Gerenciar configurações de confiança

Esta página descreve como criar e gerenciar configurações de confiança para uso em cenários de autenticação TLS mútua (mTLS).

Para mais informações sobre mTLS, consulte os seguintes recursos:

Criar uma configuração de confiança

Ao criar uma configuração de confiança, é necessário especificar as âncoras de confiança usadas para validar o certificado.

Para criar uma configuração de confiança, siga estas etapas:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de confiança, clique em Adicionar configuração de confiança.

  3. No campo Nome, insira um nome para a configuração.

    O nome precisa ser exclusivo no projeto. Além disso, ele precisa começar com uma letra minúscula, seguida por até 62 letras minúsculas, números ou hifens e não pode terminar com um hífen.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração. Essa descrição ajuda a identificar uma configuração específica mais tarde.

  5. Opcional: no campo Labels, especifique rótulos para associar à configuração de confiança. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  6. Em Local, selecione Global ou Regional.

    Se você tiver selecionado Regional, escolha a Região.

  7. Na seção Armazenamento de confiança, adicione âncoras de confiança e ACs intermediárias.

    É possível especificar várias âncoras de confiança e certificados intermediários usando várias instâncias do payload PEM completo do certificado, um certificado por instância.

    1. Na seção Âncoras de confiança, clique em Adicionar âncora de confiança e faça upload do arquivo de certificado codificado em PEM ou copie o conteúdo do certificado. Quando terminar, clique em Adicionar.

    2. Opcional: na seção ACs intermediárias, clique em Adicionar AC intermediária e faça upload do arquivo de certificado intermediário codificado em PEM ou copie o conteúdo do certificado intermediário. Quando terminar, clique em Adicionar.

      Nesta etapa, você pode adicionar outro nível de confiança entre o certificado raiz e o certificado do servidor.

    3. Opcional: na seção Certificados na lista de permissões, clique em Adicionar certificado e faça upload do arquivo de certificado codificado em PEM ou copie o conteúdo do certificado. Isso adiciona o certificado a uma lista de permissões. Quando terminar, clique em Adicionar.

    Para especificar várias âncoras de confiança ou certificados intermediários na especificação de recurso de configuração de confiança, use várias instâncias do campo pemCertificate. Cada instância do campo contém um único certificado.

    A configuração de confiança sempre considera um certificado em uma lista de permissões como válido. Para encapsular vários certificados em uma lista de permissões, use várias instâncias do campo pemCertificate, um certificado por instância. Você não precisa de um repositório de confiança ao usar certificados adicionados a uma lista de permissões.

    A configuração de confiança sempre considera um certificado em uma lista de permissões válido se ele atender a condições específicas: ele precisa ser analisável, ter comprovante de propriedade da chave privada e aderir às restrições no campo SAN do certificado. Os certificados expirados também são considerados válidos quando são adicionados a uma lista de permissões. Para mais informações sobre o formato codificado PEM, consulte a RFC 7468.

  8. Clique em Criar.

Verifique se a nova configuração de confiança aparece na lista de configurações.

gcloud

  1. Crie um arquivo YAML de configuração de confiança que especifique os parâmetros de configuração de confiança.

    O arquivo tem o seguinte formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Substitua:

    • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
    • CERTIFICATE_PEM_PAYLOAD: o payload PEM completo para o certificado a ser usado no recurso de configuração de confiança.
    • INTER_CERT_PEM_PAYLOAD: o payload PEM completo para o certificado intermediário a ser usado para o recurso de configuração de confiança.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de permissões para uso com esse recurso de configuração de confiança.

    Para especificar várias âncoras de confiança ou certificados intermediários na especificação de recurso de configuração de confiança, use várias instâncias do campo pemCertificate. Cada instância do campo contém um único certificado.

    A configuração de confiança sempre considera um certificado em uma lista de permissões como válido. Para encapsular vários certificados em uma lista de permissões, use várias instâncias do campo pemCertificate, um certificado por instância. Você não precisa de um repositório de confiança ao usar certificados adicionados a uma lista de permissões.

    A configuração de confiança sempre considera um certificado em uma lista de permissões válido se ele atender a condições específicas: ele precisa ser analisável, ter comprovante de propriedade da chave privada e aderir às restrições no campo SAN do certificado. Os certificados expirados também são considerados válidos quando são adicionados a uma lista de permissões. Para mais informações sobre o formato codificado PEM, consulte a RFC 7468.

