הנפקת אישור באמצעות המסוף Google Cloud

במדריך המקוצר הזה מוסבר איך ליצור או להנפיק אישורים באמצעות Certificate Authority Service באמצעות מסוף Google Cloud .

איך לנהל רשויות אישורים פרטיות (CA) בצורה מאובטחת בלי להקצות או לתחזק תשתית.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  4. Verify that billing is enabled for your Google Cloud project.

  5. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  7. If you're using an existing project for this guide, verify that you have the permissions required to complete this guide. If you created a new project, then you already have the required permissions.

  8. Verify that billing is enabled for your Google Cloud project.

  9. Enable the Certificate Authority Service API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

    10.

התפקידים הנדרשים

כדי לקבל את ההרשאות שדרושות לביצוע ההפעלה המהירה הזו, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

יצירת מאגר רשויות אישורים

מאגר CA הוא אוסף של מספר רשויות אישורים. מאגר CA מאפשר להחליף שרשראות אמון בלי שיהיו הפסקות או השבתות בעומסי העבודה. מאגר CA נמצא במיקום יחיד שלGoogle Cloud , ואי אפשר לשנות אותו אחרי היצירה.

כדי ליצור מאגר CA עם הגדרות ברירת המחדל:

  1. נכנסים לדף Certificate Authority Service במסוף Google Cloud .

    כניסה אל Certificate Authority Service

  2. בכרטיסייה CA pool manager, לוחצים על Create pool.

  3. בדף Create CA pool (יצירת מאגר רשויות שמנפיקות אישורים), מוסיפים שם למאגר הרשויות שמנפיקות אישורים.

  4. לוחצים על Region ובוחרים באפשרות us-east1 (South Carolina) כאזור של מאגר ה-CA.

  5. לוחצים על הבא בכל שלב.

  6. לוחצים על סיום.

אפשר לראות את מאגר הרשות שמנפיקה את האישורים ברשימת מאגרי הרשות שמנפיקה את האישורים בכרטיסייה CA pool manager.

יצירת רשות אישורים (CA) עליונה

מאגר רשויות אישורים ריק כשיוצרים אותו. כדי לבקש אישורים, צריך להוסיף רשות אישורים למאגר רשויות האישורים.

לרשות אישורים ברמה הבסיסית יש אישור בחתימה עצמית ששמור במאגר המהימנות של הלקוח. בקטע הזה מוסבר איך להוסיף רשות אישורים (CA) בסיסית למאגר רשויות האישורים שיצרתם.

כדי להוסיף רשות אישורי בסיס למאגר רשויות האישורים:

  1. בדף Certificate Authority Service (שירות רשות האישורים), לוחצים על CA manager (ניהול רשות האישורים).
  2. לוחצים על החץ להרחבת האפשרות Create CA (יצירת רשות אישורים) ואז בוחרים באפשרות Create CA in an existing CA pool (יצירת רשות אישורים במאגר רשויות אישורים קיים).
  3. בוחרים את מאגר רשויות האישורים שיצרתם.
  4. לוחצים על Continue.
  5. בקטע בחירת סוג ה-CA, לוחצים על המשך.
  6. בשדה Organization (O) (ארגון), מזינים את שם הארגון.
  7. בשדה שם נפוץ (CN) של רשות האישורים, מזינים את השם של רשות האישורים. חשוב לרשום את שם ה-CA כי תצטרכו אותו כדי לבקש אישור.
  8. לוחצים על המשך בכל שלב.
  9. בודקים את פרטי רשות האישורים ולוחצים על סיום.

אופציונלי: יצירת מאגר של רשויות אישורים משניות

מאגר של רשויות אישורים משניות מאפשר לארגן ולנהל כמה רשויות אישורים משניות. רשות האישורים הבסיסית מאמתת וחותמת על כל רשויות האישורים במאגר של רשויות אישורים משניות.

כדי ליצור מאגר של רשויות אישורים משניות עם הגדרות ברירת המחדל:

  1. בדף Certificate Authority Service (שירות רשות האישורים), לוחצים על CA pool manager (ניהול מאגר רשויות אישורים).
  2. לוחצים על Create pool (יצירת מאגר).

  3. בדף Create CA pool, מוסיפים שם למאגר המשני של רשויות האישורים.

  4. לוחצים על Region ובוחרים באפשרות us-east1 (South Carolina) כאזור של מאגר רשויות האישורים המשניות.

  5. לוחצים על הבא בכל שלב.

  6. לוחצים על סיום.

מוודאים שמאגר רשויות האישורים המשניות זמין ברשימת מאגרי רשויות האישורים בכרטיסייה ניהול מאגרי רשויות אישורים.

אופציונלי: יצירת רשות אישורים משנית שחתמה על רשות האישורים הבסיסית

רשויות CA משניות אחראיות להפצת אישורים לישויות קצה שזקוקות להם, כמו שרתי אינטרנט, משתמשים ומכשירים. רשויות CA משניות יוצרות שכבת הפרדה בין רשות CA בסיסית רגישה מאוד לבין הנפקת אישורים יומיומית.

