Questa pagina è stata tradotta dall'API Cloud Translation.

Usa un linguaggio comune di espressione

In questa pagina viene descritto come utilizzare il linguaggio CEL (Common Expression Language) con i criteri di emissione dei certificati, i modelli di certificato e le condizioni IAM (Identity and Access Management) nel pool di CA.

Panoramica

Common Expression Language (CEL) è un linguaggio open source non completo di Turing che implementa la semantica comune per la valutazione delle espressioni. Il servizio Certificate Authority supporta CEL per applicare vari controlli dei criteri per l'emissione dei certificati.

Esistono due dialetti CEL che possono essere utilizzati con il servizio CA:

Un dialetto flessibile che può essere utilizzato nei criteri di emissione dei certificati e nei modelli di certificati di un pool di CA.
Un dialetto più limitato che può essere utilizzato nelle condizioni IAM.

Dialetto CEL per i criteri di emissione dei certificati e i modelli di certificato

Quando crei un pool di CA o un modello di certificato, puoi specificare un'espressione CEL come parte dei vincoli di identità del certificato. L'espressione CEL consente di convalidare i campi Subject e Subject Alternative Name (SAN).

Per ulteriori informazioni sui criteri di emissione, vedi Aggiungere un criterio di emissione dei certificati a un pool di CA.

Per ulteriori informazioni sui modelli di certificato, consulta Panoramica dei modelli di certificato e delle norme di emissione.

Il dialetto CEL per i vincoli di identità dei pool di CA e dei modelli di certificato espone le seguenti variabili per l'accesso e la convalida dei campi soggetto e SAN:

Oggetto: subject
SAN: subject_alt_names

Oggetto

Puoi convalidare tutti i campi del nome di dominio del soggetto di un certificato (incluso il nome comune), come specificato nella richiesta del certificato, utilizzando una variabile di tipo Subject e nome subject.

Subject è una struttura che contiene i seguenti campi:

Tipo	Nome
`String`	common_name
`String`	country_code
`String`	organizzazione
`String`	organizational_unit
`String`	località
`String`	provincia
`String`	street_address
`String`	postal_code

Nomi alternativi del soggetto (SAN)

Puoi convalidare tutte le SAN come specificato nella richiesta di certificato utilizzando la variabile subject_alt_names. La variabile subject_alt_names contiene un elenco di strutture SAN, in cui ogni SAN è di tipo SubjectAltName.

SubjectAltName è una struttura che contiene i seguenti campi:

Tipo	Nome
`String`	valore
`[]Int32`	oid
`Enum`	tipo

Per il tipo SubjectAltName puoi utilizzare i seguenti valori:

DNS
URI
EMAIL
IP_ADDRESS
CUSTOM

La variabile subject_alt_names contiene un elenco con tutte le SAN richieste.

Puoi utilizzare le seguenti macro sui SAN:

subject_alt_names.all(san, predicate)
subject_alt_names.exists(san, predicate)
subject_alt_names.exists_one(san, predicate)
subject_alt_names.filter(san, predicate)

Per ulteriori informazioni sulle macro, consulta Definizione della lingua: macro.

Espressioni di esempio

Garantire un nome comune specifico e un insieme di paesi

subject.common_name == "google.com" && (subject.country_code == "US" || subject.country_code == "IR")

Verificare che tutti i nomi DNS terminino con una stringa personalizzata

subject_alt_names.all(san, san.type == DNS && san.value.endsWith(".test.com"))

Assicurarsi che tutte le SAN siano di tipo DNS o EMAIL

subject_alt_names.all(san, san.type == DNS || san.type == EMAIL )

Garantire un solo SAN personalizzato con un OID specifico

subject_alt_names.size() == 1 && subject_alt_names[0].oid == [1, 2, 3, 5, 17]

Assicurarsi che le SAN personalizzate siano solo un insieme di OID

subject_alt_names.all(san, san.oid == [1, 2, 4, 5, 55] || san.oid == [1, 2, 4, 5, 54])

Dialetto CEL per i criteri IAM

Utilizza le condizioni IAM per sottoporre le associazioni di ruoli IAM a un'espressione condizionale. Se la condizione restituisce true, l'associazione del ruolo IAM è effettiva, altrimenti viene ignorata. CA Service consente di aggiungere associazioni condizionali IAM a un pool di CA.

