이 페이지에서는 상호 TLS 인증(mTLS) 시나리오에서 사용할 트러스트 구성을 만들고 관리하는 방법을 설명합니다.
자세한 내용은 다음 리소스를 참조하세요.
트러스트 구성, 신뢰 앵커, 중간 인증서에 대한 자세한 내용은 인증서 관리자 작동 방식의 트러스트 구성을 참조하세요.
mTLS에 대한 자세한 내용은 Cloud Load Balancing 문서의 상호 TLS 인증을 참조하세요.
트러스트 구성을 사용하여 대상 프록시에서 mTLS를 구성하려면 Cloud Load Balancing 문서의 다음 페이지 중 하나를 참조하세요.
이 페이지의 gcloud 안내에서는 Cloud Shell 또는 bash가 설치된 다른 환경을 사용한다고 가정합니다.
이 페이지에서 사용된 gcloud 명령어에 대한 자세한 내용은 인증서 관리자 CLI 참조를 확인하세요.
트러스트 구성 만들기
이 태스크를 완료하려면 대상 Google Cloud 프로젝트에 다음 역할 중 하나가 있어야 합니다.
- 인증서 관리자 편집자(
roles/certificatemanager.editor) - 인증서 관리자 소유자(
roles/certificatemanager.owner)
자세한 내용은 역할 및 권한을 참조하세요.
트러스트 구성을 만들려면 다음 단계를 완료하세요.
트러스트 구성 매개변수를 지정하는 트러스트 구성 YAML 파일을 만듭니다. 파일 형식은 다음과 같습니다.
trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
다음을 바꿉니다.
TRUST_CONFIG_ID: 이 트러스트 구성 리소스를 식별하는 고유 ID입니다.CERTIFICATE_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.INTER_CERT_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.ALLOWLISTED_CERT1및ALLOWLISTED_CERT2: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가된 인증서입니다. 이 값은 선택사항입니다.트러스트 구성 리소스 사양의 해당 섹션에서 인스턴스당 하나의 인증서인
pemCertificate필드의 여러 인스턴스를 사용하여 여러 신뢰 앵커 및 중간 인증서를 지정할 수 있습니다.허용 목록에 추가된 인증서는 항상 유효한 것으로 고려되도록 트러스트 구성 내에서 캡슐화할 수 있는 인증서를 나타냅니다.
pemCertificate필드의 여러 인스턴스(트러스트 구성에 대해 인스턴스당 하나의 인증서)를 사용하여 허용 목록에 추가된 여러 인증서를 지정할 수 있습니다. 허용 목록에 추가된 인증서를 사용하는 동안에는 트러스트 저장소가 필요하지 않습니다. 허용 목록에 추가된 인증서는 인증서가 파싱 가능하고, 비공개 키 소유 증명이 설정되었고, 인증서의 SAN 필드에 대한 제약조건이 충족되는 한 항상 유효한 것으로 간주됩니다. 허용 목록에 추가되어 있다면 만료된 인증서도 유효한 것으로 간주됩니다. PEM 인코딩 형식에 대한 자세한 내용은 RFC 7468을 참조하세요.
트러스트 구성 파일을 인증서 관리자로 가져옵니다.
gcloud
gcloud certificate-manager trust-configs import명령어를 사용합니다.gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
다음을 바꿉니다.
TRUST_CONFIG_ID: 이 트러스트 구성 리소스를 식별하는 고유 ID입니다.PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.TRUST_CONFIG_FILE: 1단계에서 만든 트러스트 구성 YAML 파일의 전체 경로 및 이름입니다.LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는global입니다.
API
trustConfigs.create메서드에 대해POST요청을 실행합니다.POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }다음을 바꿉니다.
PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.LOCATION: 위치 속성은 트러스트 구성 리소스가 저장되는 리전을 지정합니다. 기본 위치는global입니다.TRUST_CONFIG_ID: 이 트러스트 구성 리소스를 식별하는 고유 ID입니다.DESCRIPTION: 이 트러스트 구성 리소스에 대한 의미 있는 설명입니다. 이 값은 선택사항입니다.CERTIFICATE_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.INTER_CERT_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.ALLOWLISTED_CERT: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가된 인증서입니다. 이 값은 선택사항입니다.
트러스트 구성 업데이트
이 태스크를 완료하려면 대상 Google Cloud 프로젝트에 다음 역할 중 하나가 있어야 합니다.
- 인증서 관리자 편집자(
roles/certificatemanager.editor) - 인증서 관리자 소유자(
roles/certificatemanager.owner)
자세한 내용은 역할 및 권한을 참조하세요.
트러스트 구성을 업데이트하려면 다음 단계를 완료하세요.
새 트러스트 구성 매개변수를 지정하는 업데이트된 트러스트 구성 YAML 파일을 만듭니다. 파일 형식은 다음과 같습니다.
name: "TRUST_CONFIG_ID" trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
다음을 바꿉니다.
TRUST_CONFIG_ID: 이 트러스트 구성 리소스를 식별하는 고유 ID입니다.CERTIFICATE_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.INTER_CERT_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.ALLOWLISTED_CERT1및ALLOWLISTED_CERT1: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가된 인증서입니다. 이 값은 선택사항입니다.
새 트러스트 구성 파일을 기존 트러스트 구성 리소스 이름에 대한 인증서 관리자로 가져옵니다.
gcloud
gcloud certificate-manager trust-configs import명령어를 사용합니다.gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION다음을 바꿉니다.
