本页面介绍了如何创建和管理用于相互通信的信任配置 TLS 身份验证 (mTLS) 场景。
如需了解详情,请参阅以下资源:
详细了解信任配置、信任锚和中间层 证书,请参阅信任配置 了解 Certificate Manager 的工作原理。
如需详细了解 mTLS,请参阅双向 TLS 身份验证 。
如需使用信任配置在目标代理上配置 mTLS,请参阅 Cloud 负载均衡文档中的以下某个页面:
本页中的 gcloud 说明假定您使用的是 Cloud Shell 或安装了 bash 的其他环境。如需详细了解本页中使用的 gcloud 命令,请参阅
Certificate Manager CLI 参考文档。
创建信任配置
若要完成此任务,您必须在目标 Google Cloud 项目中拥有以下角色之一:
- Certificate Manager Editor (
roles/certificatemanager.editor) - Certificate Manager Owner (
roles/certificatemanager.owner)
如需了解详情,请参阅角色和权限。
如需创建信任配置,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
在 Trust Configs 标签页上,点击 Add Trust Config。
在 Name 字段中,输入配置的名称。
该名称在项目中必须是唯一的。此外,名称必须以小写字母开头 后面最多可跟 62 个小写字母、数字或连字符, 不以连字符结尾。
可选:在说明字段中,输入配置的说明。此说明有助于您日后识别特定配置。
可选:在标签字段中,指定要与信任关联的标签 配置。如需添加标签,请点击 添加标签,然后为标签指定键和值。
对于位置,选择全球或区域级。
如果您选择了区域,则请选择区域。
在信任存储区部分,添加信任锚和中间 CA。
您可以通过为证书使用多个完整 PEM 载荷实例(每个实例一个证书)来指定多个信任锚点和中间证书。
- 在信任锚部分中,点击添加信任锚,然后上传 PEM 编码的证书文件,或复制证书内容。完成后,点击添加。
可选:在中间 CA 部分中,点击添加中间 CA,然后 上传 PEM 编码的中间证书文件,或复制中间证书的内容。完成后,点击添加。
通过此步骤,您可以在根证书和 您的服务器证书。
可选:在列入许可名单的证书部分,点击添加证书,然后上传 PEM 编码的证书文件,或复制证书内容。此操作会将该证书添加到许可名单中。完成后,点击添加。
添加到许可名单的证书代表任何证书 可以封装在信任配置中 视为有效。如需在信任配置中封装许可名单中的多个证书,请使用
pemCertificate字段的多个实例,每个实例添加到许可名单中一个证书。只要证书可解析、已建立私钥所有权证明并满足针对证书 SAN 字段的限制条件,已添加到许可名单的证书就会始终被视为有效。过期的证书在列入许可名单时也会被视为有效。如需详细了解 PEM 编码格式,请参阅 RFC 7468。
点击创建。
确认新的信任配置是否显示在配置列表中。
gcloud
创建一个指定信任配置参数的信任配置 YAML 文件。
该文件采用以下格式:
trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"替换以下内容:
CERTIFICATE_PEM_PAYLOAD:要用于此信任配置资源的证书的完整 PEM 载荷。INTER_CERT_PEM_PAYLOAD:完整的 PEM 用于此信任配置的中间证书的载荷 资源。此值是可选的。ALLOWLISTED_CERT1和ALLOWLISTED_CERT2:添加到 要用于此信任配置资源的许可名单。这个值是可选值。
您可以通过以下方式指定多个信任锚和中间证书 使用
pemCertificate字段的多个实例,一个证书 每个实例的信任配置资源各自的部分中 。添加到许可名单中的证书代表可封装在信任配置中以便始终被视为有效的任何证书。将多个证书封装在许可名单中 在信任配置中,使用
pemCertificate的多个实例 字段,添加到许可名单中的每个实例一个证书。答 添加到许可名单的证书始终被视为有效, 私钥所有权证明(只要证书可解析) 已建立,且对证书的 SAN 字段的限制为 符合。过期的证书在列入许可名单时也会被视为有效。如需详细了解 PEM 编码格式,请参阅 RFC 7468。如需导入信任配置 YAML 文件,请使用
gcloud certificate-manager trust-configs import命令:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
替换以下内容:
TRUST_CONFIG_ID:用于标识此信任配置资源的唯一 ID。PROJECT_ID:目标 Google Cloud 项目的 ID。TRUST_CONFIG_FILE:您在第 1 步中创建的信任配置 YAML 文件的完整路径和名称。LOCATION:信任配置资源所在的区域 。默认位置是global。
API
向 trustConfigs.create 方法发出 POST 请求:
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
