinzugefügt.

gcloud privateca certificates create prod-dns-1 \
    --project=PROJECT_ID \
    --issuer-location=LOCATION \
    --issuer-pool=POOL_NAME \
    --dns-san=foo.bar.prod.example.com \
    --generate-key \
    --key-output-file=KEY_FILE_NAME \
    --cert-output-file=prod_dns_cert.pem \
    --template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/prod-server-tls-template

Allgemeine Zertifikate generieren

Der Nutzer blank-check-requester@ kann mit dem Befehl gcloud privateca certificates create ein beliebiges Zertifikat aus dem CA-Pool anfordern.

Wenn Sie ein Zertifikat von einem CA-Pool anfordern möchten, können Sie einen öffentlichen/privaten Schlüssel verwenden, der von CA Service erstellt wurde. Weitere Informationen zum Anfordern von Zertifikaten finden Sie unter Zertifikat anfordern und ausgestelltes Zertifikat ansehen.

Bereinigen

In diesem Abschnitt wird beschrieben, wie Sie IAM-Richtlinien über einen CA-Pool entfernen.

Bestimmte IAM-Bindung entfernen

Verwenden Sie den folgenden gcloud-Befehl, um die IAM-Bedingten Bindungen über den CA-Pool für den Nutzer blank-check-requester zu entfernen:

gcloud privateca pools remove-iam-policy-binding POOL_NAME \
    --role='roles/privateca.certificateRequester' \
    --member='user:blank-check-requester@'

Wenn Sie eine bestimmte IAM-Bindung entfernen möchten, müssen Sie im Befehl gcloud privateca pools remove-iam-policy-binding alle zugehörigen Informationen angeben. Eine Rolle und ein Mitglied können mehrere IAM-Bindungen mit unterschiedlichen Bedingungen haben. Es ist wichtig, dass Sie alle Details zur IAM-Bindung angeben, um zu vermeiden, dass versehentlich eine andere Bindung gelöscht wird.

Weitere Informationen zum Befehl gcloud privateca pools remove-iam-policy-binding finden Sie unter gcloud privateca pools remove-iam-policy-binding.

Alle IAM-Bedingten Bindungen entfernen

Mit dem Befehl gcloud privateca pools remove-iam-policy-binding können Sie eine IAM-Bindung entfernen. Wenn Sie eine IAM-Bedingte Bindung entfernen, müssen Sie alle Informationen zur Bindung angeben. Ein Nutzer und eine Rolle können mehrere bedingte Bindungen haben. Wenn Sie alle bedingten Bindungen entfernen möchten, verwenden Sie das Flag --all im Befehl gcloud.

Verwenden Sie den folgenden gcloud-Befehl, um alle Bindungen für den Nutzer prod-code-signing-requester zu entfernen.

gcloud privateca pools remove-iam-policy-binding POOL_NAME \
    --role='roles/privateca.certificateRequester' \
    --member='user:prod-code-signing-requester@' \
    --all