Tutoriel: Gérer les contrôles des règles
Ce tutoriel explique comment implémenter des contrôles de stratégie sur les ressources Certificate Authority Service.
Objectifs
Ce tutoriel fournit des informations sur la configuration d'un pool d'autorités de certification (CA) partagé pour l'émission de certificats DNS à l'aide des contrôles de stratégie suivants:
- L'utilisateur
prod-dns-requester
peut demander des certificats TLS du serveur d'entités finales pour le domaine*.prod.example.com
. - L'utilisateur
test-dns-requester
peut demander des certificats TLS du serveur d'entités finales pour le domaine*.test.example.com
. - L'utilisateur
blank-check-requester
peut demander n'importe quel type de certificat au pool d'autorités de certification.
Pour réaliser ce scénario, ce tutoriel utilise la stratégie d'émission de certificats d'un pool d'autorités de certification, des modèles de certificat et des liaisons IAM conditionnelles.
Avant de commencer
- Découvrez les différents contrôles de règles proposés par CA Service.
- Découvrez comment créer des modèles de certificat.
- Découvrez les profils de certificat que vous pouvez utiliser pour différents scénarios d'émission de certificats.
- Découvrez comment utiliser le langage CEL (Common Expression Language) pour appliquer divers contrôles de règles pour l'émission de certificats.
- Découvrez comment utiliser une stratégie d'émission de certificats.
- Découvrez comment configurer, modifier et supprimer des stratégies IAM pour créer et gérer des ressources CA Service.
Créer un pool d'autorités de certification
Pour créer un pool d'autorités de certification, procédez comme suit:
Pour créer un pool d'autorités de certification qui utilise le fichier
issuance-policy.yaml
, exécutez la commandegcloud
suivante:gcloud
gcloud privateca pools create POOL_NAME \ --tier=ENTERPRISE
Où :
- L'option
--tier
permet de spécifier le niveau du pool d'autorités de certification. Pour en savoir plus sur les niveaux, consultez Sélectionner les niveaux d'opération.
- L'option
Pour créer une autorité de certification avec des ressources gérées par Google dans le nouveau pool d'autorités de certification, exécutez la commande
gcloud
suivante:gcloud
gcloud privateca roots create CA_NAME \ --pool=POOL_NAME \ --subject="CN=Example DNS Root, O=Example LLC, C=US" \ --validity="10Y" \ --max-chain-length=1 \ --auto-enable
Où :
- POOL_NAME est l'identifiant unique du pool d'autorités de certification.
- L'option
--subject
permet de transmettre le nom de l'objet du certificat. - L'option
--validity
détermine la période de validité de l'autorité de certification. La période de validité par défaut est de 10 ans. - L'option
--max-chain-length
détermine la profondeur maximale d'autorités de certification subordonnées autorisées sous une autorité de certification. - L'option
--auto-enable
crée l'autorité de certification à l'étatENABLED
, plutôt qu'à l'étatSTAGED
. Pour en savoir plus sur les états des autorités de certification, consultez la section États des autorités de certification.
Configurer des contrôles de règles pour les certificats de test
Les modifications apportées à la politique d'émission prennent effet immédiatement. Nous vous recommandons de configurer des contrôles de règles de test avant de les utiliser en production. Cette section explique comment configurer des contrôles de stratégie de test.
Pour les modèles DNS de test et de production, vous devez utiliser les mêmes valeurs prédéfinies pour les certificats TLS du serveur. Créez un fichier YAML leaf_server_tls_predefined_values.yaml
et copiez la configuration TLS du serveur d'entités de fin suivante dans le fichier.
keyUsage:
baseKeyUsage:
digitalSignature: true
keyEncipherment: true
extendedKeyUsage:
serverAuth: true
caOptions:
isCa: false
Configurer des contrôles de règles pour les certificats DNS de test
Cette section explique comment définir des règles permettant à l'utilisateur test-dns-requester
de demander des certificats TLS du serveur d'entités de fin pour le DNS dans le domaine *.test.example.com
.