"description": "DESCRIPTION",
"trust_stores": {
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
},
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
替换以下内容:
PROJECT_ID:目标 Google Cloud 项目的 ID。LOCATION:location 属性指定信任配置资源的存储区域。默认位置 为global。TRUST_CONFIG_ID:用于标识此信任配置资源的唯一 ID。DESCRIPTION:有意义的说明 。此值为可选值。CERTIFICATE_PEM_PAYLOAD:要用于此信任配置资源的证书的完整 PEM 载荷。INTER_CERT_PEM_PAYLOAD:要用于此信任配置资源的中间证书的完整 PEM 载荷。这个值是可选值。ALLOWLISTED_CERT:添加到 要用于此信任配置资源的许可名单。该值为 可选属性。
更新信任配置
若要完成此任务,您必须在目标 Google Cloud 项目中拥有以下角色之一:
- Certificate Manager Editor (
roles/certificatemanager.editor) - 证书管理器所有者 (
roles/certificatemanager.owner)
如需了解详情,请参阅 角色和权限。
如需更新信任配置,请完成以下步骤:
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
在 Trust Configs 标签页中,找到并选择要更新的信任配置。
在更多选项列中,点击 图标,然后选择修改。
进行必要的更改。
点击保存。
验证配置更改是否已更新。
gcloud
创建更新后的信任配置 YAML 文件,其中指定了新的信任配置参数。该文件采用以下格式:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"替换以下内容:
TRUST_CONFIG_ID:用于标识此信任配置资源的唯一 ID。CERTIFICATE_PEM_PAYLOAD:完整的 PEM 载荷 要用于此信任配置资源的证书。INTER_CERT_PEM_PAYLOAD:完整的 PEM 用于此信任配置的中间证书的载荷 资源。此值为可选值。ALLOWLISTED_CERT1和ALLOWLISTED_CERT2:添加到许可名单中以供此信任配置资源使用的证书。此值为可选值。
将新的信任配置文件导入 Certificate Manager,并使用现有信任配置资源名称:
使用
gcloud certificate-manager trust-configs import命令:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
替换以下内容:
TRUST_CONFIG_ID:目标信任的 ID config 资源。PROJECT_ID:目标 Google Cloud 项目的 ID。TRUST_CONFIG_FILE:更新后的信任配置文件的完整路径和名称。LOCATION:location 属性指定信任配置资源的存储区域。默认位置 为global。
API
向 trustConfigs.update 方法发出 PATCH 请求:
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
{
"description": "DESCRIPTION",
"trust_stores": {
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
},
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
替换以下内容:
PROJECT_ID:目标 Google Cloud 项目的 ID。LOCATION:location 属性指定信任配置资源的存储区域。默认位置为global。TRUST_CONFIG_ID:目标信任配置的 ID 资源。DESCRIPTION:此信任配置资源的富有意义的说明。此说明为可选项。CERTIFICATE_PEM_PAYLOAD:要用于此信任配置资源的证书的完整 PEM 载荷。INTER_CERT_PEM_PAYLOAD:完整的 用于此信任配置的中间证书的 PEM 载荷 config 资源。此值为可选值。ALLOWLISTED_CERT:添加到许可名单中以供此信任配置资源使用的证书。此值为可选值。
列出信任配置
若要完成此任务,您必须在目标 Google Cloud 项目中拥有以下角色之一:
- Certificate Manager Viewer (
roles/certificatemanager.viewer) - Certificate Manager Editor (
roles/certificatemanager.editor) - Certificate Manager Owner (
roles/certificatemanager.owner)
如需了解详情,请参阅角色和权限。
