Esta página descreve como criar e gerir configurações de confiança para utilização em cenários de autenticação TLS mútua (mTLS).
Para mais informações sobre o mTLS, consulte os seguintes recursos:
Para compreender os conceitos de configurações de confiança, âncoras de confiança e certificados intermédios, consulte o artigo Configurações de confiança.
Para saber mais acerca do mTLS, consulte a vista geral do TLS mútuo na documentação do Cloud Load Balancing.
Para usar uma configuração de confiança para configurar o mTLS no proxy de destino, consulte as páginas seguintes na documentação do Cloud Load Balancing:
Crie uma configuração de confiança
Quando cria uma configuração de confiança, tem de especificar as âncoras de confiança que são usadas para validar o certificado.
Para criar uma configuração de confiança, conclua os seguintes passos:
Consola
Na Google Cloud consola, aceda ao separador Configurações de confiança na página Gestor de certificados.
Clique em Adicionar configuração de confiança. É apresentada a página Criar configuração de confiança.
No campo Nome, introduza um nome para a configuração.
O nome tem de ser exclusivo para o projeto. Além disso, tem de começar com uma letra minúscula, seguida de até 62 letras minúsculas, números ou hífenes, e não pode terminar com um hífen.
Opcional: no campo Descrição, introduza uma descrição para a configuração. Esta descrição ajuda a identificar uma configuração específica mais tarde.
Opcional: no campo Etiquetas, especifique etiquetas a associar à configuração de confiança. Para adicionar uma etiqueta, clique em Adicionar etiqueta e especifique uma chave e um valor para a etiqueta.
Para Localização, selecione Global ou Regional.
Se selecionou Regional, selecione a Região.
Na secção Loja de confiança, adicione âncoras de fidedignidade e ACs intermédias.
Pode especificar várias raízes de confiança e certificados intermédios usando várias instâncias da carga útil PEM completa para o certificado, um certificado por instância.
Na secção Âncoras de confiança, clique em Adicionar âncora de confiança e carregue o ficheiro de certificado com codificação PEM ou copie o conteúdo do certificado. Quando terminar, clique em Adicionar.
Opcional: na secção ACs intermédias, clique em Adicionar AC intermédia e carregue o ficheiro do certificado intermédio com codificação PEM ou copie o conteúdo do certificado intermédio. Quando terminar, clique em Adicionar.
Este passo permite-lhe adicionar outro nível de confiança entre o certificado de raiz e o certificado do servidor.
Opcional: na secção Certificados na lista de autorizações, clique em Adicionar certificado e carregue o ficheiro do certificado com codificação PEM ou copie o conteúdo do certificado. Isto adiciona o certificado a uma lista de permissões. Quando terminar, clique em Adicionar.
Para especificar várias âncoras de fidedignidade ou certificados intermédios na especificação do recurso de configuração de fidedignidade, use várias instâncias do campo
pemCertificate. Cada instância do campo contém um único certificado.A configuração de confiança considera sempre um certificado numa lista de permissões como válido. Para encapsular vários certificados numa lista de autorizações, use várias instâncias do campo
pemCertificate, um certificado por instância. Não precisa de um repositório fidedigno quando usa certificados adicionados a uma lista de autorizações.A configuração de confiança considera sempre um certificado numa lista de autorizações válido se cumprir condições específicas: tem de ser analisável, possuir prova de propriedade da chave privada e cumprir as restrições no campo SAN do certificado. Os certificados expirados também são considerados válidos quando são adicionados a uma lista de autorizações. Para mais informações sobre o formato com codificação PEM, consulte o RFC 7468.
Clique em Criar.
Verifique se a nova configuração de confiança aparece na lista de configurações.
gcloud
Crie um ficheiro YAML de configuração de confiança que especifique os parâmetros de configuração de confiança.
O ficheiro tem o seguinte formato:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"Substitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança.ALLOWLISTED_CERT1eALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de autorizações para utilização neste recurso de configuração de confiança.
Para especificar várias âncoras de fidedignidade ou certificados intermédios na especificação do recurso de configuração de fidedignidade, use várias instâncias do campo
pemCertificate. Cada instância do campo contém um único certificado.A configuração de confiança considera sempre um certificado numa lista de permissões como válido. Para encapsular vários certificados numa lista de autorizações, use várias instâncias do campo
pemCertificate, um certificado por instância. Não precisa de um repositório fidedigno quando usa certificados adicionados a uma lista de autorizações.A configuração de confiança considera sempre um certificado numa lista de autorizações válido se cumprir condições específicas: tem de ser analisável, possuir prova de propriedade da chave privada e cumprir as restrições no campo SAN do certificado. Os certificados expirados também são considerados válidos quando são adicionados a uma lista de autorizações. Para mais informações sobre o formato com codificação PEM, consulte o RFC 7468.
Para importar o ficheiro YAML de configuração de confiança, use o comando
gcloud certificate-manager trust-configs import:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Substitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.PROJECT_ID: o ID do Google Cloud projeto.TRUST_CONFIG_FILE: o caminho completo e o nome do ficheiro YAML de configuração de confiança que criou no passo 1.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.
API
Faça um pedido POST ao método trustConfigs.create:
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
"description": "DESCRIPTION",
"trust_stores": [{
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
}],
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
Substitua o seguinte:
PROJECT_ID: o ID do Google Cloud projeto.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.DESCRIPTION: uma descrição significativa para este recurso de configuração de confiança. Este valor é opcional.CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT: o certificado que é adicionado a uma lista de autorizações para usar para este recurso de configuração de confiança. Este valor é opcional.
