Halaman ini diterjemahkan oleh Cloud Translation API.

Mengelola konfigurasi tepercaya

Halaman ini menjelaskan cara membuat dan mengelola konfigurasi kepercayaan untuk digunakan dalam skenario autentikasi TLS bersama (mTLS).

Untuk informasi selengkapnya, lihat referensi berikut:

Untuk mempelajari lebih lanjut konfigurasi kepercayaan, anchor kepercayaan, dan sertifikat antara, lihat Konfigurasi kepercayaan di Cara kerja Pengelola Sertifikat.
Untuk mempelajari mTLS lebih lanjut, lihat Autentikasi TLS bersama dalam dokumentasi Cloud Load Balancing.
Untuk menggunakan konfigurasi kepercayaan guna mengonfigurasi mTLS di proxy target, lihat salah satu halaman berikut dalam dokumentasi Cloud Load Balancing:
- Menyiapkan TLS bersama dengan sertifikat yang ditandatangani
- Menyiapkan TLS bersama dengan CA pribadi

Petunjuk gcloud di halaman ini mengasumsikan bahwa Anda menggunakan Cloud Shell atau lingkungan lain dengan bash yang diinstal. Untuk mengetahui informasi selengkapnya tentang perintah gcloud yang digunakan di halaman ini, lihat referensi CLI Pengelola Sertifikat.

Membuat konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Editor Certificate Manager (roles/certificatemanager.editor)
Pemilik Certificate Manager (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk membuat konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Certificate Manager
Di tab Trust Configs, klik Add Trust Config.
Di kolom Nama, masukkan nama untuk konfigurasi.

Nama harus unik untuk project. Selain itu, nama harus dimulai dengan huruf kecil, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung, dan tidak boleh berakhir dengan tanda hubung.
Opsional: Di kolom Description, masukkan deskripsi untuk konfigurasi. Deskripsi ini membantu Anda mengidentifikasi konfigurasi tertentu nanti.
Opsional: Di kolom Labels, tentukan label yang akan dikaitkan dengan konfigurasi kepercayaan. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.
Untuk Location, pilih Global atau Regional.

Jika Anda memilih Regional, pilih Region.
Di bagian Trust store, tambahkan trust anchor dan CA perantara.

Anda dapat menentukan beberapa anchor kepercayaan dan intermediate certificate dengan menggunakan beberapa instance payload PEM lengkap untuk sertifikat, satu sertifikat per instance.
1. Di bagian Trust anchors , klik Add trust anchor dan upload file sertifikat yang dienkode PEM, atau salin konten sertifikat. Setelah selesai, klik Tambahkan.
2. Opsional: Di bagian Intermediate CAs, klik Add intermediate CA dan upload file sertifikat perantara yang dienkode PEM, atau salin konten sertifikat perantara. Setelah selesai, klik Tambahkan.
  
  Langkah ini memungkinkan Anda menambahkan tingkat kepercayaan lain antara root certificate dan sertifikat server Anda.
3. Opsional: Di bagian Sertifikat yang diizinkan, klik Tambahkan sertifikat dan upload file sertifikat yang dienkode PEM, atau salin konten sertifikat. Tindakan ini akan menambahkan sertifikat ke daftar yang diizinkan. Setelah selesai, klik Tambahkan.
  
  Sertifikat yang ditambahkan ke daftar yang diizinkan mewakili sertifikat apa pun yang dapat dienkapsulasi dalam konfigurasi kepercayaan sehingga selalu dianggap valid. Untuk mengenkapsulasi beberapa sertifikat di daftar yang diizinkan dalam konfigurasi kepercayaan, gunakan beberapa instance kolom pemCertificate, satu sertifikat per instance yang ditambahkan ke daftar yang diizinkan. Sertifikat yang ditambahkan ke daftar yang diizinkan selalu dianggap valid selama sertifikat dapat diuraikan, bukti kepemilikan kunci pribadi ditetapkan, dan batasan pada kolom SAN sertifikat terpenuhi. Sertifikat yang sudah tidak berlaku juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.
Klik Create.

Pastikan konfigurasi kepercayaan baru muncul dalam daftar konfigurasi.

gcloud

Buat file YAML konfigurasi kepercayaan yang menentukan parameter konfigurasi kepercayaan.

File memiliki format berikut:
```
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"
```
Ganti kode berikut:
- CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan ini.
- INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
Anda dapat menentukan beberapa anchor kepercayaan dan sertifikat perantara dengan menggunakan beberapa instance kolom pemCertificate, satu sertifikat per instance, di bagian masing-masing dari spesifikasi resource konfigurasi kepercayaan.

