יצירת רשות אישורים משנית
בדף הזה מוסבר איך ליצור רשויות אישורים (CA) משניות במאגר CA.
רשויות CA משניות אחראיות להנפקת אישורים ישירות לישויות קצה כמו משתמשים, מחשבים ומכשירים. רשויות אישורים משניות (subordinate) נחתמות באופן קריפטוגרפי על ידי רשות אישורים ראשית (parent), שלרוב היא רשות האישורים הבסיסית (root). כתוצאה מכך, מערכות שסומכות על ה-CA הבסיסי, סומכות באופן אוטומטי על ה-CA המשני ועל האישורים של ישויות הקצה שה-CA המשני מנפיק.
לפני שמתחילים
- מוודאים שיש לכם את תפקיד ה-IAM CA Service Operation Manager (
roles/privateca.caManager) או CA Service Admin (roles/privateca.admin). למידע נוסף, ראו הגדרת מדיניות IAM. - יצירת מאגר של רשויות אישורים
- בוחרים את רשות האישורים (CA) העליונה.
יצירת רשות אישורים משנית
קל יותר לבטל ולשנות רשויות אישורים משניות מאשר רשויות אישורים בסיסיות. אם יש לכם כמה תרחישים להנפקת אישורים, אתם יכולים ליצור רשות אישורים משנית לכל אחד מהתרחישים האלה. הוספה של כמה רשויות אישורים משניות למאגר רשויות אישורים עוזרת לכם להשיג איזון עומסים טוב יותר של בקשות אישורים וערך כולל גבוה יותר של שאילתות בפועל לשנייה.
כדי ליצור רשות אישורים משנית:
המסוף
נכנסים לדף Certificate Authority Service במסוףGoogle Cloud .
לוחצים על הכרטיסייה מנהל רשויות אישורים.
לוחצים על יצירת רשות אישורים.
בחירת סוג רשות האישורים
- לוחצים על Subordinate CA (רשות אישורים משנית).
- לוחצים על Root CA is in Google Cloud (רשות אישורי הבסיס נמצאת ב-Google Cloud).
- בשדה Valid for (תוקף עד), מזינים את משך הזמן שבו רוצים שהאישור של רשות האישורים יהיה בתוקף.
- אופציונלי: בוחרים את הרמה של רשות האישורים. רמת ברירת המחדל היא Enterprise. מידע נוסף זמין במאמר בנושא בחירת רמות הפעולה.
- לוחצים על אזור כדי לבחור מיקום עבור הרשות המנפיקה. מידע נוסף זמין במאמר מיקומים.
- אופציונלי: בקטע סטטוס התחלתי, בוחרים את הסטטוס התפעולי שבו רוצים ליצור את רשות האישורים.
- אופציונלי: בקטע הגדרת תרחיש הנפקה, לוחצים על פרופיל אישור ובוחרים מהרשימה את פרופיל האישור שהכי מתאים לדרישות שלכם. מידע נוסף זמין במאמר בנושא פרופילים של אישורים.
- לוחצים על הבא.
- בשדה ארגון (O), מזינים את שם החברה.
- אופציונלי: בשדה יחידה ארגונית (OU), מזינים את החלוקה המשנית של החברה או את היחידה העסקית.
- אופציונלי: בשדה שם המדינה (C), מזינים קוד מדינה בן שתי אותיות.
- אופציונלי: בשדה State or province name (שם המדינה או הפרובינציה), מזינים את שם המדינה.
- אופציונלי: בשדה שם היישוב, מזינים את שם העיר.
- בשדה שם נפוץ (CN) של רשות האישורים, מזינים את שם רשות האישורים.
- לוחצים על Continue.
- בוחרים את אלגוריתם המפתח שהכי מתאים לצרכים שלכם. פרטים נוספים על אפשרויות מפתחות החתימה זמינים במאמר הגדרת מפתחות חתימה של רשות אישורים.