如需列出已配置的信任配置,请完成以下步骤。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
点击信任配置标签页。
该标签页会显示已配置的信任配置资源列表。
gcloud
使用 gcloud certificate-manager trust-configs list 命令:
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
替换以下内容:
FILTER:用于将返回的结果限制为特定值的表达式。例如,您可以按照以下条件过滤结果:
- 标签和创建时间:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
如需更多过滤示例,您可以使用 Certificate Manager,请参阅 对列表结果进行排序和过滤 。
- 标签和创建时间:
PAGE_SIZE:每页返回的结果数。LIMIT:要返回的结果数的上限。SORT_BY:以英文逗号分隔的name字段列表,按照 对返回的结果进行排序。默认的排序顺序为升序。对于降序排序顺序, 为所选字段添加波浪号 (
~) 前缀。LOCATION:location 属性指定信任配置资源的存储区域。默认位置 为global。
API
向 trustConfigs.list 方法发出 GET 请求:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
替换以下内容:
PROJECT_ID:目标 Google Cloud 项目的 ID。FILTER:用于将返回的结果限制为特定值的表达式。PAGE_SIZE:每页返回的结果数。SORT_BY:以英文逗号分隔的字段名称列表,按照 对返回的结果进行排序。默认排序顺序为升序。对于降序排序顺序,添加前缀 使用波浪号 (
~) 选中所选字段。LOCATION:location 属性指定信任配置资源的存储区域。默认位置 为global。
查看信任配置
要完成此任务,您必须拥有目标的以下角色之一 Google Cloud 项目:
- Certificate Manager Viewer (
roles/certificatemanager.viewer) - Certificate Manager Editor (
roles/certificatemanager.editor) - Certificate Manager Owner (
roles/certificatemanager.owner)
如需了解详情,请参阅角色和权限。
如需查看信任配置,请完成以下步骤。
控制台
在 Google Cloud 控制台中,前往 Certificate Manager 页面。
点击信任配置标签页。该标签页会显示 已配置的信任配置资源
选择信任配置资源以查看其详细信息。
信任配置详情页面会显示所选信任配置的相关详细信息。
gcloud
使用 gcloud certificate-manager trust-configs describe 命令:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
替换以下内容:
TRUST_CONFIG_ID:目标信任配置的 ID。LOCATION:存储信任配置资源的区域。默认位置是global。
API
向 trustConfigs.get 方法发出 GET 请求:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
替换以下内容:
PROJECT_ID:目标 Google Cloud 项目的 ID。TRUST_CONFIG_ID:目标信任配置的 ID。LOCATION:location 属性指定信任配置资源的存储区域。默认位置 为global。
删除信任配置
若要完成此任务,您必须在目标 Google Cloud 项目中拥有“证书管理器所有者”角色 (roles/certificatemanager.owner)。
如需了解详情,请参阅角色和权限。
如需删除信任配置,请完成以下步骤。
控制台
在 Google Cloud 控制台中,前往证书管理器页面。
在信任配置标签页上,选中要删除的信任配置对应的复选框。
点击删除。
在显示的对话框中,点击删除进行确认。
gcloud
使用 gcloud certificate-manager trust-configs delete 命令:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
替换以下内容:
TRUST_CONFIG_ID:目标信任的 ID 配置。LOCATION:存储信任配置资源的区域。默认位置 为global。
API
向 trustConfigs.delete 方法发出 DELETE 请求:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
替换以下内容:
PROJECT_ID:目标 Google Cloud 项目的 ID。LOCATION:存储信任配置资源的区域。默认位置是global。TRUST_CONFIG_ID:目标信任配置的 ID。