Configurer la publication et le stockage

Certificate Authority Service (CA Service) utilise des buckets Cloud Storage pour publier des certificats d'autorité de certification et des listes de révocation de certificats (CRL) pour votre infrastructure à clé publique (PKI).

Ce document explique comment configurer les buckets Cloud Storage utilisés par CA Service pour publier des certificats d'autorité de certification et des listes CRL pour votre PKI. Vous pouvez utiliser un bucket géré par Google ou un bucket géré par le client pour un contrôle plus direct. Pour en savoir plus sur les buckets Cloud Storage, consultez À propos des buckets Cloud Storage. Ce document explique également comment gérer les paramètres de publication, par exemple comment activer ou désactiver la publication et choisir un format d'encodage.

Utiliser un bucket géré par Google

CA Service gère automatiquement le cycle de vie des buckets Cloud Storage. Ces ressources ne vous sont pas facturées séparément.

Par défaut, lorsque vous créez un pool d'autorités de certification, CA Service crée et gère un bucket Cloud Storage présentant les caractéristiques suivantes :

  • Emplacement : le bucket se trouve dans le même projet et au même emplacement que le pool.
  • Stockage centralisé : le bucket stocke les certificats d'autorité de certification et les listes CRL pour toutes les autorités de certification du pool.
  • Lisible publiquement : les objets sont automatiquement accessibles aux clients à l'aide des extensions Authority Information Access (AIA) et CRL Distribution Point (CDP).

Avantages d'un bucket géré par Google

Un bucket géré par Google simplifie la gestion. Lorsque vous créez un pool d'autorités de certification, CA Service crée et gère automatiquement le bucket pour publier les certificats d'autorité de certification et les listes CRL. Vous n'avez pas besoin de configurer de buckets Cloud Storage supplémentaires.

Points à prendre en compte concernant VPC Service Controls

Un périmètre VPC Service Controls limite l'accès aux buckets Cloud Storage gérés par Google aux clients situés dans ce périmètre. Les URL AIA et CDP pour les certificats d'autorité de certification et les listes CRL ne sont pas accessibles depuis l'extérieur du périmètre. Ce manque d'accessibilité peut entraîner des échecs de validation des certificats pour les clients situés en dehors du périmètre.

Pour en savoir plus sur la création d'une autorité de certification racine, consultez Créer une autorité de certification racine. Pour en savoir plus sur la création d'une autorité de certification subordonnée, consultez Créer une autorité de certification subordonnée. Pour en savoir plus sur le choix d'un algorithme de clé, consultez Choisir un algorithme de clé.

Utiliser un bucket géré par le client

Les ressources gérées par le client ne sont disponibles que pour les autorités de certification du niveau Enterprise. Vous devez créer et configurer ces ressources avant de créer votre autorité de certification, puis les supprimer lorsque vous supprimez l'autorité de certification. Ces ressources vous sont facturées directement.

Vous pouvez spécifier des buckets Cloud Storage existants dans votre projet pour publier des certificats d'autorité de certification et des listes CRL pour un pool d'autorités de certification. Cela vous permet de contrôler directement la configuration du bucket, y compris son emplacement, sa classe de stockage, ses règles de cycle de vie et ses contrôles d'accès.

Avantages d'un bucket géré par le client

L'utilisation d'un bucket géré par le client vous permet de contrôler directement votre bucket de stockage. Vous pouvez mettre à jour des attributs, tels que la gestion des accès, pour répondre aux exigences de votre organisation.

Pour créer une autorité de certification avec un bucket géré par le client, vous devez disposer d'un accès administrateur au bucket afin d'accorder l'accès approprié à CA Service. Pour en savoir plus, consultez Agent de service CA Service.

Emplacement des buckets Cloud Storage

Créez des buckets Cloud Storage gérés par le client au même emplacement que vos ressources CA Service.

Par exemple, si votre autorité de certification se trouve dans us-west1, vous pouvez créer les buckets Cloud Storage dans n'importe quelle région unique des États-Unis (comme us-west1 ou us-east1), dans la birégion NAM4 ou dans la multirégion US. Pour obtenir la liste des emplacements disponibles, consultez Emplacements Cloud Storage.

Avant de commencer

  • Assurez-vous qu'un bucket Cloud Storage existe. Consultez Créer un bucket.

  • Assurez-vous que le bucket est accessible au compte de service CA Service.

Rôles requis

Pour vous assurer que le compte de service dispose des autorisations nécessaires pour écrire et gérer des objets (en particulier, des certificats d'autorité de certification et des listes CRL) et activer la surveillance, demandez à votre administrateur d'accorder les rôles IAM suivants au compte de service sur le bucket Cloud Storage géré par le client :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Votre administrateur peut également attribuer au compte de service les autorisations requises à l'aide de rôles personnalisés ou d'autres rôles prédéfinis.

Configurer l'autorité de certification pour qu'elle utilise le bucket

Pour spécifier un bucket Cloud Storage géré par le client lorsque vous créez une autorité de certification, utilisez l'indicateur --bucket avec les commandes gcloud privateca roots create ou gcloud privateca subordinates create.

