Nesta página, descrevemos como criar e gerenciar configurações de confiança para uso em cenários de autenticação TLS mútua (mTLS).
Para saber mais, acesse os recursos a seguir:
Para saber mais sobre configurações de confiança, âncoras de confiança e certificados intermediários, consulte Configurações de confiança em Como o Gerenciador de certificados funciona.
Para saber mais sobre o mTLS, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.
Para usar uma configuração de confiança para configurar mTLS no proxy de destino, consulte uma destas páginas na documentação do Cloud Load Balancing:
As instruções de gcloud
nesta página pressupõem que você esteja usando o
Cloud Shell ou outro ambiente com bash
instalado.
Para mais informações sobre os comandos gcloud
usados nesta página, consulte a
referência da CLI do Gerenciador de certificados.
Criar uma configuração de confiança
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados (
roles/certificatemanager.editor
) - Proprietário do gerenciador de certificados (
roles/certificatemanager.owner
)
Para mais informações, consulte Papéis e permissões.
Para criar uma configuração de confiança, siga estas etapas:
Crie um arquivo YAML de configuração de confiança que especifique os parâmetros correspondentes. O arquivo tem o seguinte formato:
trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Substitua:
TRUST_CONFIG_ID
: um ID exclusivo que identifica esse recurso de configuração de confiança.CERTIFICATE_PEM_PAYLOAD
: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD
: o payload completo do PEM para o certificado intermediário a ser usado no recurso de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT1
eALLOWLISTED_CERT2
: o certificado da lista de permissões que vai ser usado para esse recurso de configuração de confiança. Este valor é opcional.É possível especificar várias âncoras de confiança e certificados intermediários usando várias instâncias do campo
pemCertificate
, um por instância, nas respectivas seções da especificação do recurso de configuração de confiança.Um certificado na lista de permissões representa qualquer certificado que possa ser encapsulado na configuração de confiança para que seja sempre considerado válido. É possível especificar vários certificados na lista de permissões usando várias instâncias do campo
pemCertificate
, um por instância para a configuração de confiança. Você não precisa de um repositório de confiança ao usar certificados da lista de permissões. Um certificado da lista de permissões sempre é considerado válido desde que seja analisável, a comprovação de posse da chave privada seja estabelecida e as restrições no campo SAN do certificado sejam atendidas. Os certificados expirados também são considerados válidos quando estão na lista de permissões. Para mais informações sobre o formato codificado por PEM, consulte a RFC 7468 (link em inglês).
Importe o arquivo de configuração de confiança para o Gerenciador de certificados:
gcloud
Use o comando
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Substitua:
TRUST_CONFIG_ID
: um ID exclusivo que identifica esse recurso de configuração de confiança.PROJECT_ID
: o ID do projeto de destino do Google Cloud.TRUST_CONFIG_FILE
: o caminho completo e o nome do arquivo YAML de configuração de confiança que você criou na etapa 1.LOCATION
: a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
API
Faça uma solicitação
POST
ao métodotrustConfigs.create
:POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.LOCATION
: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.TRUST_CONFIG_ID
: um ID exclusivo que identifica esse recurso de configuração de confiança.DESCRIPTION
: uma descrição significativa para esse recurso de configuração de confiança. Este valor é opcional.CERTIFICATE_PEM_PAYLOAD
: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD
: o payload completo do PEM para o certificado intermediário a ser usado no recurso de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT
: o certificado na lista de permissões a ser usado para este recurso de configuração de confiança. Esse valor é opcional.
Atualizar uma configuração de confiança
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Editor do Gerenciador de certificados (
roles/certificatemanager.editor
) - Proprietário do gerenciador de certificados (
roles/certificatemanager.owner
)
Para mais informações, consulte Papéis e permissões.
Para atualizar uma configuração de confiança, siga estas etapas:
Crie um arquivo YAML de configuração de confiança atualizado que especifique os novos parâmetros de configuração de confiança. O arquivo tem o seguinte formato:
name: "TRUST_CONFIG_ID" trustStores: ‑ trustAnchors: ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: ‑ pemCertificate: "ALLOWLISTED_CERT1" ‑ pemCertificate: "ALLOWLISTED_CERT2"
Substitua:
TRUST_CONFIG_ID
: um ID exclusivo que identifica esse recurso de configuração de confiança.CERTIFICATE_PEM_PAYLOAD
: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD
: o payload completo do PEM para o certificado intermediário a ser usado no recurso de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT1
eALLOWLISTED_CERT1
: o certificado da lista de permissões que vai ser usado para esse recurso de configuração de confiança. Este valor é opcional.
