プライベート CA を使用して相互 TLS を設定する

このページでは、Certificate Authority Service を使用して証明書を Certificate Manager TrustConfig リソースにアップロードし、プライベート認証局（CA）を作成する手順について説明します。

また、アプリケーション ロードバランサの相互 TLS の構成に必要なネットワーク セキュリティ リソースも作成します。

始める前に

• 相互 TLS の概要を確認します。

• Google Cloud CLI をインストールします。ツールの完全な概要については、gcloud CLI の概要をご覧ください。ロード バランシングに関連するコマンドについては、API と gcloud CLI のリファレンスをご覧ください。

  gcloud CLI を初めて実行する場合は、最初に gcloud init を実行して認証します。

• CA プールの作成方法を確認します。

権限

このガイドで必要になる権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。

• TargetHTTPProxy などのロードバランサ リソースを作成する: Compute ロードバランサ管理者（roles/compute.loadBalancerAdmin）
• Certificate Manager リソースを使用する: Certificate Manager オーナー（roles/certificatemanager.owner）
• セキュリティとネットワーキングのコンポーネントを作成する: Compute セキュリティ管理者（roles/compute.networkAdmin）と Compute セキュリティ管理者（roles/compute.securityAdmin）
• プロジェクトを作成する（オプション）: プロジェクト作成者（roles/resourcemanager.projectCreator）

ロールの付与の詳細については、アクセスの管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

プライベート CA を作成する

CA Service を使用してプライベート CA を作成し、ルート証明書を作成します。

1. CA プールを作成するには、gcloud privateca pools create コマンドを使用します。

   gcloud privateca pools create CA_POOL \
      --location=us-central1
   

   CA_POOL は、親 CA プールの ID または名前に置き換えます。

2. CA プールにプライベート CA を作成するには、gcloud privateca roots create コマンドを使用します。

   gcloud privateca roots create CA_ROOT \
      --pool=CA_POOL \
      --subject="CN=my-ca, O=Test LLC" \
      --location=us-central1
   

   次のように置き換えます。

   • CA_ROOT: プライベート CA の ID または名前
   • CA_POOL: 親 CA プールの ID または名前

3. 新しい CA の説明を取得して root.cert ファイルを作成するには、gcloud privateca roots describe コマンドを使用します。

   gcloud privateca roots describe CA_ROOT \
      --pool=CA_POOL \
      --location=us-central1 \
      --format='value(pemCaCertificates)' > root.cert
   

   export ROOT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
   

   次のように置き換えます。

   • CA_ROOT: プライベート CA の ID または名前
   • CA_POOL: 親 CA プールの ID または名前

   詳しくは以下をご覧ください。

   • CA プールを作成する
   • ルート CA を作成する

プライベート CA を使用して TrustConfig を作成する

プライベート CA を使用して生成されたルート証明書を使用して、PKI を表す Certificate Manager TrustConfig リソースを作成します。ここでは、TrustConfig リソースは、ルート証明書を表す単一の信頼アンカーを持つシンプルなトラストストアであることを前提としています。

次の手順では、TRUST_CONFIG_NAME を TrustConfig リソースの名前に置き換えます。

• trust_config.yaml ファイルを作成するには、次のコマンドを使用します。

  cat << EOF > trust_config.yaml
  name: TRUST_CONFIG_NAME
  trustStores:
  - trustAnchors:
     - pemCertificate: "${ROOT?}"
  EOF
  

• Certificate Manager の TrustConfig リソースを作成するには、gcloud certificate-manager trust-configs import コマンドを使用します。

  gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME  \
     --source=trust_config.yaml \
     --location=REGION
  

  次のように置き換えます。

  REGION: クロスリージョン内部アプリケーション ロードバランサ、グローバル外部アプリケーション ロードバランサ、または従来のアプリケーション ロードバランサには、global を使用します。リージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサには、ロードバランサを構成したリージョンを使用します。

ネットワーク セキュリティ リソースを作成する

サーバーの TLS ポリシー（ServerTLSPolicy ネットワーク セキュリティ リソース）を使用すると、クライアント証明書の検証で使用するサーバー側 TLS モードと TrustConfig リソースを指定できます。クライアントがロードバランサに無効な証明書を提示するか、証明書を提示しない場合は、clientValidationMode でクライアント接続の処理方法を指定します。

• clientValidationMode が ALLOW_INVALID_OR_MISSING_CLIENT_CERT に設定されている場合、検証が失敗した場合やクライアント証明書が欠落していても、すべてのリクエストがバックエンドに渡されます。
• clientValidationMode が REJECT_INVALID に設定されている場合、TrustConfig リソースの検証が可能なクライアント証明書を提示するリクエストのみがバックエンドに渡されます。

ServerTLSPolicy リソースを作成するには、次の手順を完了します。

1. 接続の処理方法に応じて、次のいずれかのオプションを選択します。

   次の手順では、SERVER_TLS_POLICY_NAME をサーバー TLS ポリシーの名前に置き換え、PROJECT_ID を Google Cloud プロジェクトの ID に置き換えます。

   • オプション 1: clientValidationMode が ALLOW_INVALID_OR_MISSING_CLIENT_CERT に設定されている。

     server_tls_policy.yaml ファイルを作成するには、次のコマンドを使用します。

     グローバル

     外部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。

     cat << EOF > server_tls_policy.yaml
     name: SERVER_TLS_POLICY_NAME
     mtlsPolicy:
       clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT
       clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
     EOF
     

     リージョン

     リージョン外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。

     cat << EOF > server_tls_policy.yaml
     name: SERVER_TLS_POLICY_NAME
     mtlsPolicy:
       clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT
       clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
     EOF
     

   • オプション 2: clientValidationMode が REJECT_INVALID に設定されている。

     server_tls_policy.yaml ファイルを作成するには、次のコマンドを使用します。

     グローバル

     外部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。

     cat << EOF > server_tls_policy.yaml
     name: SERVER_TLS_POLICY_NAME
     mtlsPolicy:
       clientValidationMode: REJECT_INVALID
       clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME
     EOF
     

     リージョン

     リージョン外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。

     cat << EOF > server_tls_policy.yaml
     name: SERVER_TLS_POLICY_NAME
     mtlsPolicy:
       clientValidationMode: REJECT_INVALID
       clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME
     EOF
     

2. ServerTlsPolicy リソースを作成するには、gcloud network-security server-tls-policies import コマンドを使用します。

   グローバル

   外部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。

   gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
     --source=server_tls_policy.yaml \
     --location=global
   

   リージョン

   リージョン外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。

   gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \
     --source=server_tls_policy.yaml \
     --location=REGION
   

詳細については、MTLS クライアント検証モードをご覧ください。

次のステップ

• グローバル外部アプリケーション ロードバランサに相互 TLS を設定する
• 従来のアプリケーション ロードバランサに相互 TLS を設定する
• 内部アプリケーション ロードバランサに相互 TLS を設定する
• リージョン外部アプリケーション ロードバランサに相互 TLS を設定する
• 署名付き証明書で相互 TLS を設定する