כדי ליצור רשות אישורים משנית שנחתמת על ידי רשות אישורים בסיסית שיצרתם קודם, מבצעים את הפעולות הבאות:

  1. בדף Certificate Authority Service (שירות רשות האישורים), לוחצים על CA manager (ניהול רשות האישורים).
  2. לוחצים על החץ להרחבת האפשרות Create CA (יצירת רשות אישורים) ואז בוחרים באפשרות Create CA in an existing CA pool (יצירת רשות אישורים במאגר רשויות אישורים קיים).
  3. בוחרים את מאגר רשויות האישורים המשניות שיצרתם.
  4. לוחצים על Continue.
  5. לוחצים על Subordinate CA (רשות אישורים משנית).
  6. לוחצים על רשות אישורים (CA) עליונה נמצאת ב Google Cloud.
  7. בשדה Signing Certificate Authority, לוחצים על Browse.
  8. בתיבת הדו-שיח בחירת רשות אישורים, בוחרים את רשות האישורים הבסיסית שיצרתם בקטע יצירת רשות אישורים בסיסית.
  9. לוחצים על אישור.
  10. בשדה Valid for, מזינים את משך הזמן שבו אישור ה-CA המשני יהיה תקף.
  11. לוחצים על Continue.
  12. בשדה Organization (O) (ארגון), מזינים את שם הארגון.
  13. בשדה CA common name (CN), מזינים את השם של רשות האישורים המשנית. חשוב לשים לב לשם של רשות האישורים המשנית, כי תצטרכו אותו כדי לבקש אישור.
  14. לוחצים על המשך בכל שלב.
  15. בודקים את הפרטים של רשות האישורים המשנית ולוחצים על סיום.

בקשת אישור

כדי לבקש אישור באמצעות רשות האישורים:

  1. בדף Certificate Authority Service, לוחצים על Request a certificate.
  2. לוחצים על הזנת פרטים.
  3. בקטע הוספת שם דומיין, מזינים את שם הדומיין שמוגדר במלואו של האתר שרוצים לאבטח באמצעות האישור הזה.
  4. לוחצים על הבא.

  5. בקטע הגדרת גודל המפתח והאלגוריתם, לוחצים על המשך.

    יוצג האישור שנוצר, ותוכלו להעתיק או להוריד אותו. כדי להעתיק את האישור, לוחצים על .

  6. לוחצים על סיום.

הסרת המשאבים

כדי להסיר את המשאבים, מבטלים את האישור ומוחקים את מאגר ה-CA, את ה-CA ואת הפרויקט שיצרתם במדריך למתחילים.

  1. מבטלים את האישור.

    1. לוחצים על הכרטיסייה ניהול אישורים פרטיים.
    2. ברשימת האישורים, לוחצים על הצגת פרטים נוספים בשורה של האישור שרוצים למחוק.
    3. לוחצים על ביטול.
    4. בתיבת הדו-שיח שנפתחת, לוחצים על אישור.

  2. למחוק את רשות האישורים.

    אפשר למחוק רשות אישורים רק אחרי שביטלתם את כל האישורים שהונפקו על ידה.

    אחרי שמבטלים את האישור, מבצעים את הפעולות הבאות:

    1. ברשימת רשויות האישורים, בוחרים את רשות האישורים שרוצים למחוק.
    2. לוחצים על מחיקה. מופיעה תיבת הדו-שיח Delete Certificate Authority.
    3. אופציונלי: מסמנים את התיבות הבאות אם התנאים חלים עליכם:

      • מחיקת ה-CA הזה, גם אם יש אישורים פעילים

        האפשרות הזו מאפשרת לכם למחוק רשות אישורים עם אישורים פעילים. מחיקה של CA עם אישורים פעילים עלולה לגרום לכשל באתרים, באפליקציות או במערכות שמסתמכים על האישורים האלה. מומלץ לבטל את כל האישורים הפעילים שהונפקו על ידי רשות אישורים (CA) לפני שמוחקים את רשות האישורים.

      • דילוג על תקופת החסד של 30 יום ומחיקה מיידית של רשות האישורים הזו

        תקופת החסד של 30 יום מאפשרת לכם לבטל את כל האישורים שהונפקו על ידי רשות האישורים הזו, ולוודא שאף מערכת לא תלויה ברשות האישורים הזו. מומלץ להשתמש באפשרות הזו רק בסביבות שאינן סביבות ייצור או בסביבות בדיקה, כדי למנוע הפסקות זמניות פוטנציאליות בשירות ואובדן נתונים.

    4. לוחצים על אישור.

    מצב ה-CA משתנה ל-Deleted. רשות האישורים נמחקת באופן סופי 30 יום אחרי שמתחילים את תהליך המחיקה.

  3. מחיקת מאגר רשויות אישורים.

    אפשר למחוק מאגר CA רק אחרי ששירות ה-CA מוחק את ה-CA באופן סופי.

    אחרי שמוחקים את רשות האישורים ממאגר רשויות האישורים, מבצעים את הפעולות הבאות:

    1. לוחצים על הכרטיסייה CA pool manager (ניהול מאגרים של רשויות אישורים).
    2. ברשימת מאגרי CA, בוחרים את מאגר ה-CA שרוצים למחוק.
    3. לוחצים על מחיקה.
    4. בתיבת הדו-שיח שנפתחת, לוחצים על אישור.

  4. כדי למחוק את הפרויקט:

    1. במסוף Google Cloud , נכנסים לדף Manage resources.

      כניסה לדף Manage resources

    2. ברשימת הפרויקטים, בוחרים את הפרויקט שרוצים למחוק ולוחצים על Delete.
    3. כדי למחוק את הפרויקט, כותבים את מזהה הפרויקט בתיבת הדו-שיח ולוחצים על Shut down.

המאמרים הבאים