Administrar la configuración de confianza

En esta página, se describe cómo crear y administrar la configuración de confianza para su uso mutuo Situaciones de autenticación TLS (mTLS).

Para obtener más información, consulta los siguientes recursos:

• Para obtener más información sobre las configuraciones de confianza, las anclas de confianza y los recursos intermedios certificados, consulta Configuración de confianza en Cómo funciona el Administrador de certificados.

• Para obtener más información sobre mTLS, consulta Autenticación mutua de TLS. en la documentación de Cloud Load Balancing.

• Si quieres usar una configuración de confianza para configurar mTLS en tu proxy de destino, consulta una de las las siguientes páginas en la documentación de Cloud Load Balancing:

  • Configura la TLS mutua con certificados firmados
  • Configura la TLS mutua con una CA privada

En las instrucciones de gcloud de esta página, se supone que estás usando Cloud Shell o algún otro entorno con bash instalado Para obtener más información sobre los comandos de gcloud que se usan en esta página, consulta el Referencia de la CLI del Administrador de certificados.

Crea una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para crear una configuración de confianza, completa los siguientes pasos:

1. Crea un archivo YAML de configuración de confianza que especifique los parámetros de esta configuración. El archivo tiene el siguiente formato:

   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica esto. recurso de configuración de confianza.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa. que usará el certificado para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es el PEM completo. carga útil que usará el certificado intermedio para esta configuración de confianza recurso. Este valor es opcional.

   • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a un lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

     Puedes especificar varias anclas de confianza y certificados intermedios de las siguientes maneras: con varias instancias del campo pemCertificate, se usará un por instancia, en sus respectivas secciones del recurso de configuración de confianza especificación.

     Un certificado que se agrega a una lista de entidades permitidas representa cualquier certificado que puede encapsularse en la configuración de confianza para que siempre se considere válido. Para encapsular varios certificados en una lista de entidades permitidas del configuración de confianza, usa varias instancias del campo pemCertificate, una certificado por instancia. No necesitas un almacén de confianza mientras usas certificados que se agregan a una lista de entidades permitidas. Un certificado que se agrega a una lista de entidades permitidas siempre se considera válido, siempre y cuando analizable, se establece una prueba de posesión de la clave privada y restricciones en el campo SAN del certificado. Los certificados vencidos también se se consideran válidos cuando se agregan a una lista de entidades permitidas. Más información sobre el formato con codificación PEM, consulta RFC 7468

2. Importa el archivo de configuración de confianza al Administrador de certificados:

   gcloud

   Usa el comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica esto. recurso de configuración de confianza.
   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del objeto en el archivo YAML de configuración de confianza que creaste en el paso 1.
   • LOCATION: Es la región en la que se encuentra el recurso de configuración de confianza. cuando se almacena. La ubicación predeterminada es global.

   API

   Realiza una solicitud POST al método trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
   • TRUST_CONFIG_ID: Es un ID único que identifica esto. recurso de configuración de confianza.
   • DESCRIPTION: una descripción significativa para este recurso de configuración de confianza. Este valor es opcional.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa. que usará el certificado para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es el PEM completo. carga útil que usará el certificado intermedio para esta configuración de confianza recurso. Este valor es opcional.
   • ALLOWLISTED_CERT: Es el certificado que se agrega al una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es de opcional.

Actualizar una configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para actualizar una configuración de confianza, completa los siguientes pasos:

1. Crea un archivo YAML de configuración de confianza actualizado que especifique la confianza nueva config. El archivo tiene el siguiente formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es un ID único que identifica esto. recurso de configuración de confianza.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa. que usará el certificado para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: Es el PEM completo. carga útil que usará el certificado intermedio para esta configuración de confianza recurso. Este valor es opcional.
   • ALLOWLISTED_CERT1 y ALLOWLISTED_CERT2: Son los certificados que se agregan a un lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es opcional.

2. Importa el nuevo archivo de configuración de confianza al Administrador de certificados con el nombre del recurso de configuración de confianza existente:

   gcloud

   Usa el comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Reemplaza lo siguiente:

   • TRUST_CONFIG_ID: Es el ID de la relación de confianza de destino. recurso de configuración.
   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • TRUST_CONFIG_FILE: Es la ruta de acceso completa y el nombre del objeto archivo de configuración de confianza actualizado.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.

   API

   Realiza una solicitud PATCH al método trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto de Google Cloud de destino.
   • LOCATION: El atributo de ubicación especifica la región en la que se almacena el recurso de configuración de confianza. La ubicación predeterminada es global.
   • TRUST_CONFIG_ID: Es el ID de la configuración de confianza de destino. recurso.
   • DESCRIPTION: Una descripción significativa para esto recurso de configuración de confianza. Esta descripción es opcional.
   • CERTIFICATE_PEM_PAYLOAD: Es la carga útil de PEM completa. que usará el certificado para este recurso de configuración de confianza.
   • INTER_CERT_PEM_PAYLOAD: el conjunto de datos Carga útil de PEM para el certificado intermedio que se usará para esta configuración de confianza recurso de configuración. Este valor es opcional.
   • ALLOWLISTED_CERT: Es el certificado que se agrega al una lista de entidades permitidas para usar en este recurso de configuración de confianza. Este valor es de opcional.

Enumera las configuraciones de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

• Visualizador del Administrador de certificados (roles/certificatemanager.viewer)
• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para mostrar una lista de las configuraciones de confianza configuradas, completa los siguientes pasos.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ver la configuración de confianza

Para completar esta tarea, debes tener uno de los siguientes roles en el destino Proyecto de Google Cloud:

• Visualizador del Administrador de certificados (roles/certificatemanager.viewer)
• Editor del Administrador de certificados (roles/certificatemanager.editor)
• Propietario del Administrador de certificados (roles/certificatemanager.owner)

Para obtener más información, consulta Funciones y permisos.

Para ver una configuración de confianza, completa los siguientes pasos.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Borra una configuración de confianza

Para completar esta tarea, debes tener el rol Propietario del administrador de certificados (roles/certificatemanager.owner) en el proyecto de Google Cloud de destino.

Para obtener más información, consulta Funciones y permisos.

Para borrar una configuración de confianza, completa los siguientes pasos.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

¿Qué sigue?

• Administra certificados
• Administrar mapas de certificados
• Administra las entradas del mapa de certificados
• Administra autorizaciones de DNS
• Administra los parámetros de configuración de emisión de certificados