Pour en savoir plus sur la création d'autorités de certification, consultez les pages suivantes :

Gérer l'accès aux certificats et aux listes CRL

Lorsque vous utilisez un bucket géré par le client, vous pouvez contrôler ses autorisations d'accès. Les certificats d'autorité de certification et les listes CRL publiés par CA Service héritent des autorisations d'objet par défaut du bucket, sauf si vous les configurez autrement. Pour fournir un accès public aux URL AIA (Authority Information Access) et CDP (CRL Distribution Point), rendez les objets publiés lisibles publiquement.

Par défaut, CA Service utilise des URL HTTP dans les extensions AIA et CDP pour référencer les certificats d'autorité de certification et les listes CRL. Utilisez des URL HTTP pour une compatibilité maximale avec les clients. Certains clients ne sont pas compatibles avec HTTPS dans les extensions AIA ou CDP. Les signatures numériques garantissent l'intégrité et l'authenticité des certificats d'autorité de certification et des listes CRL.

Pour en savoir plus, consultez Présentation du contrôle des accès et Définir les autorisations d'objet dans la documentation Cloud Storage.

Gérer les paramètres de publication

Par défaut, lorsque vous créez un pool d'autorités de certification, CA Service active la publication des certificats d'autorité de certification et des listes CRL dans les buckets Cloud Storage. Vous pouvez mettre à jour ces paramètres de publication pour activer ou désactiver la publication, ou modifier le format d'encodage.

Activer la publication pour un pool d'autorités de certification

Pour activer la publication des certificats CA et des LRC pour toutes les autorités de certification d'un pool d'autorités de certification, procédez comme suit :

Console

  1. Dans la Google Cloud console, accédez à la page **Certificate Authority Service**.

    Accéder à Certificate Authority Service

  2. Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification que vous souhaitez modifier.

  3. Sur la page Pool d'autorités de certification, cliquez sur Modifier.

  4. Sous Configurer les algorithmes et les tailles de clé autorisés, cliquez sur Suivant.

  5. Sous Configurer les méthodes de demande de certificat acceptées, cliquez sur Suivant.

  6. Sous Configurer les options de publication, cliquez sur le bouton à bascule pour Publier le certificat CA dans le bucket Cloud Storage pour les autorités de certification de ce pool.

  7. Cliquez sur le bouton à bascule pour Publier la liste CRL dans le bucket Cloud Storage pour les autorités de certification de ce pool.

gcloud

Exécutez la commande ci-dessous.

gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert

Remplacez les éléments suivants :

  • POOL_ID : nom du pool d'autorités de certification
  • LOCATION : emplacement du pool d'autorités de certification. Pour obtenir la liste des emplacements disponibles, consultez Emplacements CA Service

Pour en savoir plus sur la commande gcloud privateca pools update, consultez gcloud privateca pools update.

Pour en savoir plus sur l'activation de la publication des listes CRL pour la révocation des certificats, consultez Révocation des certificats.

Désactiver la publication pour un pool d'autorités de certification

Pour désactiver la publication des certificats CA et des LRC pour toutes les autorités de certification d'un pool d'autorités de certification, procédez comme suit :

Console

  1. Dans la Google Cloud console, accédez à la page **Certificate Authority Service**.

    Accéder à Certificate Authority Service

  2. Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification que vous souhaitez modifier.

  3. Sur la page Pool d'autorités de certification, cliquez sur Modifier.

  4. Sous Configurer les algorithmes et les tailles de clé autorisés, cliquez sur Suivant.

  5. Sous Configurer les méthodes de demande de certificat acceptées, cliquez sur Suivant.

  6. Sous Configurer les options de publication, cliquez sur le bouton à bascule pour Publier le certificat CA dans le bucket Cloud Storage pour les autorités de certification de ce pool.

  7. Cliquez sur le bouton à bascule pour Publier la liste CRL dans le bucket Cloud Storage pour les autorités de certification de ce pool.

gcloud

Exécutez la commande ci-dessous.

gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert

Remplacez les éléments suivants :

  • POOL_ID : nom du pool d'autorités de certification
  • LOCATION : emplacement du pool d'autorités de certification. Pour obtenir la liste des emplacements disponibles, consultez Emplacements CA Service

Choisir un format d'encodage

Pour mettre à jour le format d'encodage des certificats d'autorité de certification et des listes CRL publiés, procédez comme suit :

Console

  1. Dans la Google Cloud console, accédez à la page **Certificate Authority Service**.

    Accéder à Certificate Authority Service

  2. Dans l'onglet Gestionnaire de pool d'autorités de certification, cliquez sur le nom du pool d'autorités de certification que vous souhaitez modifier.

  3. Sur la page Pool d'autorités de certification, cliquez sur Modifier.

  4. Sous Configurer les algorithmes et les tailles de clé autorisés, cliquez sur Suivant.

  5. Sous Configurer les méthodes de demande de certificat acceptées, cliquez sur Suivant.

  6. Sous Configurer les options de publication, cliquez sur la liste Format d'encodage de publication.

  7. Sélectionnez le format d'encodage de publication.

gcloud

Exécutez la commande ci-dessous.

gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Remplacez les éléments suivants :

  • POOL_ID : nom du pool d'autorités de certification

  • LOCATION : emplacement du pool d'autorités de certification. Pour obtenir la liste des emplacements disponibles, consultez Emplacements CA Service locations

  • PUBLISHING_ENCODING_FORMAT: le format d'encodage peut être PEM ou DER

    Pour en savoir plus sur la commande gcloud privateca pools update, consultez gcloud privateca pools update.

Étape suivante