Créer un modèle de certificat DNS pour les certificats de test
Cette section explique comment créer un modèle de certificat contenant la configuration TLS du serveur d'entités finales. Ce modèle de certificat limite les certificats à l'utilisation des SAN DNS sur le domaine *.test.example.com
. Ces restrictions sont implémentées à l'aide d'une expression CEL (Common Expression Language). Le modèle de certificat supprime également tout sujet spécifié dans la demande de certificat.
Utilisez la commande
gcloud
suivante pour créer le modèle de certificat qui contient les extensions TLS du serveur d'entités de fin, supprime tous lessubject
spécifiés dans la demande de certificat et limite les SAN autorisés.gcloud
gcloud privateca templates create test-server-tls-template \ --predefined-values-file ./leaf_server_tls_predefined_values.yaml \ --no-copy-subject \ --copy-sans \ --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.test.example.com'))"
Où :
- L'option
--predefined-values-file
permet de transmettre un fichier YAML décrivant les valeurs X.509 prédéfinies définies par le modèle de certificat. - L'option
--no-copy-subject
supprime tous les objets spécifiés par l'appelant de la demande de certificat. - L'option
--copy sans
garantit que l'extension SAN de la demande de certificat est copiée dans le certificat signé. - L'option
--identity-cel-expression
permet de transmettre une expression CEL qui est évaluée par rapport à l'identité du certificat avant son émission. Si vous souhaitez en savoir plus sur l'utilisation d'expressions CEL pour mettre en œuvre diverses commandes de stratégie, consultez Utiliser CEL.
Pour en savoir plus sur la création de modèles de certificat, consultez Créer un modèle de certificat.
- L'option
Créer des liaisons IAM pour les certificats de test DNS
Pour autoriser l'utilisateur test-dns-requester@
du pool d'autorités de certification DNS à demander des certificats TLS du serveur de test, créez une liaison IAM conditionnelle au niveau du pool d'autorités de certification. Accordez le rôle privateca.certificateRequester
à l'utilisateur test-dns-requester@
uniquement si la demande de certificat contient une référence au modèle test-server-tls-template
. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM.
Créez un fichier YAML de stratégie
test_dns_condition.yaml
et copiez la configuration TLS suivante dans le fichier.title: test DNS binding description: allows user to only create DNS test certificates expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/test-server-tls-template"
Le nom du modèle fourni dans la condition IAM doit correspondre au nom du modèle de la demande de certificat. Ainsi, si vous indiquez un ID de projet dans l'attribut
privateca.googleapis.com/template
de l'expression CEL, vous devez également spécifier un ID de projet lorsque vous demandez le certificat. Si vous fournissez un numéro de projet dans l'expression CEL, vous devez également fournir un numéro de projet dans la requête de certificat.Utilisez la commande
gcloud
suivante pour ajouter des règles permettant àtest-dns-requester@
de ne demander que des certificats TLS de test de production au pool d'autorités de certification.gcloud
gcloud privateca pools add-iam-policy-binding POOL_NAME \ --role='roles/privateca.certificateRequester' \ --member='user:test-dns-requester@' \ --condition-from-file=./test_dns_condition.yaml
Où :
- L'option
--role
permet de transmettre le nom du rôle à attribuer à un membre. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - L'option
--member
permet de transmettre le membre pour lequel ajouter la liaison. - L'option
condition-from-file
permet de transmettre le nom du fichier avec la condition CEL.
- L'option
Utilisez le
gcloud
suivant pour ajouter des contrôles de règle qui permettent àtest-dns-requester@
d'utiliser le modèle de certificat "test-server-tls-template".gcloud
gcloud privateca templates add-iam-policy-binding test-server-tls-template \ --role='roles/privateca.templateUser' \ --member='user:test-dns-requester@'
Où :
- L'option
--role
permet de transmettre le nom du rôle à attribuer à un membre. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - L'option
--member
permet de transmettre le membre pour lequel ajouter la liaison.
