Mengelola konfigurasi tepercaya

Halaman ini menjelaskan cara membuat dan mengelola konfigurasi kepercayaan untuk digunakan dalam skenario autentikasi TLS bersama (mTLS).

Untuk informasi selengkapnya, lihat resource berikut:

Untuk mempelajari konfigurasi kepercayaan, trust anchor, dan sertifikat intermediate lebih lanjut, lihat Konfigurasi kepercayaan di Cara kerja Certificate Manager.
Untuk mempelajari mTLS lebih lanjut, lihat Autentikasi TLS bersama dalam dokumentasi Cloud Load Balancing.
Untuk menggunakan konfigurasi kepercayaan guna mengonfigurasi mTLS pada proxy target, lihat salah satu halaman berikut dalam dokumentasi Cloud Load Balancing:
- Menyiapkan TLS bersama dengan sertifikat yang ditandatangani
- Menyiapkan TLS bersama dengan CA pribadi

Petunjuk gcloud di halaman ini mengasumsikan bahwa Anda menggunakan Cloud Shell atau lingkungan lain dengan bash terinstal. Untuk mengetahui informasi selengkapnya tentang perintah gcloud yang digunakan di halaman ini, lihat referensi CLI Certificate Manager.

Membuat konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Editor Pengelola Sertifikat (roles/certificatemanager.editor)
Pemilik Pengelola Sertifikat (roles/certificatemanager.owner)

Untuk informasi selengkapnya, lihat Peran dan izin.

