Halaman ini menjelaskan cara membuat dan mengelola konfigurasi kepercayaan untuk digunakan dalam skenario autentikasi TLS bersama (mTLS).
Untuk informasi selengkapnya tentang mTLS, lihat referensi berikut:
Untuk memahami konsep konfigurasi kepercayaan, anchor kepercayaan, dan sertifikat perantara, lihat Konfigurasi kepercayaan.
Untuk mempelajari mTLS lebih lanjut, lihat Ringkasan Mutual TLS dalam dokumentasi Cloud Load Balancing.
Untuk menggunakan konfigurasi kepercayaan guna mengonfigurasi mTLS di proxy target, lihat halaman berikut dalam dokumentasi Cloud Load Balancing:
Membuat konfigurasi kepercayaan
Saat membuat konfigurasi kepercayaan, Anda harus menentukan anchor kepercayaan yang digunakan untuk memvalidasi sertifikat.
Untuk membuat konfigurasi kepercayaan, selesaikan langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Di tab Trust Configs, klik Add Trust Config.
Di kolom Nama, masukkan nama untuk konfigurasi.
Nama harus unik untuk project. Selain itu, nama harus dimulai dengan huruf kecil, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung, dan tidak boleh diakhiri dengan tanda hubung.
Opsional: Di kolom Deskripsi, masukkan deskripsi untuk konfigurasi. Deskripsi ini membantu Anda mengidentifikasi konfigurasi tertentu nanti.
Opsional: Di kolom Labels, tentukan label yang akan dikaitkan dengan konfigurasi kepercayaan. Untuk menambahkan label, klik
Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.Untuk Location, pilih Global atau Regional.
Jika Anda memilih Regional, pilih Region.
Di bagian Trust store, tambahkan trust anchor dan CA perantara.
Anda dapat menentukan beberapa anchor kepercayaan dan intermediate certificate dengan menggunakan beberapa instance payload PEM lengkap untuk sertifikat, satu sertifikat per instance.
Di bagian Trust anchors , klik Add trust anchor dan upload file sertifikat yang dienkode PEM, atau salin konten sertifikat. Setelah selesai, klik Tambahkan.
Opsional: Di bagian Intermediate CAs, klik Add intermediate CA dan upload file sertifikat perantara yang dienkode PEM, atau salin konten sertifikat perantara. Setelah selesai, klik Tambahkan.
Langkah ini memungkinkan Anda menambahkan tingkat kepercayaan lain antara root certificate dan sertifikat server Anda.
Opsional: Di bagian Sertifikat yang diizinkan, klik Tambahkan sertifikat dan upload file sertifikat berenkode PEM, atau salin konten sertifikat. Tindakan ini akan menambahkan sertifikat ke daftar yang diizinkan. Setelah selesai, klik Tambahkan.
Untuk menentukan beberapa anchor kepercayaan atau sertifikat perantara dalam spesifikasi resource konfigurasi kepercayaan, gunakan beberapa instance kolom
pemCertificate
. Setiap instance kolom berisi satu sertifikat.Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan sebagai valid. Untuk mengenkapsulasi beberapa sertifikat di daftar yang diizinkan, gunakan beberapa instance kolom
pemCertificate
, satu sertifikat per instance. Anda tidak memerlukan trust store saat menggunakan sertifikat yang ditambahkan ke daftar yang diizinkan.Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan valid jika memenuhi kondisi tertentu: sertifikat harus dapat diuraikan, memiliki bukti kepemilikan kunci pribadi, dan mematuhi batasan pada kolom SAN sertifikat. Sertifikat yang sudah tidak berlaku juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.
Klik Buat.
Pastikan konfigurasi kepercayaan baru muncul dalam daftar konfigurasi.
gcloud
Buat file YAML konfigurasi kepercayaan yang menentukan parameter konfigurasi kepercayaan.
File memiliki format berikut:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.CERTIFICATE_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.INTER_CERT_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan.ALLOWLISTED_CERT1
danALLOWLISTED_CERT2
: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini.
Untuk menentukan beberapa anchor kepercayaan atau sertifikat perantara dalam spesifikasi resource konfigurasi kepercayaan, gunakan beberapa instance kolom
pemCertificate
. Setiap instance kolom berisi satu sertifikat.Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan sebagai valid. Untuk mengenkapsulasi beberapa sertifikat di daftar yang diizinkan, gunakan beberapa instance kolom
pemCertificate
, satu sertifikat per instance. Anda tidak memerlukan trust store saat menggunakan sertifikat yang ditambahkan ke daftar yang diizinkan.Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan valid jika memenuhi kondisi tertentu: sertifikat harus dapat diuraikan, memiliki bukti kepemilikan kunci pribadi, dan mematuhi batasan pada kolom SAN sertifikat. Sertifikat yang sudah tidak berlaku juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.
Untuk mengimpor file YAML konfigurasi kepercayaan, gunakan perintah
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.PROJECT_ID
: ID project Google Cloud.TRUST_CONFIG_FILE
: jalur lengkap dan nama file YAML konfigurasi kepercayaan yang Anda buat di langkah 1.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.