Pour en savoir plus sur la configuration des stratégies IAM, consultez la page Configurer des stratégies IAM.
- L'option
Configurer des contrôles de règles pour les certificats de production
Une fois que vous avez testé ces contrôles de stratégies, vous pouvez les utiliser dans votre environnement de production.
Configurer des contrôles de règles pour les certificats DNS de production
Cette section explique comment définir des règles pour autoriser l'utilisateur prod-dns-requester
à demander des certificats TLS d'entité finale pour le domaine DNS .prod.example.com
.
Créer un modèle de certificat pour les certificats DNS de production
Suivez les instructions ci-dessous pour créer un modèle de certificat contenant la configuration TLS du serveur d'entités de fin. Ce modèle de certificat limite les certificats à l'utilisation des SAN DNS sur le domaine *.prod.example.com
. Ces restrictions sont implémentées à l'aide d'une expression CEL (Common Expression Language). Le modèle de certificat supprime également tout sujet spécifié dans la demande de certificat.
Créez un modèle de certificat prod-server-tls-template
à l'aide de la commande gcloud
suivante.
gcloud
gcloud privateca templates create prod-server-tls-template \
--predefined-values-file ./leaf_server_tls_predefined_values.yaml \
--no-copy-subject \
--copy-sans \
--identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.prod.example.com'))"
Où :
- L'option
--predefined-values-file
permet de transmettre un fichier YAML décrivant les valeurs X.509 prédéfinies définies par le modèle de certificat. - L'option
--no-copy-subject
supprime tous les objets spécifiés par l'appelant de la demande de certificat. - L'option
--copy sans
garantit que l'extension SAN de la demande de certificat est copiée dans le certificat signé. - L'option
--identity-cel-expression
permet de transmettre une expression CEL qui est évaluée par rapport à l'identité du certificat avant son émission. Pour en savoir plus sur les expressions CEL, consultez la section Utiliser des expressions CEL.
Pour en savoir plus sur la création de modèles de certificat, consultez Créer un modèle de certificat.
Pour en savoir plus sur la commande gcloud privateca templates create
, consultez la page gcloud privatecamodels create.
Créer une liaison IAM de DNS de production
Pour autoriser l'utilisateur prod-dns-requester@
du pool d'autorités de certification DNS à demander des certificats TLS du serveur de production, créez une liaison IAM conditionnelle au niveau du pool d'autorités de certification. Attribuez le rôle privateca.certificateRequester
à l'utilisateur prod-dns-requester@
uniquement si la demande de certificat contient une référence au modèle prod-server-tls-template
. Pour en savoir plus sur les rôles et les autorisations IAM, consultez la page Contrôle des accès avec IAM.
Créez un fichier YAML de stratégie
prod_dns_condition.yaml
et copiez la configuration TLS suivante dans le fichier.title: Production DNS binding description: allows user to only create DNS production certificates expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/prod-server-tls-template"
Utilisez la commande
gcloud
suivante pour ajouter des règles permettant àprod-dns-requester@
de ne demander que les certificats TLS du serveur de production au pool d'autorités de certification.gcloud
gcloud privateca pools add-iam-policy-binding POOL_NAME \ --role='roles/privateca.certificateRequester' \ --member='user:prod-dns-requester@' \ --condition-from-file=./prod_dns_condition.yaml
Où :
- L'option
--role
permet de transmettre le nom du rôle à attribuer à un membre. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - L'option
--member
permet de transmettre le membre pour lequel ajouter la liaison. - L'option
condition-from-file
permet de transmettre le nom du fichier avec la condition CEL.
Pour en savoir plus sur la commande
gcloud privateca pools add-iam-policy-binding
, consultez la section gcloud privateca pools add-iam-policy-binding.- L'option
Pour ajouter des contrôles de stratégie qui autorisent
prod-dns-requester@
à utiliser le modèle de certificat "prod-server-tls-template", utilisez la commandegcloud
suivante:gcloud
gcloud privateca templates add-iam-policy-binding prod-server-tls-template \ --role='roles/privateca.templateUser' \ --member='user:prod-dns-requester@'
Où :
- L'option
--role
permet de transmettre le nom du rôle à attribuer à un membre. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - L'option
--member
permet de transmettre le membre pour lequel ajouter la liaison.
