Cette page explique comment créer et gérer des configurations de confiance à utiliser de manière mutuelle d'authentification TLS (mTLS).
Pour en savoir plus, consultez les ressources suivantes :
Pour en savoir plus sur les configurations de confiance, les ancres de confiance et les certificats, consultez la section Configurations de confiance dans Fonctionnement du gestionnaire de certificats.
Pour en savoir plus sur l'authentification mTLS, consultez Authentification TLS mutuelle. dans la documentation Cloud Load Balancing.
Pour utiliser une configuration de confiance afin de configurer mTLS sur votre proxy cible, consultez l'un des pages suivantes de la documentation Cloud Load Balancing:
Les instructions gcloud
de cette page partent du principe que vous utilisez
Cloud Shell ou un autre environnement avec bash
installé.
Pour en savoir plus sur les commandes gcloud
utilisées sur cette page, consultez les
Documentation de référence de la CLI du gestionnaire de certificats.
Créer une configuration de confiance
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Éditeur du gestionnaire de certificats (
roles/certificatemanager.editor
) - Propriétaire du gestionnaire de certificats (
roles/certificatemanager.owner
)
Pour en savoir plus, consultez la section Rôles et autorisations.
Pour créer une configuration de confiance, procédez comme suit:
Créez un fichier YAML de configuration de confiance qui spécifie les paramètres de configuration de confiance. Le fichier a le format suivant:
trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: un identifiant unique qui l'identifie ressource de configuration de confiance.CERTIFICATE_PEM_PAYLOAD
: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: le fichier PEM complet charge utile du certificat intermédiaire à utiliser pour cette configuration de confiance ressource. Cette valeur est facultative.ALLOWLISTED_CERT1
etALLOWLISTED_CERT2
: les certificats ajoutés à un à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.Vous pouvez spécifier plusieurs ancres de confiance et certificats intermédiaires en en utilisant plusieurs instances du champ
pemCertificate
, un certificat par instance, dans leurs sections respectives de la ressource de configuration de confiance spécifique.Un certificat ajouté à une liste d'autorisation représente tout certificat qui peut être encapsulée dans la configuration de confiance afin qu'elle soit toujours considérée comme valide. Pour encapsuler plusieurs certificats dans une liste d'autorisation dans le configuration de confiance, utilisez plusieurs instances du champ
pemCertificate
, une par instance. Vous n'avez pas besoin d'un magasin de confiance de certificats qui sont ajoutés à une liste d'autorisation. Un certificat qui est ajouté à une liste d'autorisation est toujours considérée comme valide tant que le certificat analysable, la preuve de la possession d'une clé privée est établie et les contraintes dans le champ SAN du certificat sont remplis. Les certificats expirés sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus, sur le format encodé au format PEM, consultez RFC 7468
Importez le fichier de configuration de confiance dans le gestionnaire de certificats:
gcloud
Exécutez la commande
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: un identifiant unique qui l'identifie ressource de configuration de confiance.PROJECT_ID
: ID du projet Google Cloud cible.TRUST_CONFIG_FILE
: chemin d'accès complet et nom du fichier YAML de configuration de confiance que vous avez créé à l'étape 1.LOCATION
: région dans laquelle la ressource de configuration de confiance sont stockées. L'emplacement par défaut estglobal
.
API
Envoyez une requête
POST
à la méthodetrustConfigs.create
:POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.LOCATION
: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: un identifiant unique qui l'identifie ressource de configuration de confiance.DESCRIPTION
: description pertinente pour cette ressource de configuration de confiance. Cette valeur est facultative.CERTIFICATE_PEM_PAYLOAD
: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: le fichier PEM complet charge utile du certificat intermédiaire à utiliser pour cette configuration de confiance ressource. Cette valeur est facultative.ALLOWLISTED_CERT
: le certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est (facultatif).
