בקשת אישור באמצעות תבנית אישור
בדף הזה מוסבר איך לבקש אישור באמצעות תבנית אישור.
תבניות של אישורים מאפשרות לכם להטמיע אמצעי בקרה פרטניים של מדיניות על הנפקת האישורים. לדוגמה, אפשר להשתמש בתבניות של אישורים כדי ליצור סטנדרטיזציה של הנפקת אישורי TLS לשרתים במאגרי רשויות אישורים בארגון. לחלופין, אפשר להשתמש בתבניות של אישורים כדי להחיל מדיניות ברמה מפורטת יותר, למשל על משתמשים ספציפיים. האפשרות הזו שימושית במצבים שבהם צריך להגביל את סוגי האישורים שאנשים שונים יכולים להנפיק. אפשר גם לעשות שימוש חוזר בתבניות לתרחישים נפוצים של הנפקת כרטיסים.
לפני שמתחילים
כדי לקבל את ההרשאות שנדרשות להנפקת אישורים באמצעות תבנית אישורים, צריך לבקש מהאדמין להקצות לכם את תפקיד ה-IAM CA Service Certificate Template User (
roles/privateca.templateUser) בתבנית האישורים.מידע נוסף על התפקידים המוגדרים מראש ב-IAM עבור CA Service זמין במאמר בקרת גישה באמצעות IAM.
מידע על הקצאת תפקיד IAM לחשבון משתמש מופיע במאמר הקצאת תפקיד יחיד.
הנפקת אישור בדיקה
לפני שמשתמשים בתבנית אישור כדי לבקש אישור חתום, מומלץ לוודא שהתבנית יכולה ליצור אישור בהצלחה. הנפקת האישור נכשלת אם יש סתירה בין מדיניות ההנפקה של מאגר רשויות האישורים לבין המדיניות של תבנית האישור. בדיקת ההנפקה מאפשרת לזהות את הסתירות האלה ולפתור אותן באופן פרואקטיבי. שימו לב: אישורי בדיקה לא מקודדים ב-PEM, הם לא חתומים ולא כרוכים בחיובים על יצירתם.
כדי לבדוק הנפקת אישורים באמצעות תבנית אישורים, פועלים לפי השלבים הבאים:
המסוף
נכנסים לדף Certificate Authority Service במסוף Google Cloud .
לוחצים על הכרטיסייה Template Manager (הכלי לניהול תבניות).
לוחצים על תבנית האישור שרוצים לבדוק. יופיע הדף Template Details (פרטי התבנית).
כדי ליצור בקשת בדיקה, לוחצים על יצירת אישור ואז על בדיקת הנפקת אישור. יופיע טופס בקשת האישור.
צריך לציין את הפרטים הבאים כדי ליצור בקשת אישור:
- אזור: המיקום של האישור. המיקום הזה צריך להיות זהה למיקום של מאגר אישורי ה-CA.
- מאגר CA: מאגר ה-CA שאחראי להנפקת האישור.
- תבנית אישור: התבנית שבה רוצים להשתמש להנפקת אישור.
- דומיין: שם הדומיין של האתר שרוצים לאבטח באמצעות אישור SSL או TLS.
לוחצים על יצירת אישור.
אחרי שיוצרים את האישור, לוחצים על הצגה. האישור או הדוגמה מוצגים באותו הדף בחלונית נפרדת.
אם הנפקת האישור נכשלת בגלל התנגשויות, צריך לפתור את ההתנגשויות ולשלוח שוב את הבקשה לאישור הבדיקה.
הנפקת אישורים באמצעות תבנית אישור
כדי להנפיק אישור חתום באמצעות תבנית אישור:
המסוף
נכנסים לדף Certificate Authority Service במסוף Google Cloud .
לוחצים על הכרטיסייה Template Manager (הכלי לניהול תבניות).
בדף תבניות אישורים, לוחצים על תבנית האישור שרוצים להשתמש בה. יופיע הדף Template details (פרטי התבנית).
לוחצים על יצירת אישור.
בחירת אזור. האזור הזה צריך להיות זהה לאזור של מאגר אישורי ה-CA שבו אתם מתכוונים להשתמש.
בוחרים את מאגר רשויות האישורים.
כדי ליצור אישור באמצעות בקשת חתימה על אישור (CSR), אפשר לעיין במאמר בנושא בקשת אישור באמצעות CSR.
במאמר בקשת אישור באמצעות מפתח שנוצר אוטומטית מוסבר איך ליצור אישור באמצעות מפתח שנוצר אוטומטית.
יצירת האישור
- לוחצים על יצירת אישור. אם האישור נוצר בהצלחה, תוצג הודעה.
- כדי לראות את האישור שנוצר, לוחצים על הצגת האישור ואז על הצגה.
אופציונלי: הורדת האישור החתום
- כדי להוריד את שרשרת האישורים בקידוד PEM, לוחצים על הורדת שרשרת האישורים.
- כדי להוריד את המפתח הפרטי המשויך בקידוד PEM, לוחצים על הורדת המפתח הפרטי.
gcloud
כדי להנפיק אישור באמצעות תבנית אישור, מוסיפים את הדגל --template לפקודה gcloud privateca certificates create בפורמט הבא:
--template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/CERTIFICATE_TEMPLATE
מחליפים את CERTIFICATE_TEMPLATE בשם של תבנית האישור שרוצים להשתמש בה להנפקת האישור הזה. התבנית שצוינה צריכה להיות באותו מיקום כמו מאגר ה-CA המנפיק. למידע נוסף, אפשר לעיין בדוגמאות שמופיעות במאמרים בנושא יצירת אישורי DNS לבדיקה ויצירת אישורים לייצור.
Terraform
כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform.
בקשה לאישור עלולה להיכשל אם מזוהה ניגוד מדיניות בין מדיניות ההנפקה של מאגר הרשויות להנפקת אישורים לבין תבנית האישור. במקרה כזה, צריך לפתור את הבעיה שקשורה למדיניות לפני ששולחים שוב את הבקשה לאישור.
שיתוף קישור לבקשת אישור
כדי לשתף עם משתמשים אחרים בארגון קישור לטופס בקשה לאישור כדי שיוכלו לבקש אישור באמצעות אותם פרמטרים, צריך לבצע את הפעולות הבאות:
המסוף
- במסוף Google Cloud , עוברים לכרטיסייה CA pool manager ולוחצים על Share request form link (שיתוף קישור לטופס בקשה).
- בחלונית Share request form link שמופיעה, בוחרים את מאגר רשויות האישורים ואת תבנית האישור שבחרתם ליצירת הבקשה. יוצג קישור לבקשת האישור.
- מעתיקים את הקישור ומשתפים אותו לפי הצורך.
הצגת אישורים שהונפקו באמצעות תבנית
כדי לראות את האישורים שהונפקו באמצעות תבנית אישור:
המסוף
- במסוף Google Cloud , עוברים לכרטיסייה Template Manager.
- לוחצים על תבנית האישור שבה השתמשתם להנפקת אישורים.
- בדף פרטי התבנית, לוחצים על אישורים. מוצגת רשימת האישורים שהונפקו באמצעות תבנית האישור שנבחרה.