La condizione IAM è un'espressione CEL che fa riferimento a un insieme di attributi contestuali relativi alla richiesta e ha un valore booleano. Gli utenti impostano condizioni per le associazioni di ruoli in un criterio IAM che viene archiviato da IAM e valutato per verificare se l'operazione che sta per essere eseguita è consentita.

Per saperne di più sulle condizioni IAM, consulta Panoramica delle condizioni IAM.

I seguenti attributi vengono esposti durante la valutazione CEL delle condizioni IAM:

privateca.googleapis.com/subject

privateca.googleapis.com/subject è accessibile come api.getAttribute('privateca.googleapis.com/subject', {}).

Tipo	Descrizione
`map{string, string}`	Questo campo contiene il nome distinto del soggetto (incluso il nome comune) come specificato nella richiesta di certificato in arrivo. Esempio `{ 'common_name': 'Foobar', 'organization': 'Example LLC' 'country_code' :'US' 'organizational_unit':'Foobar' 'locality':'Mountain View' 'Province':'California' 'street_address':'Foobar 22' 'postal_code':55555 }`

privateca.googleapis.com/subject_alt_names

privateca.googleapis.com/subject_alt_names è accessibile come api.getAttribute('privateca.googleapis.com/subject_alt_names', []).

Tipo	Descrizione
`list{string}`	Questo campo contiene tutti i SAN richiesti come specificato nella richiesta di certificato in arrivo. A ogni SAN richiesta viene anteposto il relativo tipo. Le SAN di tipo sconosciuto hanno come prefisso l'OID serializzato del tipo. Esempio `{ 'dns:foo.bar.com', 'uri:spiffe://foo/ns/bar/sa/baz' 'email:foo@bar.com' 'ip:169.169.254.254' 'custom:1.2.3.4.5.6.3:foobar' }`

privateca.googleapis.com/template

privateca.googleapis.com/template è accessibile come api.getAttribute('privateca.googleapis.com/template', '').

Tipo	Descrizione
`String`	Il modello di certificato utilizzato, se presente. Il formato è `{project_id}/-/{template_id}`. Esempio: `my-project-pki/-/workload_tls`

Il nome del modello fornito nella condizione IAM deve corrispondere al nome del modello nella richiesta del certificato. Quindi, se fornisci un ID progetto nella privateca.googleapis.com/template dell'espressione CEL, devi e fornire un ID progetto quando richiedi il certificato. Se fornisci un numero di progetto nell'espressione CEL, devi fornire un numero di progetto anche nella richiesta del certificato.

Espressioni di esempio

Assicurati che per tutti i soggetti l'organizzazione sia impostata su "Esempio" e il codice paese su US o UK

api.getAttribute('privateca.googleapis.com/subject', {})['organization'] == 'Example' &&
api.getAttribute('privateca.googleapis.com/subject', {})['country_code'] in ['US', 'UK']

Assicurarsi che la richiesta di certificato includa solo le SAN DNS specificate

api.getAttribute('privateca.googleapis.com/subject_alt_names', [])
        .hasOnly(['dns:sample1.prod.example.com', 'dns:sample2.prod.example.com'])

Assicurarsi che tutti i certificati utilizzino un modello specifico

api.getAttribute('privateca.googleapis.com/template', '') == 'my-project-pki/-/leaf-server-tls'

Passaggi successivi

Leggi l'introduzione a CEL.
Scopri di più sulla definizione della lingua per CEL.
Scopri di più sui modelli di certificato e sui criteri di emissione.
Leggi la panoramica delle condizioni IAM.
Scopri come aggiungere un criterio di emissione dei certificati a un pool di CA.