Mettre à jour une configuration de confiance
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Éditeur du gestionnaire de certificats (
roles/certificatemanager.editor
) - Propriétaire du gestionnaire de certificats (
roles/certificatemanager.owner
)
Pour en savoir plus, consultez Rôles et autorisations
Pour mettre à jour une configuration de confiance, procédez comme suit:
Créer un fichier YAML de configuration de confiance mis à jour qui spécifie la nouvelle approbation paramètres de configuration. Le fichier a le format suivant:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: un identifiant unique qui l'identifie ressource de configuration de confiance.CERTIFICATE_PEM_PAYLOAD
: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: le fichier PEM complet charge utile du certificat intermédiaire à utiliser pour cette configuration de confiance ressource. Cette valeur est facultative.ALLOWLISTED_CERT1
etALLOWLISTED_CERT2
: les certificats ajoutés à un à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Importer le nouveau fichier de configuration de confiance dans le gestionnaire de certificats par le nom de ressource de configuration de confiance existant:
gcloud
Exécutez la commande
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de l'approbation cible ressource de configuration.PROJECT_ID
: ID du projet Google Cloud cible.TRUST_CONFIG_FILE
: chemin d'accès complet et nom du fichier de configuration de confiance mis à jour.LOCATION
: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête
PATCH
à la méthodetrustConfigs.update
:PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.LOCATION
: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: ID de la configuration de confiance cible ressource.DESCRIPTION
: description pertinente de ce ressource de configuration de confiance. Cette description est facultative.CERTIFICATE_PEM_PAYLOAD
: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: l'état Charge utile PEM du certificat intermédiaire à utiliser pour cette configuration de confiance ressource de configuration. Cette valeur est facultative.ALLOWLISTED_CERT
: le certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est (facultatif).
Lister les configurations de confiance
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Lecteur du gestionnaire de certificats (
roles/certificatemanager.viewer
) - Éditeur du gestionnaire de certificats (
roles/certificatemanager.editor
) - Propriétaire du gestionnaire de certificats (
roles/certificatemanager.owner
)
Pour en savoir plus, consultez Rôles et autorisations
Pour répertorier les configurations de confiance configurées, procédez comme suit.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Cliquez sur l'onglet Configurations de confiance.
L'onglet affiche la liste des ressources de configuration de confiance configurées.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs list
:
gcloud certificate-manager trust-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY" \ --location=LOCATION
Remplacez les éléments suivants :
FILTER
: expression qui limite l'objet renvoyé les résultats à des valeurs spécifiques.Par exemple, vous pouvez filtrer les résultats selon les critères suivants:
- Libellés et date de création:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Gestionnaire de certificats, consultez Trier et filtrer les résultats figurant dans les listes dans la documentation de Cloud Key Management Service.
- Libellés et date de création:
PAGE_SIZE
: nombre de résultats à renvoyer par page.LIMIT
: nombre maximal de résultats à renvoyer.SORT_BY
: liste de champsname
séparés par une virgule, les résultats renvoyés sont triés.Par défaut, l'ordre de tri est croissant. Pour l'ordre de tri décroissant, préfixer le champ choisi d'un tilde (
~
).LOCATION
: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête GET
à la méthode trustConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.FILTER
: expression qui limite l'objet renvoyé les résultats à des valeurs spécifiques.PAGE_SIZE
: nombre de résultats à renvoyer par page.SORT_BY
: liste de noms de champs séparés par une virgule les résultats renvoyés sont triés.Par défaut, l'ordre de tri est croissant. Pour l'ordre de tri décroissant, préfixe champ sélectionné avec un tilde (
~
).LOCATION
: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
Afficher les configurations de confiance
Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur la cible Projet Google Cloud:
- Lecteur du gestionnaire de certificats (
roles/certificatemanager.viewer
) - Éditeur du gestionnaire de certificats (
roles/certificatemanager.editor
) - Propriétaire du gestionnaire de certificats (
roles/certificatemanager.owner
)
Pour en savoir plus, consultez Rôles et autorisations
Pour afficher une configuration de confiance, procédez comme suit :
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Cliquez sur l'onglet Configurations de confiance. L'onglet affiche une liste configurées les ressources de configuration de confiance.
Sélectionnez la ressource de configuration de confiance pour afficher ses détails.
La page Détails de la configuration de confiance affiche des informations détaillées sur la configuration de confiance sélectionnée.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs describe
:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la configuration de confiance cible.LOCATION
: région dans laquelle la ressource de configuration de confiance sont stockées. L'emplacement par défaut estglobal
.
API
Envoyez une requête GET
à la méthode trustConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.TRUST_CONFIG_ID
: ID de la configuration de confiance cible.LOCATION
: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
Supprimer une configuration de confiance
Pour effectuer cette tâche, vous devez disposer du rôle Propriétaire du gestionnaire de certificats
(roles/certificatemanager.owner
) sur le projet Google Cloud cible.
Pour en savoir plus, consultez Rôles et autorisations
Pour supprimer une configuration de confiance, procédez comme suit :
gcloud
Exécutez la commande gcloud certificate-manager trust-configs delete
:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de l'approbation cible configuration.LOCATION
: le la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête DELETE
à la méthode trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud cible.LOCATION
: région dans laquelle la ressource de configuration de confiance sont stockées. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: ID de la configuration de confiance cible.
Étape suivante
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer les configurations d'émission de certificats