  2. Para importar o arquivo YAML de configuração de confiança, use o comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Substitua:

    • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
    • PROJECT_ID: o ID do projeto do Google Cloud.
    • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo YAML de configuração de confiança que você criou na etapa 1.
    • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

API

Faça uma solicitação POST ao método trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
  • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Este valor é opcional.
  • CERTIFICATE_PEM_PAYLOAD: o payload PEM completo para o certificado a ser usado no recurso de configuração de confiança.
  • INTER_CERT_PEM_PAYLOAD: o payload PEM completo para o certificado intermediário a ser usado para o recurso de configuração de confiança. Este valor é opcional.
  • ALLOWLISTED_CERT: o certificado adicionado a uma lista de permissões para uso com esse recurso de configuração de confiança. Este valor é opcional.

Atualizar uma configuração de confiança

Para atualizar uma configuração de confiança, crie outro arquivo YAML de configuração de confiança que especifique os novos parâmetros e importe esse arquivo para o Gerenciador de certificados.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de confiança, localize e selecione a configuração de confiança que você quer atualizar.

  3. Na coluna Mais opções, clique em Mais ações para a configuração que você quer atualizar e selecione Editar.

  4. Faça as mudanças necessárias.

  5. Clique em Salvar.

Verifique se as mudanças de configuração foram atualizadas.

gcloud

  1. Exporte o arquivo YAML de configuração de confiança.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Substitua:

    • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
    • PROJECT_ID: o ID do projeto do Google Cloud.
    • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo YAML de configuração de confiança.
    • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

  2. Edite o arquivo YAML de configuração de confiança.

    O arquivo tem o seguinte formato:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Substitua:

    • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
    • CERTIFICATE_PEM_PAYLOAD: o payload PEM completo para o certificado a ser usado no recurso de configuração de confiança.
    • INTER_CERT_PEM_PAYLOAD: o payload PEM completo do certificado intermediário a ser usado para o recurso de configuração de confiança. Esse valor é opcional.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados adicionados a uma lista de permissões para uso com este recurso de configuração de confiança. Esse valor é opcional.

  3. Importe o novo arquivo de configuração de confiança para o Gerenciador de certificados com o nome do recurso de configuração de confiança atual.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Substitua:

    • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
    • PROJECT_ID: o ID do projeto do Google Cloud.
    • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo YAML de configuração de confiança.
    • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

API

Faça uma solicitação PATCH ao método trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
  • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Essa descrição é opcional.
  • CERTIFICATE_PEM_PAYLOAD: o payload PEM completo para o certificado a ser usado no recurso de configuração de confiança.
  • INTER_CERT_PEM_PAYLOAD: o payload PEM completo para o certificado intermediário a ser usado para o recurso de configuração de confiança. Este valor é opcional.
  • ALLOWLISTED_CERT: o certificado adicionado a uma lista de permissões para uso com esse recurso de configuração de confiança. Este valor é opcional.

Listar configurações de confiança

Você pode conferir todas as configurações de confiança configuradas do seu projeto.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Trust Configs. A guia mostra uma lista de recursos de configuração de confiança configurados.

gcloud

Use o comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Substitua:

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados pelos rótulos e pelo horário de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de listas na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • LIMIT: o número máximo de resultados a serem retornados.

  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, prefixe o campo com um til (~).

  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global. Para conferir todas as configurações de confiança em todos os locais, especifique um único hífen (-).

API

Faça uma solicitação GET ao método trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. Para conferir todas as configurações de confiança em todos os locais, especifique um único hífen (-).

  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.

    Por exemplo, para filtrar os resultados pelos rótulos e pela hora de criação, especifique: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como ordenar e filtrar resultados de listas na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados a serem retornados por página.

  • SORT_BY: uma lista delimitada por vírgulas de campos name por que os resultados retornados são classificados. A ordem de classificação padrão é crescente. Para classificar em ordem decrescente, prefixe o campo com um til (~).

Conferir as configurações de confiança

É possível conferir os detalhes de uma configuração de confiança específica.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Clique na guia Trust Configs. A guia mostra uma lista de recursos de configuração de confiança configurados.

  3. Selecione o recurso de configuração de confiança para conferir os detalhes. A página Detalhes da configuração de confiança mostra informações detalhadas sobre a configuração de confiança selecionada.

gcloud

Use o comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Substitua:

  • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

API

Faça uma solicitação GET ao método trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.

Excluir uma configuração de confiança

Antes de excluir uma configuração de confiança, remova-a do recurso de autenticação do cliente (ServerTlsPolicy).

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de confiança, marque a caixa de seleção da configuração de confiança que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Use o comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Substitua:

  • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

API

Faça uma solicitação DELETE ao método trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud.
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.

A seguir