- L'option
Contrôles des règles relatives aux utilisateurs sans restriction
Pour permettre à l'utilisateur blank-check-requester@
de demander n'importe quel certificat sans aucune restriction, créez une liaison IAM sans aucune condition accordant à l'utilisateur le rôle privateca.certificateRequester
.
gcloud
gcloud privateca pools add-iam-policy-binding POOL_NAME \
--role='roles/privateca.certificateRequester' \
--member='user:blank-check-requester@example.com'
Où :
- La valeur de l'option
--role
détermine le rôle attribué à l'utilisateur. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - La valeur de l'option
--member
détermine à quel utilisateur le rôle est attribué.
Tester les contrôles des règles
Une fois que vous avez implémenté l'émission de certificats et les stratégies IAM, il est important d'examiner et de tester ces stratégies pour vous assurer qu'elles fonctionnent comme prévu.
Récupérer toutes les liaisons de stratégie
Récupérez toutes les stratégies IAM mises en œuvre dans votre pool d'autorités de certification. Pour récupérer toutes les stratégies IAM du pool d'autorités de certification, utilisez la commande gcloud privateca pools get-iam-policy
:
gcloud
gcloud privateca pools get-iam-policy POOL_NAME
Où :
- POOL_NAME est l'identifiant unique du pool d'autorités de certification.
Pour en savoir plus sur la commande gcloud privateca pools get-iam-policy
, consultez la section gcloud privateca pools get-iam-policy.
Générer des certificats
Cette section fournit des informations sur la génération de certificats à usage général, et sur les certificats DNS de test et de production.
Générer des certificats DNS de test
Pour autoriser l'utilisateur test-dns-requester@
à demander des certificats DNS de test à partir du pool d'autorités de certification, utilisez la commande gcloud
suivante:
gcloud
gcloud privateca certificates create test-dns-1 \
--project=PROJECT_ID \
--issuer-location=LOCATION \
--issuer-pool=POOL_NAME \
--dns-san=foo.bar.test.example.com \
--generate-key \
--key-output-file=KEY_FILE_NAME \
--cert-output-file=test_dns_cert.pem \
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/test-server-tls-template
Où :
- L'option
--issuer-location
permet de définir l'emplacement du certificat. Pour obtenir la liste complète des zones, consultez la section Zones. - L'option
--issuer-pool
définit le pool d'autorités de certification à partir duquel le certificat est demandé. - L'option
--dns-san
permet de définir un ou plusieurs SAN DNS séparés par une virgule. - L'option
--generate-key
déclenche la génération d'une nouvelle clé privée RSA-2048 sur votre machine. - L'option
--key-output-file
permet de définir le chemin d'accès où la clé privée générée est écrite (au format PEM). - L'option
--cert-output-file
permet de définir le chemin d'accès au fichier de chaîne de certificats encodé au format PEM qui est généré (classé de l'entité de fin à la racine). - L'option
--template
permet de définir le nom du modèle de certificat que vous souhaitez utiliser pour émettre ce certificat. Le modèle spécifié doit se trouver au même emplacement que le pool d'autorités de certification émettrice. Pour en savoir plus sur les modèles de certificat, consultez la section Présentation des modèles de certificat et des règles d'émission.
