Mengelola konfigurasi tepercaya

Halaman ini menjelaskan cara membuat dan mengelola konfigurasi kepercayaan untuk digunakan dalam skenario autentikasi TLS bersama (mTLS).

Untuk informasi selengkapnya tentang mTLS, lihat referensi berikut:

Membuat konfigurasi kepercayaan

Saat membuat konfigurasi kepercayaan, Anda harus menentukan anchor kepercayaan yang digunakan untuk memvalidasi sertifikat.

Untuk membuat konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Trust Configs, klik Add Trust Config.

  3. Di kolom Nama, masukkan nama untuk konfigurasi.

    Nama harus unik untuk project. Selain itu, nama harus dimulai dengan huruf kecil, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung, dan tidak boleh diakhiri dengan tanda hubung.

  4. Opsional: Di kolom Deskripsi, masukkan deskripsi untuk konfigurasi. Deskripsi ini membantu Anda mengidentifikasi konfigurasi tertentu nanti.

  5. Opsional: Di kolom Labels, tentukan label yang akan dikaitkan dengan konfigurasi kepercayaan. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  6. Untuk Location, pilih Global atau Regional.

    Jika Anda memilih Regional, pilih Region.

  7. Di bagian Trust store, tambahkan trust anchor dan CA perantara.

    Anda dapat menentukan beberapa anchor kepercayaan dan intermediate certificate dengan menggunakan beberapa instance payload PEM lengkap untuk sertifikat, satu sertifikat per instance.

    1. Di bagian Trust anchors , klik Add trust anchor dan upload file sertifikat yang dienkode PEM, atau salin konten sertifikat. Setelah selesai, klik Tambahkan.

    2. Opsional: Di bagian Intermediate CAs, klik Add intermediate CA dan upload file sertifikat perantara yang dienkode PEM, atau salin konten sertifikat perantara. Setelah selesai, klik Tambahkan.

      Langkah ini memungkinkan Anda menambahkan tingkat kepercayaan lain antara root certificate dan sertifikat server Anda.

    3. Opsional: Di bagian Sertifikat yang diizinkan, klik Tambahkan sertifikat dan upload file sertifikat berenkode PEM, atau salin konten sertifikat. Tindakan ini akan menambahkan sertifikat ke daftar yang diizinkan. Setelah selesai, klik Tambahkan.

    Untuk menentukan beberapa anchor kepercayaan atau sertifikat perantara dalam spesifikasi resource konfigurasi kepercayaan, gunakan beberapa instance kolom pemCertificate. Setiap instance kolom berisi satu sertifikat.

    Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan sebagai valid. Untuk mengenkapsulasi beberapa sertifikat di daftar yang diizinkan, gunakan beberapa instance kolom pemCertificate, satu sertifikat per instance. Anda tidak memerlukan trust store saat menggunakan sertifikat yang ditambahkan ke daftar yang diizinkan.

    Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan valid jika memenuhi kondisi tertentu: sertifikat harus dapat diuraikan, memiliki bukti kepemilikan kunci pribadi, dan mematuhi batasan pada kolom SAN sertifikat. Sertifikat yang sudah tidak berlaku juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.

  8. Klik Buat.

Pastikan konfigurasi kepercayaan baru muncul dalam daftar konfigurasi.

gcloud

  1. Buat file YAML konfigurasi kepercayaan yang menentukan parameter konfigurasi kepercayaan.

    File memiliki format berikut:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.
    • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan.
    • ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini.

    Untuk menentukan beberapa anchor kepercayaan atau sertifikat perantara dalam spesifikasi resource konfigurasi kepercayaan, gunakan beberapa instance kolom pemCertificate. Setiap instance kolom berisi satu sertifikat.

    Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan sebagai valid. Untuk mengenkapsulasi beberapa sertifikat di daftar yang diizinkan, gunakan beberapa instance kolom pemCertificate, satu sertifikat per instance. Anda tidak memerlukan trust store saat menggunakan sertifikat yang ditambahkan ke daftar yang diizinkan.

    Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan valid jika memenuhi kondisi tertentu: sertifikat harus dapat diuraikan, memiliki bukti kepemilikan kunci pribadi, dan mematuhi batasan pada kolom SAN sertifikat. Sertifikat yang sudah tidak berlaku juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.

  2. Untuk mengimpor file YAML konfigurasi kepercayaan, gunakan perintah gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • PROJECT_ID: ID project Google Cloud.
    • TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan yang Anda buat di langkah 1.
    • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan POST ke metode trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
  • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.
  • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan. Nilai ini bersifat opsional.
  • ALLOWLISTED_CERT: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

Mengupdate konfigurasi tepercaya

Untuk memperbarui konfigurasi kepercayaan, Anda membuat file YAML konfigurasi kepercayaan lain yang menentukan parameter konfigurasi kepercayaan baru dan mengimpor file ini ke Pengelola Sertifikat.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Trust Configs, temukan dan pilih konfigurasi kepercayaan yang ingin Anda update.

  3. Di kolom More Options, klik More actions untuk konfigurasi yang ingin Anda update, lalu pilih Edit.

  4. Buat perubahan yang diperlukan.

  5. Klik Simpan.

Pastikan perubahan konfigurasi telah diperbarui.

gcloud

  1. Ekspor file YAML konfigurasi kepercayaan.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
        --project=PROJECT_ID \
        --destination=TRUST_CONFIG_FILE \
        --location=LOCATION
    

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • PROJECT_ID: ID project Google Cloud.
    • TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan.
    • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
  2. Edit file YAML konfigurasi kepercayaan.

    File memiliki format berikut:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.
    • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan. Nilai ini bersifat opsional.
    • ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
  3. Impor file konfigurasi kepercayaan baru ke Pengelola Sertifikat dengan nama resource konfigurasi kepercayaan yang ada.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
        --project=PROJECT_ID \
        --source=TRUST_CONFIG_FILE \
        --location=LOCATION
    

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • PROJECT_ID: ID project Google Cloud.
    • TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan.
    • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan PATCH ke metode trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Deskripsi ini bersifat opsional.
  • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.
  • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan. Nilai ini bersifat opsional.
  • ALLOWLISTED_CERT: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

Mencantumkan konfigurasi kepercayaan

Anda dapat melihat semua konfigurasi kepercayaan yang dikonfigurasi untuk project Anda.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Trust Configs. Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ganti kode berikut:

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.

  • LIMIT: jumlah maksimum hasil yang akan ditampilkan.

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global. Untuk melihat semua konfigurasi kepercayaan di semua lokasi, tentukan satu tanda hubung (-).

API

Buat permintaan GET ke metode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Untuk melihat semua konfigurasi kepercayaan di semua lokasi, tentukan satu tanda hubung (-).
  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~).

Melihat konfigurasi tepercaya

Anda dapat melihat detail konfigurasi kepercayaan tertentu.

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik tab Trust Configs. Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.

  3. Pilih resource konfigurasi kepercayaan untuk melihat detailnya. Halaman Detail Konfigurasi Kepercayaan menampilkan informasi mendetail tentang konfigurasi kepercayaan yang dipilih.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan GET ke metode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.

Menghapus konfigurasi kepercayaan

Sebelum menghapus konfigurasi kepercayaan, lepaskan konfigurasi kepercayaan dari resource Autentikasi Klien (ServerTlsPolicy).

Konsol

  1. Di konsol Google Cloud, buka halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Trust Configs, centang kotak konfigurasi kepercayaan yang ingin Anda hapus.

  3. Klik Hapus.

  4. Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan DELETE ke metode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

  • PROJECT_ID: ID project Google Cloud.
  • LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.

Langkah berikutnya