Cette page explique comment créer et gérer des configurations de confiance à utiliser dans les scénarios d'authentification TLS mutuelle (mTLS).
Pour en savoir plus sur le mTLS, consultez les ressources suivantes:
Pour comprendre les concepts de configurations de confiance, d'ancres de confiance et de certificats intermédiaires, consultez la section Configurations de confiance.
Pour en savoir plus sur mTLS, consultez la présentation de mTLS dans la documentation de Cloud Load Balancing.
Pour utiliser une configuration de confiance pour configurer mTLS sur votre proxy cible, consultez les pages suivantes de la documentation sur l'équilibrage de charge Cloud:
Créer une configuration de confiance
Lorsque vous créez une configuration de confiance, vous devez spécifier les ancrages de confiance utilisés pour valider le certificat.
Pour créer une configuration de confiance, procédez comme suit:
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Configurations d'approbation, cliquez sur Ajouter une configuration d'approbation.
Dans le champ Nom, saisissez un nom pour la configuration.
Le nom doit être unique au projet. Il doit également commencer par une lettre minuscule, suivie d'un maximum de 62 caractères (lettres minuscules, chiffres ou traits d'union) et ne doit pas se terminer par un trait d'union.
Facultatif: Dans le champ Description, saisissez une description de la configuration. Cette description vous aidera à identifier une configuration spécifique plus tard.
Facultatif: dans le champ Libellés, spécifiez les libellés à associer à la configuration de confiance. Pour ajouter un libellé, cliquez sur
Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.Pour Emplacement, sélectionnez Mondial ou Régional.
Si vous avez sélectionné Régional, sélectionnez la Région.
Dans la section Truststore (Truststore), ajoutez des ancres de confiance et des autorités de certification intermédiaires.
Vous pouvez spécifier plusieurs points d'ancrage de confiance et certificats intermédiaires en utilisant plusieurs instances de la charge utile PEM complète pour le certificat, un certificat par instance.
Dans la section Trust anchors (Ancres de confiance), cliquez sur Add trust anchor (Ajouter une ancre de confiance) et importez le fichier de certificat encodé au format PEM ou copiez le contenu du certificat. Lorsque vous avez terminé, cliquez sur Ajouter.
Facultatif: dans la section Autorités de certification intermédiaires, cliquez sur Ajouter une autorité de certification intermédiaire et importez le fichier de certificat intermédiaire encodé au format PEM ou copiez le contenu du certificat intermédiaire. Lorsque vous avez terminé, cliquez sur Ajouter.
Cette étape vous permet d'ajouter un autre niveau de confiance entre le certificat racine et votre certificat de serveur.
Facultatif: dans la section Certificats de la liste d'autorisation, cliquez sur Ajouter un certificat et importez le fichier de certificat encodé au format PEM ou copiez le contenu du certificat. Le certificat est alors ajouté à une liste d'autorisation. Lorsque vous avez terminé, cliquez sur Ajouter.
Pour spécifier plusieurs points d'ancrage de confiance ou certificats intermédiaires dans la spécification de la ressource de configuration de confiance, utilisez plusieurs instances du champ
pemCertificate
. Chaque instance du champ contient un seul certificat.La configuration de confiance considère toujours un certificat figurant sur une liste d'autorisation comme valide. Pour encapsuler plusieurs certificats dans une liste d'autorisation, utilisez plusieurs instances du champ
pemCertificate
, un certificat par instance. Vous n'avez pas besoin d'un magasin de confiance lorsque vous utilisez des certificats ajoutés à une liste d'autorisation.La configuration de confiance considère toujours qu'un certificat figurant sur une liste d'autorisation est valide s'il remplit des conditions spécifiques: il doit être analysable, disposer d'une preuve de propriété de la clé privée et respecter les contraintes du champ SAN du certificat. Les certificats expirés sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus sur l'encodage au format PEM, consultez la RFC 7468.
Cliquez sur Créer.
Vérifiez que la nouvelle configuration de confiance apparaît dans la liste des configurations.
gcloud
Créez un fichier YAML de configuration de confiance qui spécifie les paramètres de configuration de confiance.
Le fichier a le format suivant:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.CERTIFICATE_PEM_PAYLOAD
: la charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: la charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance.ALLOWLISTED_CERT1
etALLOWLISTED_CERT2
: certificats ajoutés à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance.
Pour spécifier plusieurs points d'ancrage de confiance ou certificats intermédiaires dans la spécification de la ressource de configuration de confiance, utilisez plusieurs instances du champ
pemCertificate
. Chaque instance du champ contient un seul certificat.La configuration de confiance considère toujours un certificat figurant sur une liste d'autorisation comme valide. Pour encapsuler plusieurs certificats dans une liste d'autorisation, utilisez plusieurs instances du champ
pemCertificate
, un certificat par instance. Vous n'avez pas besoin d'un magasin de confiance lorsque vous utilisez des certificats ajoutés à une liste d'autorisation.La configuration de confiance considère toujours qu'un certificat figurant sur une liste d'autorisation est valide s'il remplit des conditions spécifiques: il doit être analysable, disposer d'une preuve de propriété de la clé privée et respecter les contraintes du champ SAN du certificat. Les certificats expirés sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus sur l'encodage au format PEM, consultez la RFC 7468.