Atualize uma configuração de confiança
Para atualizar uma configuração de fidedignidade, cria outro ficheiro YAML de configuração de fidedignidade que especifica os novos parâmetros de configuração de fidedignidade e importa este ficheiro para o Certificate Manager.
Consola
Na Google Cloud consola, aceda ao separador Configurações de confiança na página Gestor de certificados.
Localize e selecione a configuração de confiança que quer atualizar.
Na coluna Mais opções, clique em Mais ações para a configuração que quer atualizar e, de seguida, selecione Editar.
Faça as alterações necessárias.
Clique em Guardar.
Verifique se as alterações de configuração foram atualizadas.
gcloud
Exporte o ficheiro YAML de configuração de confiança.
gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \ --project=PROJECT_ID \ --destination=TRUST_CONFIG_FILE \ --location=LOCATIONSubstitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.PROJECT_ID: o ID do Google Cloud projeto.TRUST_CONFIG_FILE: o caminho completo e o nome do ficheiro YAML de configuração de confiança.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.
Edite o ficheiro YAML de configuração de confiança.
O ficheiro tem o seguinte formato:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"Substitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT1eALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de autorizações para utilização neste recurso de configuração de confiança. Este valor é opcional.
Importe o novo ficheiro de configuração de confiança para o Gestor de certificados com o nome do recurso de configuração de confiança existente.
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATIONSubstitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.PROJECT_ID: o ID do Google Cloud projeto.TRUST_CONFIG_FILE: o caminho completo e o nome do ficheiro YAML de configuração de confiança.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.
API
Faça um pedido PATCH ao método trustConfigs.update:
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
{
"description": "DESCRIPTION",
"trust_stores": [{
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
}],
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
Substitua o seguinte:
PROJECT_ID: o ID do Google Cloud projeto.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.DESCRIPTION: uma descrição significativa para este recurso de configuração de confiança. Esta descrição é opcional.CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT: o certificado que é adicionado a uma lista de autorizações para usar para este recurso de configuração de confiança. Este valor é opcional.
Listar configurações de confiança
Pode ver todas as configurações de confiança configuradas do seu projeto.
Consola
Na Google Cloud consola, aceda ao separador Configurações de confiança na página Gestor de certificados.
No separador Configurações de confiança, pode ver uma lista de todos os recursos de configuração de confiança configurados no projeto selecionado.
gcloud
Use o comando gcloud certificate-manager trust-configs list:
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
Substitua o seguinte:
FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.Por exemplo, para filtrar os resultados pelas etiquetas e pela hora de criação, pode especificar:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para ver mais exemplos de filtragem que pode usar com o Certificate Manager, consulte a secção Ordenar e filtrar resultados da lista na documentação do Cloud Key Management Service.
PAGE_SIZE: o número de resultados a devolver por página.LIMIT: o número máximo de resultados a devolver.SORT_BY: uma lista delimitada por vírgulas de camposnamepelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.LOCATION: a região onde o recurso de configuração de confiança está armazenado. Para listar as configurações de confiança de todas as regiões, use-como valor. A predefinição é-. Esta flag é opcional.
API
Faça um pedido GET ao método trustConfigs.list:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua o seguinte:
PROJECT_ID: o ID do Google Cloud projeto.LOCATION: a região onde o recurso de configuração de confiança está armazenado. Para ver todas as configurações de confiança em todos os estabelecimentos, especifique um único hífen (-).FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.Por exemplo, para filtrar os resultados pelas etiquetas e pela hora de criação, pode especificar:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Para ver mais exemplos de filtragem que pode usar com o Certificate Manager, consulte a secção Ordenar e filtrar resultados da lista na documentação do Cloud Key Management Service.
PAGE_SIZE: o número de resultados a devolver por página.SORT_BY: uma lista delimitada por vírgulas de camposnamepelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.
Veja as configurações de fidedignidade
Pode ver os detalhes de uma configuração de confiança específica.
Consola
Na Google Cloud consola, aceda ao separador Configurações de confiança na página Gestor de certificados.
Clique no recurso de configuração de confiança que quer ver. A página Detalhes da configuração de confiança apresenta informações detalhadas sobre o recurso de configuração de confiança selecionado.
gcloud
Use o comando gcloud certificate-manager trust-configs describe:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
Substitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.
API
Faça um pedido GET ao método trustConfigs.get:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Substitua o seguinte:
PROJECT_ID: o ID do Google Cloud projeto.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
Elimine uma configuração de fidedignidade
Antes de eliminar uma configuração de confiança, desassocie-a do recurso de autenticação do cliente (ServerTlsPolicy).
Consola
Na Google Cloud consola, aceda ao separador Configurações de confiança na página Gestor de certificados.
Selecione a caixa de verificação da configuração de confiança que quer eliminar.
Clique em Eliminar.
Na caixa de diálogo apresentada, clique em Eliminar para confirmar.
gcloud
Use o comando gcloud certificate-manager trust-configs delete:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
Substitua o seguinte:
TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.
API
Faça um pedido DELETE ao método trustConfigs.delete:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Substitua o seguinte:
PROJECT_ID: o ID do Google Cloud projeto.LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida églobal.TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
O que se segue?
- Faça a gestão de certificados
- Faça a gestão dos mapeamentos de certificados
- Faça a gestão das entradas do mapa de certificados
- Faça a gestão das autorizações de DNS
- Faça a gestão dos recursos de configuração da emissão de certificados