Gérer les configurations de confiance

Cette page explique comment créer et gérer des configurations de confiance à utiliser dans les scénarios d'authentification TLS mutuelle (mTLS).

Pour en savoir plus, consultez les ressources suivantes :

• Pour en savoir plus sur les configurations de confiance, les points d'ancrage de confiance et les certificats intermédiaires, consultez la section Configurations de confiance dans Fonctionnement du gestionnaire de certificats.

• Pour en savoir plus sur mTLS, consultez la section Authentification TLS mutuelle dans la documentation Cloud Load Balancing.

• Pour utiliser une configuration de confiance pour configurer mTLS sur votre proxy cible, consultez l'une des pages suivantes de la documentation sur l'équilibrage de charge Cloud :

  • Configurer un protocole TLS mutuel avec des certificats signés
  • Configurer un protocole TLS mutuel avec une autorité de certification privée

Les instructions gcloud de cette page supposent que vous utilisez Cloud Shell ou un autre environnement avec bash installé. Pour en savoir plus sur les commandes gcloud utilisées sur cette page, consultez la documentation de référence de la CLI Certificate Manager.

Créer une configuration de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez la section Rôles et autorisations.

Pour créer une configuration de confiance, procédez comme suit:

1. Créez un fichier YAML de configuration de confiance qui spécifie les paramètres de configuration de confiance. Le fichier a le format suivant:

   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID: un identifiant unique qui l'identifie ressource de configuration de confiance.
   • CERTIFICATE_PEM_PAYLOAD : la charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD : la charge utile PEM complète du certificat intermédiaire à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.

   • ALLOWLISTED_CERT1 et ALLOWLISTED_CERT2: les certificats ajoutés à un à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.

     Vous pouvez spécifier plusieurs ancres de confiance et certificats intermédiaires en en utilisant plusieurs instances du champ pemCertificate, un certificat par instance, dans leurs sections respectives de la ressource de configuration de confiance spécifique.

     Un certificat ajouté à une liste d'autorisation représente tout certificat qui peut être encapsulée dans la configuration de confiance afin qu'elle soit toujours considérée comme valide. Pour encapsuler plusieurs certificats sur une liste d'autorisation dans la configuration de confiance, utilisez plusieurs instances du champ pemCertificate, un certificat par instance. Vous n'avez pas besoin d'un magasin de confiance lorsque vous utilisez des certificats ajoutés à une liste d'autorisation. Un certificat qui est ajouté à une liste d'autorisation est toujours considérée comme valide tant que le certificat analysable, la preuve de la possession d'une clé privée est établie et les contraintes dans le champ SAN du certificat sont remplis. Les certificats arrivés à expiration sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus sur l'encodage au format PEM, consultez la RFC 7468.

2. Importez le fichier de configuration de confiance dans le gestionnaire de certificats:

   gcloud

   Exécutez la commande gcloud certificate-manager trust-configs import :

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID : ID unique qui identifie cette ressource de configuration de confiance.
   • PROJECT_ID : ID du projet Google Cloud cible.
   • TRUST_CONFIG_FILE: chemin d'accès complet et nom du fichier YAML de configuration de confiance créé à l'étape 1.
   • LOCATION : région où la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.

   API

   Envoyez une requête POST à la méthode trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Remplacez les éléments suivants :

   • PROJECT_ID : ID du projet Google Cloud cible.
   • LOCATION: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.
   • TRUST_CONFIG_ID : ID unique qui identifie cette ressource de configuration de confiance.
   • DESCRIPTION: description pertinente pour cette ressource de configuration de confiance. Cette valeur est facultative.
   • CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD : la charge utile PEM complète du certificat intermédiaire à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
   • ALLOWLISTED_CERT: le certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est (facultatif).

Mettre à jour une configuration de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez Rôles et autorisations

Pour mettre à jour une configuration de confiance, procédez comme suit:

1. Créer un fichier YAML de configuration de confiance mis à jour qui spécifie la nouvelle approbation paramètres de configuration. Le fichier a le format suivant :

   name: "TRUST_CONFIG_ID"
   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID : ID unique qui identifie cette ressource de configuration de confiance.
   • CERTIFICATE_PEM_PAYLOAD : la charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD : la charge utile PEM complète du certificat intermédiaire à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
   • ALLOWLISTED_CERT1 et ALLOWLISTED_CERT2: les certificats ajoutés à un à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.

2. Importez le nouveau fichier de configuration de confiance dans le Gestionnaire de certificats avec le nom de la ressource de configuration de confiance existante :

   gcloud

   Exécutez la commande gcloud certificate-manager trust-configs import :

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Remplacez les éléments suivants :

   • TRUST_CONFIG_ID : ID de la ressource de configuration de confiance cible.
   • PROJECT_ID : ID du projet Google Cloud cible.
   • TRUST_CONFIG_FILE : chemin d'accès complet et nom du fichier de configuration de confiance mis à jour.
   • LOCATION : l'attribut location spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.

   API

   Envoyez une requête PATCH à la méthode trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Remplacez les éléments suivants :

   • PROJECT_ID : ID du projet Google Cloud cible.
   • LOCATION: l'attribut "location" spécifie la région dans laquelle la ressource de configuration de confiance est stockée. L'emplacement par défaut est global.
   • TRUST_CONFIG_ID: ID de la configuration de confiance cible ressource.
   • DESCRIPTION: description pertinente de ce ressource de configuration de confiance. Cette description est facultative.
   • CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour cette ressource de configuration de confiance.
   • INTER_CERT_PEM_PAYLOAD: l'état (complète) Charge utile PEM du certificat intermédiaire à utiliser pour cette configuration de confiance ressource de configuration. Cette valeur est facultative.
   • ALLOWLISTED_CERT: le certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.

Lister les configurations de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

• Lecteur du gestionnaire de certificats (roles/certificatemanager.viewer)
• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez Rôles et autorisations

Pour afficher les configurations de confiance configurées, procédez comme suit :

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Afficher les configurations de confiance

Pour effectuer cette tâche, vous devez disposer de l'un des rôles suivants sur le projet Google Cloud cible :

• Lecteur du gestionnaire de certificats (roles/certificatemanager.viewer)
• Éditeur du gestionnaire de certificats (roles/certificatemanager.editor)
• Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner)

Pour en savoir plus, consultez la section Rôles et autorisations.

Pour afficher une configuration d'approbation, procédez comme suit :

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Supprimer une configuration de confiance

Pour effectuer cette tâche, vous devez disposer du rôle Propriétaire du gestionnaire de certificats (roles/certificatemanager.owner) sur le projet Google Cloud cible.

Pour en savoir plus, consultez Rôles et autorisations

Pour supprimer une configuration de confiance, procédez comme suit :

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Étape suivante

• Gérer les certificats
• Gérer les mappages de certificats
• Gérer les entrées de mappage de certificats
• Gérer les autorisations DNS
• Gérer les configurations d'émission de certificats