API
Buat permintaan POST
ke metode trustConfigs.create
:
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Ganti kode berikut:
PROJECT_ID
: ID project Google Cloud.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.DESCRIPTION
: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.CERTIFICATE_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.INTER_CERT_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan. Nilai ini bersifat opsional.ALLOWLISTED_CERT
: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
Mengupdate konfigurasi tepercaya
Untuk memperbarui konfigurasi kepercayaan, Anda membuat file YAML konfigurasi kepercayaan lain yang menentukan parameter konfigurasi kepercayaan baru dan mengimpor file ini ke Pengelola Sertifikat.
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Di tab Trust Configs, temukan dan pilih konfigurasi kepercayaan yang ingin Anda update.
Di kolom More Options, klik
More actions untuk konfigurasi yang ingin Anda update, lalu pilih Edit.Buat perubahan yang diperlukan.
Klik Simpan.
Pastikan perubahan konfigurasi telah diperbarui.
gcloud
Ekspor file YAML konfigurasi kepercayaan.
gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \ --project=PROJECT_ID \ --destination=TRUST_CONFIG_FILE \ --location=LOCATION
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.PROJECT_ID
: ID project Google Cloud.TRUST_CONFIG_FILE
: jalur lengkap dan nama file YAML konfigurasi kepercayaan.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.
Edit file YAML konfigurasi kepercayaan.
File memiliki format berikut:
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.CERTIFICATE_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.INTER_CERT_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan. Nilai ini bersifat opsional.ALLOWLISTED_CERT1
danALLOWLISTED_CERT2
: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
Impor file konfigurasi kepercayaan baru ke Pengelola Sertifikat dengan nama resource konfigurasi kepercayaan yang ada.
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.PROJECT_ID
: ID project Google Cloud.TRUST_CONFIG_FILE
: jalur lengkap dan nama file YAML konfigurasi kepercayaan.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.
API
Buat permintaan PATCH
ke metode trustConfigs.update
:
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Ganti kode berikut:
PROJECT_ID
: ID project Google Cloud.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.DESCRIPTION
: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Deskripsi ini bersifat opsional.CERTIFICATE_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi kepercayaan.INTER_CERT_PEM_PAYLOAD
: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi kepercayaan. Nilai ini bersifat opsional.ALLOWLISTED_CERT
: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
Mencantumkan konfigurasi kepercayaan
Anda dapat melihat semua konfigurasi kepercayaan yang dikonfigurasi untuk project Anda.
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Klik tab Trust Configs. Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.
gcloud
Gunakan perintah gcloud certificate-manager trust-configs list
:
gcloud certificate-manager trust-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY" \ --location=LOCATION
Ganti kode berikut:
FILTER
: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.
PAGE_SIZE
: jumlah hasil yang akan ditampilkan per halaman.LIMIT
: jumlah maksimum hasil yang akan ditampilkan.SORT_BY
: daftar kolomname
yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~
).LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
. Untuk melihat semua konfigurasi kepercayaan di semua lokasi, tentukan satu tanda hubung (-
).
API
Buat permintaan GET
ke metode trustConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Ganti kode berikut:
PROJECT_ID
: ID project Google Cloud.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Untuk melihat semua konfigurasi kepercayaan di semua lokasi, tentukan satu tanda hubung (-
).FILTER
: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.
PAGE_SIZE
: jumlah hasil yang akan ditampilkan per halaman.SORT_BY
: daftar kolomname
yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, beri awalan kolom dengan tilde (~
).
Melihat konfigurasi tepercaya
Anda dapat melihat detail konfigurasi kepercayaan tertentu.
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Klik tab Trust Configs. Tab ini menampilkan daftar resource konfigurasi kepercayaan yang dikonfigurasi.
Pilih resource konfigurasi kepercayaan untuk melihat detailnya. Halaman Detail Konfigurasi Kepercayaan menampilkan informasi mendetail tentang konfigurasi kepercayaan yang dipilih.
gcloud
Gunakan perintah gcloud certificate-manager trust-configs describe
:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \ --location=LOCATION
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.
API
Buat permintaan GET
ke metode trustConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ganti kode berikut:
PROJECT_ID
: ID project Google Cloud.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.
Menghapus konfigurasi kepercayaan
Sebelum menghapus konfigurasi kepercayaan, lepaskan konfigurasi kepercayaan dari resource Autentikasi Klien (ServerTlsPolicy
).
Konsol
Di konsol Google Cloud, buka halaman Certificate Manager.
Di tab Trust Configs, centang kotak konfigurasi kepercayaan yang ingin Anda hapus.
Klik Hapus.
Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.
gcloud
Gunakan perintah gcloud certificate-manager trust-configs delete
:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \ --location=LOCATION
Ganti kode berikut:
TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.
API
Buat permintaan DELETE
ke metode trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Ganti kode berikut:
PROJECT_ID
: ID project Google Cloud.LOCATION
: region tempat resource konfigurasi kepercayaan disimpan. Lokasi defaultnya adalahglobal
.TRUST_CONFIG_ID
: ID resource konfigurasi kepercayaan.
Langkah berikutnya
- Mengelola sertifikat
- Mengelola peta sertifikat
- Mengelola entri peta sertifikat
- Mengelola otorisasi DNS
- Mengelola resource konfigurasi penerbitan sertifikat