- כדי להשתמש במפתח חתימה בניהול הלקוח, בוחרים באפשרות מפתח בניהול הלקוח ומזינים את הגרסה של המפתח הקריפטוגרפי ב-Cloud Key Management Service.
- לוחצים על Continue.
- בוחרים אם רוצים להשתמש בקטגוריה של Cloud Storage שמנוהלת על ידי Google או בקטגוריה שמנוהלת על ידי הלקוח.
- בקטגוריה של Cloud Storage בניהול Google, שירות CA יוצר קטגוריה בניהול Google באותו מיקום שבו נמצא ה-CA.
- כדי לבחור קטגוריה של Cloud Storage בניהול הלקוח, לוחצים על Browse ובוחרים אחת מהקטגוריות הקיימות של Cloud Storage.
- לוחצים על Continue.
השלבים הבאים הם אופציונליים.
כדי להוסיף תוויות לקהל המקור:
- לוחצים על הוספת פריט.
- בשדה מפתח 1, מזינים את מפתח התווית.
- בשדה ערך 1, מזינים את ערך התווית.
- אם רוצים להוסיף עוד תווית, לוחצים על הוספת פריט. לאחר מכן, מוסיפים את המפתח והערך של התווית כמו שצוין בשלבים 2 ו-3.
- לוחצים על Continue.
בודקים בקפידה את כל ההגדרות ולוחצים על סיום כדי ליצור את רשות האישורים.
gcloud
יוצרים מאגר של רשויות אישורים בשביל רשות האישורים המשנית:
gcloud privateca pools create SUBORDINATE_POOL_ID --location=LOCATIONמחליפים את מה שכתוב בשדות הבאים:
- SUBORDINATE_POOL_ID: השם של מאגר רשות האישורים
- LOCATION: המיקום שבו רוצים ליצור את מאגר רשויות האישורים. רשימה מלאה של המיקומים זמינה במאמר בנושא מיקומים.
מידע נוסף על יצירת מאגרי CA זמין במאמר יצירת מאגר CA.
מידע נוסף על הפקודה
gcloud privateca pools createזמין במאמר בנושא gcloud privateca pools create.יוצרים רשות אישורים משנית במאגר רשויות האישורים שנוצר.
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_POOL_ID \ --location=LOCATION \ --issuer-pool=ISSUER_POOL_ID \ --issuer-location=ISSUER_LOCATION \ --key-algorithm="ec-p256-sha256" \ --subject="CN=Example Server TLS CA, O=Example LLC"מחליפים את מה שכתוב בשדות הבאים:
- SUBORDINATE_CA_ID: המזהה הייחודי של רשות האישורים המשנית
- SUBORDINATE_POOL_ID: השם של מאגר רשות האישורים
- LOCATION: המיקום של מאגר אישורי ה-CA
- ISSUER_POOL_ID: שם מאגר רשויות האישורים שמכיל את רשות האישורים המנפיקה
ISSUER_LOCATION: המיקום של מאגר רשויות האישורים שמכיל את רשות האישורים המנפיקה
הדגל
--key-algorithmמציין את האלגוריתם הקריפטוגרפי שבו רוצים להשתמש ליצירת מפתח מנוהל של Cloud HSM עבור רשות האישורים.הדגל
--subjectמציין את שם הנושא של האישור לפי X.501.
