このページでは、Certificate Authority Service を使用して証明書を Certificate Manager TrustConfig
リソースにアップロードし、プライベート認証局(CA)を作成する手順について説明します。
また、アプリケーション ロードバランサの相互 TLS の構成に必要なネットワーク セキュリティ リソースも作成します。
始める前に
- 相互 TLS の概要を確認します。
Google Cloud CLI をインストールします。ツールの完全な概要については、gcloud CLI の概要をご覧ください。ロード バランシングに関連するコマンドについては、API と gcloud CLI のリファレンスをご覧ください。
gcloud CLI を初めて実行する場合は、最初に
gcloud init
を実行して認証します。CA プールの作成方法を確認します。
権限
このガイドで必要になる権限を取得するには、プロジェクトに対する次の IAM ロールを付与するよう管理者に依頼してください。
TargetHTTPProxy
などのロードバランサ リソースを作成する: Compute ロードバランサ管理者(roles/compute.loadBalancerAdmin
)- Certificate Manager リソースを使用する: Certificate Manager オーナー(
roles/certificatemanager.owner
) - セキュリティとネットワーキングのコンポーネントを作成する: Compute セキュリティ管理者(
roles/compute.networkAdmin
)と Compute セキュリティ管理者(roles/compute.securityAdmin
) - プロジェクトを作成する(オプション): プロジェクト作成者(
roles/resourcemanager.projectCreator
)
ロールの付与の詳細については、アクセスの管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
プライベート CA を作成する
CA Service を使用してプライベート CA を作成し、ルート証明書を作成します。
CA プールを作成するには、
gcloud privateca pools create
コマンドを使用します。gcloud privateca pools create CA_POOL \ --location=us-central1
CA_POOL
は、親 CA プールの ID または名前に置き換えます。CA プールにプライベート CA を作成するには、
gcloud privateca roots create
コマンドを使用します。gcloud privateca roots create CA_ROOT \ --pool=CA_POOL \ --subject="CN=my-ca, O=Test LLC" \ --location=us-central1
次のように置き換えます。
CA_ROOT
: プライベート CA の ID または名前CA_POOL
: 親 CA プールの ID または名前
新しい CA の説明を取得して
root.cert
ファイルを作成するには、gcloud privateca roots describe
コマンドを使用します。gcloud privateca roots describe CA_ROOT \ --pool=CA_POOL \ --location=us-central1 \ --format='value(pemCaCertificates)' > root.cert
export ROOT=$(cat root.cert | sed 's/^[ ]*//g' | tr '\n' $ | sed 's/\$/\\n/g')
次のように置き換えます。
CA_ROOT
: プライベート CA の ID または名前CA_POOL
: 親 CA プールの ID または名前
詳しくは以下をご覧ください。
プライベート CA を使用して TrustConfig を作成する
プライベート CA を使用して生成されたルート証明書を使用して、PKI を表す Certificate Manager TrustConfig
リソースを作成します。ここでは、TrustConfig
リソースは、ルート証明書を表す単一の信頼アンカーを持つシンプルなトラストストアであることを前提としています。
次の手順では、TRUST_CONFIG_NAME
を TrustConfig
リソースの名前に置き換えます。
trust_config.yaml
ファイルを作成するには、次のコマンドを使用します。cat << EOF > trust_config.yaml name: TRUST_CONFIG_NAME trustStores: - trustAnchors: - pemCertificate: "${ROOT?}" EOF
Certificate Manager の
TrustConfig
リソースを作成するには、gcloud certificate-manager trust-configs import
コマンドを使用します。gcloud certificate-manager trust-configs import TRUST_CONFIG_NAME \ --source=trust_config.yaml \ --location=REGION
次のように置き換えます。
REGION
: クロスリージョン内部アプリケーション ロードバランサ、グローバル外部アプリケーション ロードバランサ、または従来のアプリケーション ロードバランサには、global
を使用します。リージョン外部アプリケーション ロードバランサまたはリージョン内部アプリケーション ロードバランサには、ロードバランサを構成したリージョンを使用します。
ネットワーク セキュリティ リソースを作成する
サーバーの TLS ポリシー(ServerTLSPolicy
ネットワーク セキュリティ リソース)を使用すると、クライアント証明書の検証で使用するサーバー側 TLS モードと TrustConfig
リソースを指定できます。クライアントがロードバランサに無効な証明書を提示するか、証明書を提示しない場合は、clientValidationMode
でクライアント接続の処理方法を指定します。
clientValidationMode
がALLOW_INVALID_OR_MISSING_CLIENT_CERT
に設定されている場合、検証が失敗した場合やクライアント証明書が欠落していても、すべてのリクエストがバックエンドに渡されます。clientValidationMode
がREJECT_INVALID
に設定されている場合、TrustConfig
リソースの検証が可能なクライアント証明書を提示するリクエストのみがバックエンドに渡されます。
ServerTLSPolicy
リソースを作成するには、次の手順を完了します。
接続の処理方法に応じて、次のいずれかのオプションを選択します。
次の手順では、
SERVER_TLS_POLICY_NAME
をサーバー TLS ポリシーの名前に置き換え、PROJECT_ID
を Google Cloud プロジェクトの ID に置き換えます。オプション 1:
clientValidationMode
がALLOW_INVALID_OR_MISSING_CLIENT_CERT
に設定されている。server_tls_policy.yaml
ファイルを作成するには、次のコマンドを使用します。グローバル
外部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
リージョン
リージョン外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: ALLOW_INVALID_OR_MISSING_CLIENT_CERT clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
オプション 2:
clientValidationMode
がREJECT_INVALID
に設定されている。server_tls_policy.yaml
ファイルを作成するには、次のコマンドを使用します。グローバル
外部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/global/trustConfigs/TRUST_CONFIG_NAME EOF
リージョン
リージョン外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。
cat << EOF > server_tls_policy.yaml name: SERVER_TLS_POLICY_NAME mtlsPolicy: clientValidationMode: REJECT_INVALID clientValidationTrustConfig: projects/PROJECT_ID/locations/REGION/trustConfigs/TRUST_CONFIG_NAME EOF
ServerTlsPolicy
リソースを作成するには、gcloud network-security server-tls-policies import
コマンドを使用します。グローバル
外部アプリケーション ロードバランサとクロスリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \ --source=server_tls_policy.yaml \ --location=global
リージョン
リージョン外部アプリケーション ロードバランサとリージョン内部アプリケーション ロードバランサの場合は、次のコマンドを使用します。
gcloud network-security server-tls-policies import SERVER_TLS_POLICY_NAME \ --source=server_tls_policy.yaml \ --location=REGION
詳細については、MTLS クライアント検証モードをご覧ください。
次のステップ
- グローバル外部アプリケーション ロードバランサに相互 TLS を設定する
- 従来のアプリケーション ロードバランサに相互 TLS を設定する
- 内部アプリケーション ロードバランサに相互 TLS を設定する
- リージョン外部アプリケーション ロードバランサに相互 TLS を設定する
- 署名付き証明書で相互 TLS を設定する