Gerenciar configurações de confiança

Nesta página, descrevemos como criar e gerenciar configurações de confiança para uso em conjunto Cenários de autenticação TLS (mTLS).

Para saber mais, acesse os recursos a seguir:

• Para saber mais sobre configurações de confiança, âncoras de confiança e configurações certificados, consulte Configurações de confiança. em Como funciona o Gerenciador de certificados.

• Para saber mais sobre o mTLS, consulte Autenticação TLS mútua. na documentação do Cloud Load Balancing.

• Para usar uma configuração de confiança para definir o mTLS no seu proxy de destino, consulte um dos páginas da documentação do Cloud Load Balancing:

  • Configurar o TLS mútuo com certificados assinados
  • Configurar o TLS mútuo com uma CA particular

As instruções do gcloud nesta página presumem que você esteja usando Cloud Shell ou outro ambiente com o bash instalado. Para mais informações sobre os comandos gcloud usados nesta página, consulte a Referência da CLI do Gerenciador de certificados.

Criar uma configuração de confiança

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para criar uma configuração de confiança, siga estas etapas:

1. Criar um arquivo YAML de configuração de confiança que especifique os parâmetros de configuração de confiança. O arquivo tem o seguinte formato:

   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Substitua:

   • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para que o certificado use para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o PEM completo payload do certificado intermediário a ser usado nesta configuração de confiança recurso. Este valor é opcional.

   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de permissões usar para esse recurso de configuração de confiança. Este valor é opcional.

     É possível especificar várias âncoras de confiança e certificados intermediários usando várias instâncias do campo pemCertificate, um certificado por instância, nas respectivas seções do recurso de configuração de confiança especificação.

     Um certificado adicionado a uma lista de permissões representa qualquer certificado que podem ser encapsulados na configuração de confiança para que sejam sempre considerados válidos. Para encapsular vários certificados em uma lista de permissões dentro do configuração de confiança, use várias instâncias do campo pemCertificate, uma por instância. Você não precisa de um repositório de confiança ao usar certificados adicionados a uma lista de permissões. um certificado adicionado para uma lista de permissões é sempre considerado válido, desde que o certificado seja analisável, a prova de posse de chave privada é estabelecida e as restrições no campo "SAN" do certificado. Certificados expirados também são são consideradas válidas quando são adicionadas a uma lista de permissões. Para mais informações sobre o formato de codificação PEM, consulte RFC 7468 (link em inglês).

2. Importe o arquivo de configuração de confiança no Gerenciador de certificados:

   gcloud

   Use o comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Substitua:

   • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo YAML de configuração de confiança que você criou na etapa 1.
   • LOCATION: a região em que o recurso de configuração de confiança são armazenados. O local padrão é global.

   API

   Faça uma solicitação POST ao método trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Substitua:

   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.
   • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
   • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Este valor é opcional.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM que o certificado use para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o PEM completo payload do certificado intermediário a ser usado nesta configuração de confiança recurso. Este valor é opcional.
   • ALLOWLISTED_CERT: o certificado que será adicionado a uma lista de permissões para usar nesse recurso de configuração de confiança. Esse valor é opcional.

Atualizar uma configuração de confiança

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para atualizar uma configuração de confiança, siga estas etapas:

1. Criar um arquivo YAML atualizado da configuração de confiança que especifique a nova confiança parâmetros de configuração. O arquivo tem o seguinte formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   - trustAnchors:
     - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
     intermediateCas:
     - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   - pemCertificate: "ALLOWLISTED_CERT1"
   - pemCertificate: "ALLOWLISTED_CERT2"
   

   Substitua:

   • TRUST_CONFIG_ID: um ID exclusivo que identifica isso. recurso de configuração de confiança.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM que o certificado use para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o PEM completo payload do certificado intermediário a ser usado nesta configuração de confiança recurso. Este valor é opcional.
   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de permissões usar para esse recurso de configuração de confiança. Este valor é opcional.

2. Importe o novo arquivo de configuração de confiança no Gerenciador de certificados com o nome do recurso de configuração de confiança atual:

   gcloud

   Use o comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Substitua:

   • TRUST_CONFIG_ID: o ID do trust de destino config.
   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do atualizado do arquivo de configuração de confiança.
   • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.

   API

   Faça uma solicitação PATCH ao método trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Substitua:

   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • LOCATION: o atributo de local especifica região onde o recurso de configuração de confiança está armazenado. O local padrão é global.
   • TRUST_CONFIG_ID: o ID da configuração de confiança de destino. recurso.
   • DESCRIPTION: uma descrição significativa para este item. recurso de configuração de confiança. Essa descrição é opcional.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM que o certificado use para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: a conclusão Payload do PEM do certificado intermediário a ser usado nesta configuração de confiança config. Este valor é opcional.
   • ALLOWLISTED_CERT: o certificado que será adicionado a uma lista de permissões para usar nesse recurso de configuração de confiança. Esse valor é opcional.

Listar configurações de confiança

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

• Leitor do Gerenciador de certificados (roles/certificatemanager.viewer)
• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para listar as configurações de confiança configuradas, conclua as etapas a seguir.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Mostrar configurações de confiança

Para concluir esta tarefa, é preciso ter um dos papéis a seguir no destino Projeto do Google Cloud:

• Leitor do Gerenciador de certificados (roles/certificatemanager.viewer)
• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para consultar uma configuração de confiança, conclua as etapas a seguir.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Excluir uma configuração de confiança

Para concluir esta tarefa, é necessário ter o papel de proprietário do gerenciador de certificados (roles/certificatemanager.owner) no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

Para excluir uma configuração de confiança, conclua as etapas a seguir.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

A seguir

• Gerenciar certificados
• Gerenciar mapas de certificados
• Gerenciar entradas do mapa de certificados
• Gerenciar autorizações de DNS
• Gerenciar configurações de emissão de certificados