Gerenciar configurações de confiança

Nesta página, descrevemos como criar e gerenciar configurações de confiança para uso em conjunto Cenários de autenticação TLS (mTLS).

Para saber mais, acesse os recursos a seguir:

As instruções gcloud nesta página pressupõem que você está usando o Cloud Shell ou outro ambiente com o bash instalado. Para mais informações sobre os comandos gcloud usados nesta página, consulte a Referência da CLI do Gerenciador de certificados

Criar uma configuração de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados (roles/certificatemanager.editor)
  • Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para criar uma configuração de confiança, siga estas etapas:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Trust Configs, clique em Add Trust Config.

  3. No campo Nome, insira um nome para a configuração.

    O nome do projeto precisa ser exclusivo. Além disso, ele precisa começar com uma letra minúscula. seguida de até 62 letras minúsculas, números ou hifens e precisa não pode terminar com hífen.

  4. Opcional: no campo Descrição, insira uma descrição para a configuração. Essa descrição ajuda a identificar uma configuração específica mais tarde.

  5. Opcional: no campo Labels, especifique rótulos para associar à configuração de confiança. Para adicionar um rótulo, clique em Adicionar rótulo e especifique uma chave e um valor para o rótulo.

  6. Em Local, selecione Global ou Regional.

    Se você selecionou Regional, selecione a Região.

  7. Na seção Repositório de confiança, adicione âncoras de confiança e ACs intermediárias.

    É possível especificar várias âncoras de confiança e certificados intermediários usando várias instâncias do payload PEM completo para o certificado, um certificado por instância.

    1. Na seção Âncoras de confiança, clique em Adicionar âncora de confiança e faça upload do arquivo de certificado codificado em PEM ou copie o conteúdo do certificado. Quando terminar, clique em Adicionar.
    2. Opcional: na seção ACs intermediárias, clique em Adicionar AC intermediária e fazer o upload do arquivo do certificado intermediário codificado em PEM ou copiar o conteúdo do certificado intermediário. Quando terminar, clique em Adicionar.

      Essa etapa permite adicionar outro nível de confiança entre o certificado raiz e o certificado do servidor.

    3. Opcional: na seção Certificados na lista de permissões, clique em Adicionar certificado e faça o upload do arquivo de certificado codificado em PEM ou copie o conteúdo do certificado. Isso adiciona o certificado a uma lista de permissões. Quando terminar, clique em Adicionar.

      Um certificado adicionado a uma lista de permissões representa qualquer que podem ser encapsulados na configuração de confiança para que sejam sempre considerados válidos. Para encapsular vários certificados em uma lista de permissões na configuração de confiança, use várias instâncias de pemCertificate campo, um certificado por instância adicionado a uma lista de permissões. Um adicionado a uma lista de permissões é sempre considerado válido desde que o certificado seja analisável, prova de posse de chave privada foi estabelecido, e as restrições no campo "SAN" do certificado atendidas. Certificados expirados também são considerados válidos quando adicionados a uma lista de permissões. Para mais informações sobre o formato PEM, consulte RFC 7468.

  8. Clique em Criar.

Verifique se a nova configuração de confiança aparece na lista de configurações.

gcloud

  1. Criar um arquivo YAML de configuração de confiança que especifique os parâmetros de configuração de confiança.

    O arquivo tem o seguinte formato:

    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Substitua:

    • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para que o certificado use para esse recurso de configuração de confiança.
    • INTER_CERT_PEM_PAYLOAD: o PEM completo payload do certificado intermediário a ser usado nesta configuração de confiança recurso. Este valor é opcional.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de permissões usar para este recurso de configuração de confiança. Este valor é opcional.

    É possível especificar várias âncoras de confiança e certificados intermediários usando várias instâncias do campo pemCertificate, um certificado por instância, nas respectivas seções da especificação do recurso de configuração de confiança.

    Um certificado adicionado a uma lista de permissões representa qualquer certificado que possa ser encapsulado na configuração de confiança para que seja sempre considerado válido. Para encapsular vários certificados em uma lista de permissões na configuração de confiança, use várias instâncias de pemCertificate campo, um certificado por instância adicionado a uma lista de permissões. Um certificado adicionado a uma lista de permissões sempre é considerado válido desde que seja analisável, a comprovação de posse da chave privada seja estabelecida e as restrições no campo SAN do certificado sejam atendidas. Certificados expirados também são considerados válidos quando adicionados a uma lista de permissões. Para mais informações sobre o formato PEM, consulte RFC 7468.

  2. Para importar o arquivo YAML de configuração de confiança, use o comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    Substitua:

    • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
    • PROJECT_ID: o ID do projeto de destino do Google Cloud.
    • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo YAML de configuração de confiança que você criou na etapa 1.
    • LOCATION: a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.

API

Faça uma solicitação POST ao método trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": {
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  },
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
  • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Este valor é opcional.
  • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM que o certificado use para esse recurso de configuração de confiança.
  • INTER_CERT_PEM_PAYLOAD: o PEM completo payload do certificado intermediário a ser usado nesta configuração de confiança recurso. Este valor é opcional.
  • ALLOWLISTED_CERT: o certificado que será adicionado a uma lista de permissões para usar nesse recurso de configuração de confiança. Esse valor é opcional.

Atualizar uma configuração de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Editor do Gerenciador de certificados (roles/certificatemanager.editor)
  • Proprietário do Gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para atualizar uma configuração de confiança, siga estas etapas:

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de confiança, localize e selecione a configuração de confiança que você quer atualizar.

