Gérer les configurations de confiance

Cette page explique comment créer et gérer des configurations de confiance à utiliser de manière mutuelle d'authentification TLS (mTLS).

Pour en savoir plus, consultez les ressources suivantes :

• Pour en savoir plus sur les configurations de confiance, les ancres de confiance et les certificats, consultez la section Configurations de confiance dans Fonctionnement du gestionnaire de certificats.

• Pour en savoir plus sur l'authentification mTLS, consultez Authentification TLS mutuelle. dans la documentation Cloud Load Balancing.

• Pour utiliser une configuration de confiance afin de configurer mTLS sur votre proxy cible, consultez l'un des pages suivantes de la documentation Cloud Load Balancing:

  • Configurer un protocole TLS mutuel avec des certificats signés
  • Configurer un protocole TLS mutuel avec une autorité de certification privée

Les instructions gcloud de cette page partent du principe que vous utilisez Cloud Shell ou un autre environnement avec bash installé. Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez les Documentation de référence de la CLI du gestionnaire de certificats.

Créer une configuration de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez la section Rôles et autorisations.

Pour créer une configuration de confiance, procédez comme suit:

1. Créez un fichier YAML de configuration de confiance qui spécifie les paramètres de configuration de confiance. Le fichier a le format suivant:

   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID: un identifiant unique qui l'identifie ressource de configuration de confiance.
   • CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD: le fichier PEM complet charge utile du certificat intermédiaire à utiliser pour cette configuration de confiance ressource. Cette valeur est facultative.

   • ALLOWLISTED_CERT1 et ALLOWLISTED_CERT2: les certificats ajoutés à un à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.

     Vous pouvez spécifier plusieurs ancres de confiance et certificats intermédiaires en en utilisant plusieurs instances du champ pemCertificate, un certificat par instance, dans leurs sections respectives de la ressource de configuration de confiance spécifique.

     Un certificat ajouté à une liste d'autorisation représente tout certificat qui peut être encapsulée dans la configuration de confiance afin qu'elle soit toujours considérée comme valide. Pour encapsuler plusieurs certificats dans une liste d'autorisation dans le configuration de confiance, utilisez plusieurs instances du champ pemCertificate, une par instance. Vous n'avez pas besoin d'un magasin de confiance de certificats qui sont ajoutés à une liste d'autorisation. Un certificat qui est ajouté à une liste d'autorisation est toujours considérée comme valide tant que le certificat analysable, la preuve de la possession d'une clé privée est établie et les contraintes dans le champ SAN du certificat sont remplis. Les certificats expirés sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus, sur le format encodé au format PEM, consultez RFC 7468

2. Importez le fichier de configuration de confiance dans le gestionnaire de certificats:

   gcloud

   Exécutez la commande gcloud certificate-manager trust-configs import :

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID: un identifiant unique qui l'identifie ressource de configuration de confiance.
   • PROJECT_ID: ID du projet Google Cloud cible.
   • TRUST_CONFIG_FILE: chemin d'accès complet et nom du fichier YAML de configuration de confiance que vous avez créé à l'étape 1.
   • LOCATION: région dans laquelle la ressource de configuration de confiance sont stockées. L'emplacement par défaut est global.

   API

   Envoyez une requête POST à la méthode trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Remplacez les éléments suivants :

   • PROJECT_ID: ID du projet Google Cloud cible.
   • LOCATION: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.
   • TRUST_CONFIG_ID: un identifiant unique qui l'identifie ressource de configuration de confiance.
   • DESCRIPTION: description pertinente pour cette ressource de configuration de confiance. Cette valeur est facultative.
   • CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD: le fichier PEM complet charge utile du certificat intermédiaire à utiliser pour cette configuration de confiance ressource. Cette valeur est facultative.
   • ALLOWLISTED_CERT: le certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est (facultatif).

Mettre à jour une configuration de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez Rôles et autorisations

Pour mettre à jour une configuration de confiance, procédez comme suit:

1. Créer un fichier YAML de configuration de confiance mis à jour qui spécifie la nouvelle approbation paramètres de configuration. Le fichier a le format suivant:

   name: "TRUST_CONFIG_ID"
   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID: un identifiant unique qui l'identifie ressource de configuration de confiance.
   • CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD: le fichier PEM complet charge utile du certificat intermédiaire à utiliser pour cette configuration de confiance ressource. Cette valeur est facultative.
   • ALLOWLISTED_CERT1 et ALLOWLISTED_CERT2: les certificats ajoutés à un à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.

2. Importer le nouveau fichier de configuration de confiance dans le gestionnaire de certificats par le nom de ressource de configuration de confiance existant:

   gcloud

   Exécutez la commande gcloud certificate-manager trust-configs import :

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID: ID de l'approbation cible ressource de configuration.
   • PROJECT_ID: ID du projet Google Cloud cible.
   • TRUST_CONFIG_FILE: chemin d'accès complet et nom du fichier de configuration de confiance mis à jour.
   • LOCATION: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.

   API

   Envoyez une requête PATCH à la méthode trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Remplacez les éléments suivants :

   • PROJECT_ID: ID du projet Google Cloud cible.
   • LOCATION: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.
   • TRUST_CONFIG_ID: ID de la configuration de confiance cible ressource.
   • DESCRIPTION: description pertinente de ce ressource de configuration de confiance. Cette description est facultative.
   • CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD: l'état Charge utile PEM du certificat intermédiaire à utiliser pour cette configuration de confiance ressource de configuration. Cette valeur est facultative.
   • ALLOWLISTED_CERT: le certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est (facultatif).

Lister les configurations de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

• Lecteur du gestionnaire de certificats (roles/certificatemanager.viewer)
• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez Rôles et autorisations

Pour répertorier les configurations de confiance configurées, procédez comme suit.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Afficher les configurations de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:

• Lecteur du gestionnaire de certificats (roles/certificatemanager.viewer)
• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez Rôles et autorisations

Pour afficher une configuration de confiance, procédez comme suit :

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Supprimer une configuration de confiance

Pour effectuer cette tâche, vous devez disposer du rôle Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner) sur le projet Google Cloud cible.

Pour en savoir plus, consultez Rôles et autorisations

Pour supprimer une configuration de confiance, procédez comme suit :

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Étape suivante

• Gérer les certificats
• Gérer les mappages de certificats
• Gérer les entrées de mappage de certificats
• Gérer les autorisations DNS
• Gérer les configurations d'émission de certificats