Pour importer le fichier YAML de configuration de confiance, utilisez la commande
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.PROJECT_ID
: ID du projet Google Cloud.TRUST_CONFIG_FILE
: chemin d'accès complet et nom du fichier YAML de configuration de confiance que vous avez créé à l'étape 1.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête POST
à la méthode trustConfigs.create
:
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.DESCRIPTION
: description pertinente pour cette ressource de configuration de confiance. Cette valeur est facultative.CERTIFICATE_PEM_PAYLOAD
: la charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: la charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance. Cette valeur est facultative.ALLOWLISTED_CERT
: certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Mettre à jour une configuration de confiance
Pour mettre à jour une configuration de confiance, vous devez créer un autre fichier YAML de configuration de confiance qui spécifie les nouveaux paramètres de configuration de confiance, puis importer ce fichier dans le Gestionnaire de certificats.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Trust Configs (Configurations de confiance), recherchez et sélectionnez la configuration de confiance que vous souhaitez mettre à jour.
Dans la colonne Autres options, cliquez sur
Autres actions pour la configuration que vous souhaitez mettre à jour, puis sélectionnez Modifier.Apportez les modifications nécessaires.
Cliquez sur Enregistrer.
Vérifiez que les modifications de configuration sont mises à jour.
gcloud
Exportez le fichier YAML de configuration de confiance.
gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \ --project=PROJECT_ID \ --destination=TRUST_CONFIG_FILE \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.PROJECT_ID
: ID du projet Google Cloud.TRUST_CONFIG_FILE
: chemin d'accès complet et nom du fichier YAML de configuration de confiance.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
Modifiez le fichier YAML de configuration de confiance.
Le fichier a le format suivant:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.CERTIFICATE_PEM_PAYLOAD
: la charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: la charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance. Cette valeur est facultative.ALLOWLISTED_CERT1
etALLOWLISTED_CERT2
: certificats ajoutés à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Importez le nouveau fichier de configuration de confiance dans le Gestionnaire de certificats avec le nom de ressource de configuration de confiance existant.
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.PROJECT_ID
: ID du projet Google Cloud.TRUST_CONFIG_FILE
: chemin d'accès complet et nom du fichier YAML de configuration de confiance.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête PATCH
à la méthode trustConfigs.update
:
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.DESCRIPTION
: description pertinente pour cette ressource de configuration de confiance. Cette description est facultative.CERTIFICATE_PEM_PAYLOAD
: la charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD
: la charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance. Cette valeur est facultative.ALLOWLISTED_CERT
: certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Lister les configurations de confiance
Vous pouvez afficher toutes les configurations de confiance configurées de votre projet.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Cliquez sur l'onglet Trust Configs (Configurations de confiance). L'onglet affiche la liste des ressources de configuration de confiance configurées.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs list
:
gcloud certificate-manager trust-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY" \ --location=LOCATION
Remplacez les éléments suivants :
FILTER
: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par libellé et heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Pour plus d'exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.
PAGE_SIZE
: nombre de résultats à renvoyer par page.LIMIT
: nombre maximal de résultats à renvoyer.SORT_BY
: liste de champsname
séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~
) au champ.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
. Pour afficher toutes les configurations de confiance pour tous les emplacements, spécifiez un seul trait d'union (-
).
API
Envoyez une requête GET
à la méthode trustConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.LOCATION
: région où la ressource de configuration de confiance est stockée. Pour afficher toutes les configurations de confiance pour tous les emplacements, spécifiez un seul trait d'union (-
).FILTER
: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par libellé et heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Pour plus d'exemples de filtrage que vous pouvez utiliser avec le Gestionnaire de certificats, consultez la section Trier et filtrer les résultats de la liste dans la documentation de Cloud Key Management Service.
PAGE_SIZE
: nombre de résultats à renvoyer par page.SORT_BY
: liste de champsname
séparés par une virgule par lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre de tri décroissant, ajoutez un tilde (~
) au champ.
Afficher les configurations de confiance
Vous pouvez afficher les détails d'une configuration de confiance spécifique.
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Cliquez sur l'onglet Trust Configs (Configurations de confiance). L'onglet affiche une liste des ressources de configuration de confiance configurées.
Sélectionnez la ressource de configuration de confiance pour afficher ses détails. La page Détails de la configuration de confiance affiche des informations détaillées sur la configuration de confiance sélectionnée.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs describe
:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête GET
à la méthode trustConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.
Supprimer une configuration de confiance
Avant de supprimer une configuration de confiance, détachez-la de la ressource d'authentification client (ServerTlsPolicy
).
Console
Dans la console Google Cloud, accédez à la page Gestionnaire de certificats.
Dans l'onglet Configurations de confiance, cochez la case correspondant à la configuration de confiance que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs delete
:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.
API
Envoyez une requête DELETE
à la méthode trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Remplacez les éléments suivants :
PROJECT_ID
: ID du projet Google Cloud.LOCATION
: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal
.TRUST_CONFIG_ID
: ID de la ressource de configuration de confiance.
Étape suivante
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer les ressources de configuration d'émission de certificats