  3. Na coluna Mais opções, clique no para a configuração que você quer atualizar e selecione Editar.

  4. Faça as mudanças necessárias.

  5. Clique em Salvar.

Verifique se as mudanças na configuração foram atualizadas.

gcloud

  1. Criar um arquivo YAML atualizado da configuração de confiança que especifique a nova confiança parâmetros de configuração. O arquivo tem o seguinte formato:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Substitua:

    • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
    • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM que o certificado use para esse recurso de configuração de confiança.
    • INTER_CERT_PEM_PAYLOAD: o payload PEM completo para o certificado intermediário a ser usado para este recurso de configuração de confiança. Este valor é opcional.
    • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de permissões usar para este recurso de configuração de confiança. Este valor é opcional.
  2. Importe o novo arquivo de configuração de confiança no Gerenciador de certificados com o nome do recurso de configuração de confiança atual:

    Use o comando gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    Substitua:

    • TRUST_CONFIG_ID: o ID do trust de destino config.
    • PROJECT_ID: o ID do projeto do Google Cloud de destino.
    • TRUST_CONFIG_FILE: o caminho e o nome completos do arquivo de configuração de confiança atualizado.
    • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.

API

Faça uma solicitação PATCH ao método trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": {
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    },
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: o ID da configuração de confiança de destino. recurso.
  • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Essa descrição é opcional.
  • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para que o certificado use para esse recurso de configuração de confiança.
  • INTER_CERT_PEM_PAYLOAD: o payload PEM completo do certificado intermediário a ser usado para este recurso de configuração de confiança. Este valor é opcional.
  • ALLOWLISTED_CERT: o certificado adicionado a uma lista de permissões para uso com esse recurso de configuração de confiança. Esse valor é opcional.

Listar configurações de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Leitor do Gerenciador de certificados (roles/certificatemanager.viewer)
  • Editor do Gerenciador de certificados (roles/certificatemanager.editor)
  • Proprietário do Gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para listar as configurações de confiança configuradas, siga estas etapas.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acesse o Gerenciador de certificados.

  2. Clique na guia Configurações de confiança.

    A guia mostra uma lista de recursos de configuração de confiança configurados.

gcloud

Use o comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Substitua:

  • FILTER: uma expressão que restringe o resultados a valores específicos.

    Por exemplo, você pode filtrar os resultados pelos seguintes critérios:

    • Rótulos e horário da criação: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Para mais exemplos de filtragem que você pode usar com "Gerenciador de certificados", consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.

  • PAGE_SIZE: o número de resultados que serão retornados por página.

  • LIMIT: o número máximo de resultados a serem retornados.

  • SORT_BY: uma lista delimitada por vírgulas de campos name pela qual os resultados retornados são classificados.

    A ordem de classificação padrão é crescente. Para a ordem de classificação decrescente, Adicione um til (~) ao campo escolhido.

  • LOCATION: o atributo de local especifica a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

API

Faça uma solicitação GET ao método trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua:

  • PROJECT_ID: o ID do projeto do Google Cloud de destino.
  • FILTER: uma expressão que restringe os resultados retornados a valores específicos.
  • PAGE_SIZE: o número de resultados a serem retornados por página.
  • SORT_BY: uma lista delimitada por vírgulas de nomes de campos por que os resultados retornados são classificados.

    A ordem de classificação padrão é crescente. Para ordem de classificação decrescente, prefixe campo selecionado com um til (~).

  • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.

Configurações de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto do Google Cloud de destino:

  • Leitor do Gerenciador de certificados (roles/certificatemanager.viewer)
  • Editor do Gerenciador de certificados (roles/certificatemanager.editor)
  • Proprietário do Gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para conferir uma configuração de confiança, siga estas etapas.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acesse o Gerenciador de certificados.

  2. Clique na guia Configurações de confiança. A guia mostra uma lista de recursos configurados de configuração de confiança.

  3. Selecione o recurso de configuração de confiança para conferir os detalhes.

    A página Detalhes da configuração de confiança mostra informações detalhadas sobre a configuração de confiança selecionada.

gcloud

Use o comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Substitua:

  • TRUST_CONFIG_ID: o ID da configuração de confiança de destino.
  • LOCATION: a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.

API

Faça uma solicitação GET ao método trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • TRUST_CONFIG_ID: o ID da configuração de confiança de destino.
  • LOCATION: o atributo de local especifica a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

Excluir uma configuração de confiança

Para concluir esta tarefa, é necessário ter o papel de proprietário do gerenciador de certificados (roles/certificatemanager.owner) no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

Para excluir uma configuração de confiança, siga estas etapas.

Console

  1. No console do Google Cloud, acesse a página Gerenciador de certificados.

    Acessar o Gerenciador de certificados

  2. Na guia Configurações de confiança, marque a caixa de seleção da configuração de confiança que você quer excluir.

  3. Clique em Excluir.

  4. Na caixa de diálogo exibida, clique em Excluir para confirmar.

gcloud

Use o comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Substitua:

  • TRUST_CONFIG_ID: o ID do trust de destino configuração
  • LOCATION: a região em que o recurso de configuração de confiança é armazenado. O local padrão é global.

API

Faça uma solicitação DELETE ao método trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Substitua:

  • PROJECT_ID: o ID do projeto de destino do Google Cloud.
  • LOCATION: a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.
  • TRUST_CONFIG_ID: o ID da configuração de confiança de destino.

A seguir