Gerenciar configurações de confiança

Nesta página, descrevemos como criar e gerenciar configurações de confiança para uso em cenários de autenticação TLS mútua (mTLS).

Para saber mais, acesse os recursos a seguir:

• Para saber mais sobre configurações de confiança, âncoras de confiança e certificados intermediários, consulte Configurações de confiança em Como o Gerenciador de certificados funciona.

• Para saber mais sobre o mTLS, consulte Autenticação TLS mútua na documentação do Cloud Load Balancing.

• Para usar uma configuração de confiança para configurar mTLS no proxy de destino, consulte uma destas páginas na documentação do Cloud Load Balancing:

  • Configurar o TLS mútuo com certificados assinados
  • Configurar o TLS mútuo com uma CA particular

As instruções de gcloud nesta página pressupõem que você esteja usando o Cloud Shell ou outro ambiente com bash instalado. Para mais informações sobre os comandos gcloud usados nesta página, consulte a referência da CLI do Gerenciador de certificados.

Criar uma configuração de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para criar uma configuração de confiança, siga estas etapas:

1. Crie um arquivo YAML de configuração de confiança que especifique os parâmetros correspondentes. O arquivo tem o seguinte formato:

   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Substitua:

   • TRUST_CONFIG_ID: um ID exclusivo que identifica esse recurso de configuração de confiança.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o payload completo do PEM para o certificado intermediário a ser usado no recurso de configuração de confiança. Este valor é opcional.

   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: o certificado da lista de permissões que vai ser usado para esse recurso de configuração de confiança. Este valor é opcional.

     É possível especificar várias âncoras de confiança e certificados intermediários usando várias instâncias do campo pemCertificate, um por instância, nas respectivas seções da especificação do recurso de configuração de confiança.

     Um certificado na lista de permissões representa qualquer certificado que possa ser encapsulado na configuração de confiança para que seja sempre considerado válido. É possível especificar vários certificados na lista de permissões usando várias instâncias do campo pemCertificate, um por instância para a configuração de confiança. Você não precisa de um repositório de confiança ao usar certificados da lista de permissões. Um certificado da lista de permissões sempre é considerado válido desde que seja analisável, a comprovação de posse da chave privada seja estabelecida e as restrições no campo SAN do certificado sejam atendidas. Os certificados expirados também são considerados válidos quando estão na lista de permissões. Para mais informações sobre o formato codificado por PEM, consulte a RFC 7468 (link em inglês).

2. Importe o arquivo de configuração de confiança para o Gerenciador de certificados:

   gcloud

   Use o comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
   

   Substitua:

   • TRUST_CONFIG_ID: um ID exclusivo que identifica esse recurso de configuração de confiança.
   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo YAML de configuração de confiança que você criou na etapa 1.
   • LOCATION: a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.

   API

   Faça uma solicitação POST ao método trustConfigs.create:

   POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
   {
     "description": "DESCRIPTION",
     "trust_stores": {
       "trust_anchors": [{
         "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
       }],
       "intermediate_cas": [{
         "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
       }],
     },
     "allowlistedCertificates": [{
       "pem_certificate": "ALLOWLISTED_CERT"
     }],
   }
   

   Substitua:

   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • LOCATION: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.
   • TRUST_CONFIG_ID: um ID exclusivo que identifica esse recurso de configuração de confiança.
   • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Este valor é opcional.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o payload completo do PEM para o certificado intermediário a ser usado no recurso de configuração de confiança. Este valor é opcional.
   • ALLOWLISTED_CERT: o certificado na lista de permissões a ser usado para este recurso de configuração de confiança. Esse valor é opcional.

Atualizar uma configuração de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para atualizar uma configuração de confiança, siga estas etapas:

1. Crie um arquivo YAML de configuração de confiança atualizado que especifique os novos parâmetros de configuração de confiança. O arquivo tem o seguinte formato:

   name: "TRUST_CONFIG_ID"
   trustStores:
   ‑ trustAnchors:
    ‑ pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
    intermediateCas:
    ‑ pemCertificate: "INTER_CERT_PEM_PAYLOAD"
   allowlistedCertificates:
   ‑ pemCertificate: "ALLOWLISTED_CERT1"
   ‑ pemCertificate: "ALLOWLISTED_CERT2"
   

   Substitua:

   • TRUST_CONFIG_ID: um ID exclusivo que identifica esse recurso de configuração de confiança.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o payload completo do PEM para o certificado intermediário a ser usado no recurso de configuração de confiança. Este valor é opcional.
   • ALLOWLISTED_CERT1 e ALLOWLISTED_CERT1: o certificado da lista de permissões que vai ser usado para esse recurso de configuração de confiança. Este valor é opcional.

2. Importe o novo arquivo de configuração de confiança para o Gerenciador de certificados em relação ao nome do recurso de configuração de confiança atual:

   gcloud

   Use o comando gcloud certificate-manager trust-configs import:

   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
       --project=PROJECT_ID \
       --source=TRUST_CONFIG_FILE \
       --location=LOCATION
   

   Substitua:

   • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança de destino.
   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do arquivo de configuração de confiança atualizado.
   • LOCATION: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.

   API

   Faça uma solicitação PATCH ao método trustConfigs.update:

   PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
    {
      "description": "DESCRIPTION",
      "trust_stores": {
        "trust_anchors": [{
          "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
        }],
        "intermediate_cas": [{
          "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
        }],
      },
      "allowlistedCertificates": [{
        "pem_certificate": "ALLOWLISTED_CERT"
     }],
    }
   

   Substitua:

   • PROJECT_ID: o ID do projeto de destino do Google Cloud.
   • LOCATION: o atributo location especifica a região em que o recurso de configuração de confiança está armazenado. O local padrão é global.
   • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança de destino.
   • DESCRIPTION: uma descrição significativa para esse recurso de configuração de confiança. Essa descrição é opcional.
   • CERTIFICATE_PEM_PAYLOAD: o payload completo do PEM para o certificado usar para esse recurso de configuração de confiança.
   • INTER_CERT_PEM_PAYLOAD: o payload do PEM completo para o certificado intermediário usar neste recurso de configuração de configuração de confiança. Este valor é opcional.
   • ALLOWLISTED_CERT: o certificado na lista de permissões a ser usado para este recurso de configuração de confiança. Este valor é opcional.

Listar configurações de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

• Leitor do Gerenciador de certificados (roles/certificatemanager.viewer)
• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para listar as configurações de confiança configuradas, conclua as etapas a seguir.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Conferir configurações de confiança

Para concluir esta tarefa, você precisa ter um dos seguintes papéis no projeto de destino do Google Cloud:

• Leitor do Gerenciador de certificados (roles/certificatemanager.viewer)
• Editor do Gerenciador de certificados (roles/certificatemanager.editor)
• Proprietário do gerenciador de certificados (roles/certificatemanager.owner)

Para mais informações, consulte Papéis e permissões.

Para conferir uma configuração de confiança, siga as etapas abaixo.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Excluir uma configuração de confiança

Para concluir esta tarefa, é preciso ter o papel Proprietário do Gerenciador de certificados (roles/certificatemanager.owner) no projeto de destino do Google Cloud.

Para mais informações, consulte Papéis e permissões.

Para excluir uma configuração de confiança, siga as etapas abaixo.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

A seguir

• Gerenciar certificados
• Gerenciar mapas de certificados
• Gerenciar entradas do mapa de certificado
• Gerenciar autorizações de DNS
• Gerenciar configurações de emissão de certificados