Sertifikat yang ditambahkan ke daftar yang diizinkan mewakili sertifikat apa pun yang dapat dienkapsulasi dalam konfigurasi kepercayaan sehingga selalu dianggap valid. Untuk mengenkapsulasi beberapa sertifikat di daftar yang diizinkan dalam konfigurasi kepercayaan, gunakan beberapa instance kolom pemCertificate, satu sertifikat per instance yang ditambahkan ke daftar yang diizinkan. Sertifikat yang ditambahkan ke daftar yang diizinkan selalu dianggap valid selama sertifikat dapat diuraikan, bukti kepemilikan kunci pribadi ditetapkan, dan batasan pada kolom SAN sertifikat terpenuhi. Sertifikat yang sudah tidak berlaku juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.
Untuk mengimpor file YAML konfigurasi kepercayaan, gunakan perintah gcloud certificate-manager trust-configs import:
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
- PROJECT_ID: ID project Google Cloud target.
- TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan yang Anda buat di langkah 1.
- LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan POST ke metode trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": {
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  },
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan ini.
INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
ALLOWLISTED_CERT: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

Memperbarui konfigurasi tepercaya

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Editor Certificate Manager (roles/certificatemanager.editor)
Pemilik Certificate Manager (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk memperbarui konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Certificate Manager
Di tab Trust Configs, temukan dan pilih konfigurasi kepercayaan yang ingin Anda perbarui.
Di kolom Opsi Lainnya, klik ikon untuk konfigurasi yang ingin Anda perbarui, lalu pilih Edit.
Buat perubahan yang diperlukan.
Klik Simpan.

Pastikan perubahan konfigurasi telah diperbarui.

gcloud

Buat file YAML konfigurasi kepercayaan yang diperbarui yang menentukan parameter konfigurasi kepercayaan baru. File memiliki format berikut:
```
name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
- CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan ini.
- INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
Impor file konfigurasi kepercayaan baru ke Pengelola Sertifikat dengan nama resource konfigurasi kepercayaan yang ada:

Gunakan perintah gcloud certificate-manager trust-configs import:
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan target.
- PROJECT_ID: ID project Google Cloud target.
- TRUST_CONFIG_FILE: jalur lengkap dan nama file konfigurasi kepercayaan yang diperbarui.
- LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan PATCH ke metode trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": {
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    },
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan target.
DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Deskripsi ini bersifat opsional.
CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan ini.
INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
ALLOWLISTED_CERT: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

Mencantumkan konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Penampil Certificate Manager (roles/certificatemanager.viewer)
Editor Certificate Manager (roles/certificatemanager.editor)
Pemilik Certificate Manager (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk membuat daftar konfigurasi kepercayaan yang dikonfigurasi, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Pengelola Sertifikat.
Klik tab Trust Configs.

Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ganti kode berikut:

FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:
- Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Pengelola Sertifikat, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.
PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.
LIMIT: jumlah maksimum hasil yang akan ditampilkan.
SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan.

Urutan pengurutan default adalah menaik. Untuk urutan pengurutan menurun, beri awalan kolom yang dipilih dengan tilde (~).
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan GET ke metode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.
PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.
SORT_BY: daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan.

Urutan pengurutan default adalah menaik. Untuk urutan pengurutan menurun, beri awalan kolom yang dipilih dengan tanda gelombang (~).
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

Melihat konfigurasi tepercaya

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Penampil Certificate Manager (roles/certificatemanager.viewer)
Editor Certificate Manager (roles/certificatemanager.editor)
Pemilik Certificate Manager (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk melihat konfigurasi kepercayaan, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Pengelola Sertifikat.
Klik tab Trust Configs. Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.
Pilih resource konfigurasi kepercayaan untuk melihat detailnya.

Halaman Detail Konfigurasi Kepercayaan menampilkan informasi mendetail tentang konfigurasi kepercayaan yang dipilih.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.
LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan GET ke metode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

Menghapus konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki peran Pemilik Pengelola Sertifikat (roles/certificatemanager.owner) di project Google Cloud target.

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk menghapus konfigurasi kepercayaan, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Certificate Manager
Di tab Trust Configs, centang kotak konfigurasi kepercayaan yang ingin Anda hapus.
Klik Hapus.
Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.
LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan DELETE ke metode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.

Mengelola konfigurasi tepercaya

Membuat konfigurasi kepercayaan

Konsol

gcloud

API

Memperbarui konfigurasi tepercaya

Konsol

gcloud

API

Mencantumkan konfigurasi kepercayaan

Konsol

gcloud

API

Melihat konfigurasi tepercaya

Konsol

gcloud

API

Menghapus konfigurasi kepercayaan

Konsol

gcloud

API

Langkah selanjutnya