Générer des certificats de production
L'utilisateur prod-dns-requester
peut désormais demander des certificats DNS de production à partir du pool d'autorités de certification. --dns-san=foo.bar.prod.example.com
ajoute à la requête de certificat un SAN de type DNS avec la valeur spécifiée.
gcloud
gcloud privateca certificates create prod-dns-1 \
--project=PROJECT_ID \
--issuer-location=LOCATION \
--issuer-pool=POOL_NAME \
--dns-san=foo.bar.prod.example.com \
--generate-key \
--key-output-file=KEY_FILE_NAME \
--cert-output-file=prod_dns_cert.pem \
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/prod-server-tls-template
Où :
- L'option
--issuer-location
permet de définir l'emplacement du certificat. Pour obtenir la liste complète des zones, consultez la section Zones. - L'option
--issuer-pool
définit le pool d'autorités de certification à partir duquel le certificat est demandé. - L'option
--dns-san
permet de définir un ou plusieurs SAN DNS séparés par une virgule. - L'option
--generate-key
déclenche la génération d'une nouvelle clé privée RSA-2048 sur votre machine. - L'option
--key-output-file
permet de définir le chemin d'accès où la clé privée générée est écrite (au format PEM). - L'option
--cert-output-file
permet de définir le chemin d'accès au fichier de chaîne de certificats encodé au format PEM qui est généré (classé de l'entité de fin à la racine). - L'option
--template
permet de définir le nom du modèle de certificat à utiliser pour émettre ce certificat. Le modèle spécifié doit se trouver au même emplacement que le pool d'autorités de certification émettrice. Pour en savoir plus sur les modèles de certificat, consultez la section Présentation des modèles de certificat et des règles d'émission.
Générer des certificats à usage général
L'utilisateur blank-check-requester@
peut demander n'importe quel certificat au pool d'autorités de certification à l'aide de la commande gcloud privateca certificates create
.
Pour demander un certificat auprès d'un pool d'autorités de certification, vous pouvez utiliser une clé publique/privée créée par CA Service. Pour en savoir plus sur la demande de certificats, consultez Demander un certificat et afficher le certificat émis.
Effectuer un nettoyage
Cette section explique comment supprimer des stratégies IAM applicables à un pool d'autorités de certification.
Supprimer une liaison IAM spécifique
Pour supprimer les liaisons conditionnelles IAM sur le pool d'autorités de certification pour l'utilisateur blank-check-requester
, utilisez la commande gcloud
suivante:
gcloud
gcloud privateca pools remove-iam-policy-binding POOL_NAME \
--role='roles/privateca.certificateRequester' \
--member='user:blank-check-requester@'
Où :
- La valeur de l'option
--role
détermine le rôle attribué à l'utilisateur. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - La valeur de l'option
--member
détermine à quel utilisateur le rôle est attribué.
Lorsque vous supprimez une liaison IAM spécifique, vous devez fournir toutes les informations la concernant dans la commande gcloud privateca pools remove-iam-policy-binding
. Un rôle et un membre peuvent avoir plusieurs liaisons IAM avec des conditions différentes. Il est important de fournir toutes les informations sur la liaison IAM pour éviter de supprimer accidentellement une autre liaison.
Pour plus d'informations sur la commande gcloud privateca pools remove-iam-policy-binding
, consultez la section gcloud privateca pools remove-iam-policy-binding.
Supprimer toutes les liaisons conditionnelles IAM
Pour supprimer une liaison IAM, vous pouvez utiliser la commande gcloud privateca pools remove-iam-policy-binding
. Lorsque vous supprimez une liaison conditionnelle IAM, vous devez fournir toutes les informations sur la liaison. Un utilisateur et un rôle peuvent avoir plusieurs liaisons conditionnelles. Pour supprimer toutes les liaisons conditionnelles, utilisez l'indicateur --all
dans votre commande gcloud
.
Exécutez la commande gcloud
suivante pour supprimer toutes les liaisons pour l'utilisateur prod-code-signing-requester
.
gcloud
gcloud privateca pools remove-iam-policy-binding POOL_NAME \
--role='roles/privateca.certificateRequester' \
--member='user:prod-code-signing-requester@' \
--all
Où :
- La valeur de l'option
--role
détermine le rôle attribué à l'utilisateur. Pour en savoir plus sur les rôles et les autorisations IAM pour CA Service, consultez la page Contrôle des accès avec IAM. - La valeur de l'option
--member
détermine à quel utilisateur le rôle est attribué.