Importe o novo arquivo de configuração de confiança para o Gerenciador de certificados em relação ao nome do recurso de configuração de confiança atual:
gcloud
Use o comando
gcloud certificate-manager trust-configs import
:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Substitua:
TRUST_CONFIG_ID
: o ID do recurso de configuração de confiança de destino.PROJECT_ID
: o ID do projeto de destino do Google Cloud.TRUST_CONFIG_FILE
: o caminho completo e o nome do arquivo de configuração de confiança atualizado.LOCATION
: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
API
Faça uma solicitação
PATCH
ao métodotrustConfigs.update
:PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": { "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }, "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.LOCATION
: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.TRUST_CONFIG_ID
: o ID do recurso de configuração de confiança de destino.DESCRIPTION
: uma descrição significativa para esse recurso de configuração de confiança. Essa descrição é opcional.CERTIFICATE_PEM_PAYLOAD
: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.INTER_CERT_PEM_PAYLOAD
: o payload do PEM completo para o certificado intermediário usar neste recurso de configuração de configuração de confiança. Este valor é opcional.ALLOWLISTED_CERT
: o certificado na lista de permissões a ser usado para este recurso de configuração de confiança. Este valor é opcional.
Listar configurações de confiança
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados (
roles/certificatemanager.viewer
) - Editor do Gerenciador de certificados (
roles/certificatemanager.editor
) - Proprietário do gerenciador de certificados (
roles/certificatemanager.owner
)
Para mais informações, consulte Papéis e permissões.
Para listar as configurações de confiança configuradas, conclua as etapas a seguir.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Clique na guia Configurações de confiança.
A guia mostra uma lista de recursos de configuração de confiança.
gcloud
Use o comando gcloud certificate-manager trust-configs list
:
gcloud certificate-manager trust-configs list \ --filter="FILTER" \ --page-size="PAGE_SIZE" \ --limit="LIMIT" \ --sort-by="SORT_BY" \ --location=LOCATION
Substitua:
FILTER
: uma expressão que restringe os resultados retornados a valores específicos.Por exemplo, você pode filtrar os resultados pelos seguintes critérios:
- Marcadores e horário de criação:
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
Para mais exemplos de filtragem que podem ser usados com o Gerenciador de certificados, consulte Como classificar e filtrar resultados da lista na documentação do Cloud Key Management Service.
- Marcadores e horário de criação:
PAGE_SIZE
: o número de resultados a serem retornados por página.LIMIT
: o número máximo de resultados a serem retornados.SORT_BY
: uma lista delimitada por vírgulas de camposname
pelos quais os resultados retornados são classificados.A ordem de classificação padrão é crescente. Para ordem de classificação decrescente, adicione um til (
~
) ao campo escolhido.LOCATION
: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
API
Faça uma solicitação GET
ao método trustConfigs.list
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.FILTER
: uma expressão que restringe os resultados retornados a valores específicos.PAGE_SIZE
: o número de resultados a serem retornados por página.SORT_BY
: uma lista delimitada por vírgulas de nomes de campos pelos quais os resultados retornados são classificados.A ordem de classificação padrão é crescente. Para ordem de classificação decrescente, insira um til (
~
) como prefixo do campo selecionado.LOCATION
: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
Conferir configurações de confiança
Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:
- Leitor do Gerenciador de certificados (
roles/certificatemanager.viewer
) - Editor do Gerenciador de certificados (
roles/certificatemanager.editor
) - Proprietário do gerenciador de certificados (
roles/certificatemanager.owner
)
Para mais informações, consulte Papéis e permissões.
Para conferir uma configuração de confiança, siga as etapas abaixo.
Console
No console do Google Cloud, acesse a página Gerenciador de certificados.
Clique na guia Configurações de confiança. A guia mostra uma lista de recursos de configuração de confiança configurados.
Selecione o recurso de configuração de confiança para conferir os detalhes dele.
A página Detalhes da configuração de confiança exibe informações detalhadas sobre a configuração de confiança selecionada.
gcloud
Use o comando gcloud certificate-manager trust-configs describe
:
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \ --location=LOCATION
Substitua:
TRUST_CONFIG_ID
: o ID da configuração de confiança de destino.LOCATION
: a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
API
Faça uma solicitação GET
ao método trustConfigs.get
:
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.TRUST_CONFIG_ID
: o ID da configuração de confiança de destino.LOCATION
: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
Excluir uma configuração de confiança
Para concluir esta tarefa, é preciso ter o papel Proprietário do Gerenciador de certificados
(roles/certificatemanager.owner
) no projeto de destino do Google Cloud.
Para mais informações, consulte Papéis e permissões.
Para excluir uma configuração de confiança, siga as etapas abaixo.
gcloud
Use o comando gcloud certificate-manager trust-configs delete
:
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \ --location=LOCATION
Substitua:
TRUST_CONFIG_ID
: o ID da configuração de confiança de destino.LOCATION
: a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.
API
Faça uma solicitação DELETE
ao método trustConfigs.delete
:
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Substitua:
PROJECT_ID
: o ID do projeto de destino do Google Cloud.LOCATION
: a região em que o recurso de configuração de confiança está armazenado. O local padrão églobal
.TRUST_CONFIG_ID
: o ID da configuração de confiança de destino.
A seguir
- Gerenciar certificados
- Gerenciar mapas de certificados
- Gerenciar entradas do mapa de certificado
- Gerenciar autorizações de DNS
- Gerenciar configurações de emissão de certificados