כדי ליצור CA משני באמצעות מפתח חתימה בניהול הלקוח, מריצים את הפקודה הבאה:
gcloud privateca subordinates create SUBORDINATE_CA_ID \ --pool=SUBORDINATE_POOL_ID \ --location=LOCATION \ --issuer-pool=ISSUER_POOL_ID \ --issuer-location=ISSUER_LOCATION \ --kms-key-version=KMS_KEY_VERSION \ --subject="CN=Example Server TLS CA, O=Example LLC"מחליפים את מה שכתוב בשדות הבאים:
- SUBORDINATE_POOL_ID: השם של מאגר רשות האישורים
- LOCATION: המיקום של מאגר אישורי ה-CA
- ISSUER_POOL_ID: שם מאגר רשויות האישורים שמכיל את רשות האישורים המנפיקה
- ISSUER_LOCATION: המיקום של מאגר רשויות האישורים שמכיל את רשות האישורים המנפיקה
- KMS_KEY_VERSION: מזהה המשאב המלא של גרסה של מפתח קריפטוגרפי ב-Cloud KMS בניהול הלקוח, לשימוש כמפתח חתימה
פרטים נוספים על אפשרויות של מפתחות חתימה ועל הכנת מפתח חתימה בניהול הלקוח מופיעים במאמר בנושא הגדרת מפתחות חתימה של רשות אישורים.
ההצהרה הבאה מוחזרת כשיוצרים רשות אישורים משנית.
Created Certificate Authority [projects/my-project-pki/locations/us-west1/caPools/SUBORDINATE_POOL_ID/certificateAuthorities/SUBORDINATE_CA_ID].
כדי לציין כתובות URL מותאמות אישית לגישה למידע על רשות (AIA) ולנקודת הפצה של רשימת ביטול אישורים (CRL) (CDP), משתמשים בדגלים
--custom-aia-urlsו---custom-cdp-urls. אם מציינים כתובות URL כאלה, הן נכללות בכל האישורים שהונפקו על ידי CA ומחליפות את כתובות ה-URL של הגישה לקטגוריית Cloud Storage שמוגדרות כברירת מחדל.כדי לראות רשימה מלאה של ההגדרות, מריצים את הפקודה הבאה של
gcloud:gcloud privateca subordinates create --helpהפקודה מחזירה דוגמאות ליצירת רשות אישורים משנית שהמוסד המנפיק שלה נמצא בשירות CA או במקום אחר.
Terraform
Java
כדי לבצע אימות ב-CA Service, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
Python
כדי לבצע אימות ב-CA Service, צריך להגדיר את Application Default Credentials. מידע נוסף זמין במאמר הגדרת אימות לסביבת פיתוח מקומית.
הפעלה של רשות אישורים משנית
כדי להפעיל רשות אישורים משנית:
המסוף
נכנסים לדף Certificate Authority Service במסוףGoogle Cloud .
לוחצים על הכרטיסייה מנהל רשויות אישורים.
בקטע רשויות אישורים, בוחרים את רשות האישורים שרוצים להפעיל.
לוחצים על הפעלה.
בתיבת הדו-שיח שנפתחת, לוחצים על הורדת CSR כדי להוריד את קובץ ה-CSR בקידוד PEM שרשות האישורים המנפיקה יכולה לחתום עליו.
לוחצים על הבא.
בשדה העלאת שרשרת אישורים, לוחצים על עיון.
מעלים את קובץ האישור החתום עם הסיומת
.crt.לוחצים על הפעלה.
gcloud
כדי להפעיל CA משני שנוצר לאחרונה, מריצים את הפקודה הבאה:
gcloud privateca subordinates enable SUBORDINATE_CA_ID \
--pool=SUBORDINATE_POOL_ID \
--location=LOCATION
מחליפים את מה שכתוב בשדות הבאים:
- SUBORDINATE_CA_ID: המזהה הייחודי של רשות האישורים המשנית
- SUBORDINATE_POOL_ID: השם של מאגר רשויות האישורים שמכיל את רשות האישורים המשנית
- LOCATION: המיקום של מאגר אישורי ה-CA. כאן מפורטת רשימת המיקומים המלאה.
מידע נוסף על הפקודה gcloud privateca subordinates enable
זמין במאמר gcloud privateca subordinates
enable.
Terraform
מגדירים את השדה desired_state לערך ENABLED ב-CA המשני ומריצים את הפקודה
terraform apply.