管理信任配置

本页面介绍如何创建和管理信任配置以用于双向 TLS 身份验证 (mTLS) 场景。

如需了解详情，请参阅以下资源：

• 如需详细了解信任配置、信任锚和中间证书，请参阅 Certificate Manager 的工作原理中的信任配置。

• 如需详细了解 mTLS，请参阅 Cloud Load Balancing 文档中的双向 TLS 身份验证部分。

• 如需使用信任配置在目标代理上配置 mTLS，请参阅 Cloud Load Balancing 文档中的以下页面之一：

  • 使用签名证书设置双向 TLS
  • 使用私有证书授权机构设置双向 TLS

本页面中的 gcloud 说明假定您使用的是 Cloud Shell 或安装了 bash 的其他环境。如需详细了解本页面中使用的 gcloud 命令，请参阅 Certificate Manager CLI 参考文档。

创建信任配置

如需完成此任务，您必须对目标 Google Cloud 项目拥有以下角色之一：

• 证书管理器编辑器 (roles/certificatemanager.editor)
• 证书管理器所有者 (roles/certificatemanager.owner)

如需了解详情，请参阅角色和权限。

如需创建信任配置，请完成以下步骤：

1. 创建用于指定信任配置参数的信任配置 YAML 文件。 该文件采用以下格式：

   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   请替换以下内容：

   • TRUST_CONFIG_ID：用于标识此信任配置资源的唯一 ID。
   • CERTIFICATE_PEM_PAYLOAD：要用于此信任配置资源的证书的完整 PEM 载荷。
   • INTER_CERT_PEM_PAYLOAD：要用于此信任配置资源的中间证书的完整 PEM 载荷。此值是可选的。

   • ALLOWLISTED_CERT1 和 ALLOWLISTED_CERT2：要用于此信任配置资源的已列入许可名单的证书。此值是可选的。

     您可以在信任配置资源规范的相应部分中使用 pemCertificate 字段的多个实例（每个实例一个证书），指定多个信任锚和中间证书。

     列入许可名单的证书表示可封装在信任配置中以便始终被视为有效的任何证书。您可以使用 pemCertificate 字段的多个实例来指定多个已列入许可名单的证书，其中每个实例一个证书可添加到信任配置。使用已列入许可名单的证书时，无需信任存储区。只要许可名单中的证书可解析、已建立私钥所有权证明，并满足证书的 SAN 字段限制条件，该证书就会始终被视为有效。过期证书在列入许可名单时也被视为有效。如需详细了解 PEM 编码格式，请参阅 RFC 7468。

2. 将信任配置文件导入证书管理器：

   gcloud

   使用 gcloud certificate-manager trust-configs import 命令：

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   请替换以下内容：

   • TRUST_CONFIG_ID：用于标识此信任配置资源的唯一 ID。
   • PROJECT_ID：目标 Google Cloud 项目的 ID。
   • TRUST_CONFIG_FILE：您在第 1 步中创建的信任配置 YAML 文件的完整路径和名称。
   • LOCATION：存储信任配置资源的区域。默认位置是 global。

   API

   向 trustConfigs.create 方法发出 POST 请求：

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   请替换以下内容：

   • PROJECT_ID：目标 Google Cloud 项目的 ID。
   • LOCATION：位置属性指定存储信任配置资源的区域。默认位置为 global。
   • TRUST_CONFIG_ID：用于标识此信任配置资源的唯一 ID。
   • DESCRIPTION：此信任配置资源的有意义的说明。此值是可选的。
   • CERTIFICATE_PEM_PAYLOAD：要用于此信任配置资源的证书的完整 PEM 载荷。
   • INTER_CERT_PEM_PAYLOAD：要用于此信任配置资源的中间证书的完整 PEM 载荷。此值是可选的。
   • ALLOWLISTED_CERT：要用于此信任配置资源的已列入许可名单的证书。此值是可选的。

更新信任配置

如需完成此任务，您必须对目标 Google Cloud 项目拥有以下角色之一：

• 证书管理器编辑器 (roles/certificatemanager.editor)
• 证书管理器所有者 (roles/certificatemanager.owner)

如需了解详情，请参阅角色和权限。

如需更新信任配置，请完成以下步骤：

1. 创建更新后的信任配置 YAML 文件，用于指定新的信任配置参数。该文件采用以下格式：

   name: "TRUST_CONFIG_ID"
   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   请替换以下内容：

   • TRUST_CONFIG_ID：用于标识此信任配置资源的唯一 ID。
   • CERTIFICATE_PEM_PAYLOAD：要用于此信任配置资源的证书的完整 PEM 载荷。
   • INTER_CERT_PEM_PAYLOAD：要用于此信任配置资源的中间证书的完整 PEM 载荷。此值是可选的。
   • ALLOWLISTED_CERT1 和 ALLOWLISTED_CERT1：要用于此信任配置资源的已列入许可名单的证书。此值是可选的。

2. 相对于现有信任配置资源名称，将新的信任配置文件导入证书管理器：

   gcloud

   使用 gcloud certificate-manager trust-configs import 命令：

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   请替换以下内容：

   • TRUST_CONFIG_ID：目标信任配置资源的 ID。
   • PROJECT_ID：目标 Google Cloud 项目的 ID。
   • TRUST_CONFIG_FILE：更新后的信任配置文件的完整路径和名称。
   • LOCATION：位置属性指定存储信任配置资源的区域。默认位置为 global。

   API

   向 trustConfigs.update 方法发出 PATCH 请求：

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   请替换以下内容：

   • PROJECT_ID：目标 Google Cloud 项目的 ID。
   • LOCATION：位置属性指定存储信任配置资源的区域。默认位置为 global。
   • TRUST_CONFIG_ID：目标信任配置资源的 ID。
   • DESCRIPTION：此信任配置资源的有意义的说明。此说明是可选的。
   • CERTIFICATE_PEM_PAYLOAD：要用于此信任配置资源的证书的完整 PEM 载荷。
   • INTER_CERT_PEM_PAYLOAD：要用于此信任配置配置资源的中间证书的完整 PEM 载荷。此值是可选的。
   • ALLOWLISTED_CERT：要用于此信任配置资源的已列入许可名单的证书。此值是可选的。

列出信任配置

如需完成此任务，您必须对目标 Google Cloud 项目拥有以下角色之一：

• 证书管理器查看者 (roles/certificatemanager.viewer)
• 证书管理器编辑器 (roles/certificatemanager.editor)
• 证书管理器所有者 (roles/certificatemanager.owner)

如需了解详情，请参阅角色和权限。

如需列出已配置的信任配置，请完成以下步骤。

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

查看信任配置

如需完成此任务，您必须对目标 Google Cloud 项目拥有以下角色之一：

• 证书管理器查看者 (roles/certificatemanager.viewer)
• 证书管理器编辑器 (roles/certificatemanager.editor)
• 证书管理器所有者 (roles/certificatemanager.owner)

如需了解详情，请参阅角色和权限。

如需查看信任配置，请完成以下步骤。

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

删除信任配置

如需完成此任务，您必须拥有目标 Google Cloud 项目的 Certificate Manager Owner 角色 (roles/certificatemanager.owner)。

如需了解详情，请参阅角色和权限。

如需删除信任配置，请完成以下步骤。

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

后续步骤

• 管理证书
• 管理证书映射
• 管理证书映射条目
• 管理 DNS 授权
• 管理证书颁发配置