TRUST_CONFIG_ID: 대상 트러스트 구성 리소스의 ID입니다.PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.TRUST_CONFIG_FILE: 업데이트된 트러스트 구성 파일의 전체 경로와 이름입니다.LOCATION: 위치 속성은 트러스트 구성 리소스가 저장되는 리전을 지정합니다. 기본 위치는global입니다.
API
trustConfigs.update메서드에 대해PATCH요청을 실행합니다.PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }다음을 바꿉니다.
PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.LOCATION: 위치 속성은 트러스트 구성 리소스가 저장되는 리전을 지정합니다. 기본 위치는global입니다.TRUST_CONFIG_ID: 대상 트러스트 구성 리소스의 ID입니다.DESCRIPTION: 이 트러스트 구성 리소스에 대한 의미 있는 설명입니다. 이 설명은 선택사항입니다.CERTIFICATE_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.INTER_CERT_PEM_PAYLOAD: 이 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.ALLOWLISTED_CERT: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가된 인증서입니다. 이 값은 선택사항입니다.
트러스트 구성 나열
이 태스크를 완료하려면 대상 Google Cloud 프로젝트에 다음 역할 중 하나가 있어야 합니다.
- 인증서 관리자 뷰어(
roles/certificatemanager.viewer) - 인증서 관리자 편집자(
roles/certificatemanager.editor) - 인증서 관리자 소유자(
roles/certificatemanager.owner)
자세한 내용은 역할 및 권한을 참조하세요.
구성된 트러스트 구성을 나열하려면 다음 단계를 완료하세요.
콘솔
Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.
트러스트 구성 탭을 클릭합니다.
구성된 트러스트 구성 리소스의 목록이 탭에 표시됩니다.
gcloud
gcloud certificate-manager trust-configs list 명령어를 사용합니다.
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
다음을 바꿉니다.
FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.예를 들어 다음 기준에 따라 결과를 필터링할 수 있습니다.
- 라벨 및 생성 시간:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참조하세요.
- 라벨 및 생성 시간:
PAGE_SIZE: 페이지당 반환할 결과 수입니다.LIMIT: 반환할 최대 결과 수입니다.SORT_BY: 쉼표로 구분된name필드의 목록으로, 반환된 결과가 정렬됩니다.기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 선택한 필드 앞에 물결 표시(
~)를 붙입니다.LOCATION: 위치 속성은 트러스트 구성 리소스가 저장되는 리전을 지정합니다. 기본 위치는global입니다.
API
trustConfigs.list 메서드에 대해 GET 요청을 실행합니다.
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
다음을 바꿉니다.
PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.PAGE_SIZE: 페이지당 반환할 결과 수입니다.SORT_BY: 반환된 결과를 정렬하는 쉼표로 구분된 필드 이름 목록입니다.기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 선택한 필드 앞에 물결 표시(
~)를 붙입니다.LOCATION: 위치 속성은 트러스트 구성 리소스가 저장되는 리전을 지정합니다. 기본 위치는global입니다.
트러스트 구성 보기
이 태스크를 완료하려면 대상 Google Cloud 프로젝트에 다음 역할 중 하나가 있어야 합니다.
- 인증서 관리자 뷰어(
roles/certificatemanager.viewer) - 인증서 관리자 편집자(
roles/certificatemanager.editor) - 인증서 관리자 소유자(
roles/certificatemanager.owner)
자세한 내용은 역할 및 권한을 참조하세요.
트러스트 구성을 보려면 다음 단계를 완료하세요.
콘솔
Google Cloud 콘솔에서 인증서 관리자 페이지로 이동합니다.
트러스트 구성 탭을 클릭합니다. 구성된 트러스트 구성 리소스의 목록이 탭에 표시됩니다.
트러스트 구성 리소스를 선택하여 세부정보를 확인합니다.
트러스트 구성 세부정보 페이지에 선택한 트러스트 구성에 대한 자세한 정보가 표시됩니다.
gcloud
gcloud certificate-manager trust-configs describe 명령어를 사용합니다.
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
다음을 바꿉니다.
TRUST_CONFIG_ID: 대상 트러스트 구성의 ID입니다.LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는global입니다.
API
trustConfigs.get 메서드에 대해 GET 요청을 실행합니다.
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
다음을 바꿉니다.
PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.TRUST_CONFIG_ID: 대상 트러스트 구성의 ID입니다.LOCATION: 위치 속성은 트러스트 구성 리소스가 저장되는 리전을 지정합니다. 기본 위치는global입니다.
트러스트 구성 삭제
이 태스크를 완료하려면 대상 Google Cloud 프로젝트에 인증서 관리자 소유자 역할(roles/certificatemanager.owner)이 있어야 합니다.
자세한 내용은 역할 및 권한을 참조하세요.
트러스트 구성을 삭제하려면 다음 단계를 완료하세요.
gcloud
gcloud certificate-manager trust-configs delete 명령어를 사용합니다.
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
다음을 바꿉니다.
TRUST_CONFIG_ID: 대상 트러스트 구성의 ID입니다.LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는global입니다.
API
trustConfigs.delete 메서드에 대해 DELETE 요청을 실행합니다.
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
다음을 바꿉니다.
PROJECT_ID: 대상 Google Cloud 프로젝트의 ID입니다.LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는global입니다.TRUST_CONFIG_ID: 대상 트러스트 구성의 ID입니다.