Untuk membuat konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

Membuat file YAML konfigurasi kepercayaan yang menentukan parameter konfigurasi kepercayaan. File tersebut memiliki format berikut:
```
trustStores:
‑ trustAnchors:
 ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
 intermediateCas:
 ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
‑ pemCertificate: "ALLOWLISTED_CERT1"
‑ pemCertificate: "ALLOWLISTED_CERT2"
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
- CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap yang akan digunakan sertifikat untuk resource konfigurasi kepercayaan ini.
- INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
  
  Anda dapat menentukan beberapa trust anchor dan sertifikat perantara dengan menggunakan beberapa instance kolom pemCertificate, satu sertifikat per instance, di bagiannya masing-masing pada spesifikasi resource konfigurasi kepercayaan.
  
  Sertifikat yang diizinkan mewakili semua sertifikat yang dapat dienkapsulasi dalam konfigurasi kepercayaan sehingga selalu dianggap valid. Anda dapat menentukan beberapa sertifikat yang diizinkan menggunakan beberapa instance kolom pemCertificate, satu sertifikat per instance untuk konfigurasi kepercayaan. Anda tidak memerlukan trust store saat menggunakan sertifikat yang diizinkan. Sertifikat yang diizinkan selalu dianggap valid selama sertifikat dapat diuraikan, bukti kepemilikan kunci pribadi dibuat, dan batasan pada kolom SAN sertifikat terpenuhi. Sertifikat yang habis masa berlakunya juga dianggap valid jika diizinkan.
Impor file konfigurasi kepercayaan ke Pengelola Sertifikat:
gcloud
Gunakan perintah gcloud certificate-manager trust-configs import:
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
   --project=PROJECT_ID \
   --source=TRUST_CONFIG_FILE \
   --location=LOCATION
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
- PROJECT_ID: ID project Google Cloud target.
- TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan yang Anda buat di langkah 1.
- LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
API
Buat permintaan POST ke metode trustConfigs.create:
```
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": {
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  },
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}
```
Ganti kode berikut:
- PROJECT_ID: ID project Google Cloud target.
- LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.
- TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
- DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap yang akan digunakan sertifikat untuk resource konfigurasi kepercayaan ini.
- INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- ALLOWLISTED_CERT: sertifikat yang diizinkan yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

Memperbarui konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Editor Pengelola Sertifikat (roles/certificatemanager.editor)
Pemilik Pengelola Sertifikat (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk memperbarui konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

Membuat file YAML konfigurasi kepercayaan terbaru yang menentukan parameter konfigurasi kepercayaan baru. File tersebut memiliki format berikut:
```
name: "TRUST_CONFIG_ID"
trustStores:
‑ trustAnchors:
 ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
 intermediateCas:
 ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
‑ pemCertificate: "ALLOWLISTED_CERT1"
‑ pemCertificate: "ALLOWLISTED_CERT2"
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID unik yang mengidentifikasi resource konfigurasi kepercayaan ini.
- CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap yang akan digunakan sertifikat untuk resource konfigurasi kepercayaan ini.
- INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT1: sertifikat yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
Impor file konfigurasi kepercayaan baru ke Certificate Manager berdasarkan nama resource konfigurasi kepercayaan yang ada:
gcloud
Gunakan perintah gcloud certificate-manager trust-configs import:
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION
```
Ganti kode berikut:
- TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan target.
- PROJECT_ID: ID project Google Cloud target.
- TRUST_CONFIG_FILE: jalur lengkap dan nama file konfigurasi kepercayaan yang diperbarui.
- LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.
API
Buat permintaan PATCH ke metode trustConfigs.update:
```
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
 {
   "description": "DESCRIPTION",
   "trust_stores": {
     "trust_anchors": [{
       "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
     }],
     "intermediate_cas": [{
       "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
     }],
   },
   "allowlistedCertificates": [{
     "pem_certificate": "ALLOWLISTED_CERT"
  }],
 }
```
Ganti kode berikut:
- PROJECT_ID: ID project Google Cloud target.
- LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.
- TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan target.
- DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Deskripsi ini bersifat opsional.
- CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap yang akan digunakan sertifikat untuk resource konfigurasi kepercayaan ini.
- INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
- ALLOWLISTED_CERT: sertifikat yang diizinkan yang akan digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

Mencantumkan konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Penampil Certificate Manager (roles/certificatemanager.viewer)
Editor Pengelola Sertifikat (roles/certificatemanager.editor)
Pemilik Pengelola Sertifikat (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk menampilkan daftar konfigurasi kepercayaan yang dikonfigurasi, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Certificate Manager.
Klik tab Trust Configs.

Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ganti kode berikut:

FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

Misalnya, Anda dapat memfilter hasil menurut kriteria berikut:
- Label dan waktu pembuatan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.
PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.
LIMIT: jumlah hasil maksimum untuk ditampilkan.
SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan.

Tata urutan default adalah menaik. Untuk tata urutan menurun, awali kolom yang dipilih dengan tanda gelombang (~).
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.

API

Buat permintaan GET ke metode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.
PAGE_SIZE: jumlah hasil yang akan ditampilkan per halaman.
SORT_BY: daftar nama kolom yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan.

Tata urutan default adalah menaik. Untuk tata urutan menurun, awali kolom yang dipilih dengan tanda gelombang (~).
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.

Melihat konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki salah satu peran berikut di project Google Cloud target:

Penampil Certificate Manager (roles/certificatemanager.viewer)
Editor Pengelola Sertifikat (roles/certificatemanager.editor)
Pemilik Pengelola Sertifikat (roles/certificatemanager.owner)

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk melihat konfigurasi kepercayaan, selesaikan langkah-langkah berikut.

Konsol

Di konsol Google Cloud, buka halaman Certificate Manager.

Buka Certificate Manager.
Klik tab Trust Configs. Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.
Pilih resource konfigurasi kepercayaan untuk melihat detailnya.

Halaman detail Trust Config menampilkan informasi mendetail tentang konfigurasi kepercayaan yang dipilih.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.
LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan GET ke metode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.
LOCATION: atribut lokasi menentukan wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.

Menghapus konfigurasi kepercayaan

Untuk menyelesaikan tugas ini, Anda harus memiliki peran Certificate Manager Owner (roles/certificatemanager.owner) di project Google Cloud target.

Untuk mengetahui informasi selengkapnya, lihat Peran dan izin.

Untuk menghapus konfigurasi kepercayaan, selesaikan langkah-langkah berikut.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.
LOCATION: wilayah tempat resource konfigurasi kepercayaan disimpan. Lokasi default-nya adalah global.

API

Buat permintaan DELETE ke metode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

PROJECT_ID: ID project Google Cloud target.
LOCATION: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalah global.
TRUST_CONFIG_ID: ID konfigurasi kepercayaan target.

Mengelola konfigurasi tepercaya

Membuat konfigurasi kepercayaan

gcloud

API

Memperbarui konfigurasi kepercayaan

gcloud

API

Mencantumkan konfigurasi kepercayaan

Konsol

gcloud

API

Melihat konfigurasi kepercayaan

Konsol

gcloud

API

Menghapus konfigurasi kepercayaan

gcloud

API

Langkah selanjutnya