Richtlinienkontrollen verwalten

In dieser Anleitung erfahren Sie, wie Sie Richtlinienkontrollen für Certificate Authority Service-Ressourcen implementieren.

Ziele

In diesem Tutorial erfahren Sie, wie Sie einen gemeinsamen Zertifizierungsstellenpool (Certificate Authority, CA) für die Ausstellung von DNS-Zertifikaten mit den folgenden Richtlinienkontrollen konfigurieren:

• Nutzer prod-dns-requester kann TLS-Zertifikate des Endentitätsservers für die Domain *.prod.example.com anfordern.
• Nutzer test-dns-requester kann TLS-Zertifikate des Endentitätsservers für die Domain *.test.example.com anfordern.
• Nutzer blank-check-requester kann jede Art von Zertifikat aus dem CA-Pool anfordern.

In dieser Anleitung werden die Richtlinie für das Ausstellen von Zertifikaten eines CA-Pools, Zertifikatvorlagen und bedingte IAM-Bindungen verwendet, um dieses Szenario zu realisieren.

Hinweis

• Informationen zu den verschiedenen Richtlinienkontrollen, die vom CA-Dienst angeboten werden.
• Weitere Informationen zum Erstellen von Zertifikatsvorlagen
• Zertifikatprofile, die Sie für verschiedene Szenarien der Zertifikatsausstellung verwenden können
• Hier erfahren Sie, wie Sie Common Expression Language (CEL) verwenden können, um verschiedene Richtlinienkontrollen für die Zertifikatsausstellung zu erzwingen.
• Lesen Sie, wie Sie eine Zertifikatsausstellungsrichtlinie verwenden können.
• Informationen zum Konfigurieren, Ändern und Entfernen von IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen.

Zertifizierungsstellen-Pool erstellen

So erstellen Sie einen CA-Pool:

1. Verwenden Sie den folgenden gcloud-Befehl, um einen Zertifizierungsstellen-Pool zu erstellen, der die Datei issuance-policy.yaml verwendet:

   gcloud

   gcloud privateca pools create POOL_NAME --location=LOCATION --tier=ENTERPRISE
   

   Wobei:

   • LOCATION ist der Ort, an dem Sie den CA-Pool erstellen möchten. Eine vollständige Liste der Standorte finden Sie unter Standorte.
   • Mit dem Flag --tier wird die Stufe des Zertifizierungsstellenpools angegeben. Weitere Informationen zu den Stufen finden Sie unter Betriebsstufen auswählen.

2. Verwenden Sie den folgenden gcloud-Befehl, um eine CA mit von Google verwalteten Ressourcen im neu erstellten CA-Pool zu erstellen:

   gcloud

   gcloud privateca roots create CA_NAME \
       --pool=POOL_NAME \
       --location=LOCATION \
       --subject="CN=Example DNS Root, O=Example LLC, C=US" \
       --validity="10Y" \
       --max-chain-length=1 \
       --auto-enable
   

   Wobei:

   • POOL_NAME ist die eindeutige Kennung des CA-Pools.
   • LOCATION ist der Ort, an dem Sie den CA-Pool erstellen möchten. Eine vollständige Liste der Standorte finden Sie unter Standorte.
   • Mit dem Flag --subject wird der Name des Zertifikatsubjekts übergeben.
   • Das Flag --validity bestimmt den Gültigkeitszeitraum der Zertifizierungsstelle. Der Standardzeitraum beträgt 10 Jahre.
   • Das Flag --max-chain-length bestimmt die maximale Tiefe untergeordneter CAs, die unter einer CA zulässig sind.
   • Das Flag --auto-enable erstellt die CA im Status ENABLED anstelle des Status STAGED. Weitere Informationen zu CA-Status finden Sie unter CA-Status.

Richtlinienkontrollen für Testzertifikate konfigurieren

Die Änderungen an der Richtlinie zur Ausstellung treten sofort in Kraft. Wir empfehlen, die Steuerelemente für Testrichtlinien zu konfigurieren, bevor Sie sie für die Produktion verwenden. In diesem Abschnitt wird beschrieben, wie Sie Testrichtlinien-Steuerelemente konfigurieren.

Sowohl für die Test- als auch für die Produktions-DNS-Vorlagen müssen Sie dieselben vordefinierten Werte für Server-TLS-Zertifikate verwenden. Erstellen Sie eine YAML-Datei leaf_server_tls_predefined_values.yaml und kopieren Sie die folgende TLS-Konfiguration für den End-Entity-Server in die Datei.

    keyUsage:
      baseKeyUsage:
        digitalSignature: true
        keyEncipherment: true
      extendedKeyUsage:
        serverAuth: true
    caOptions:
      isCa: false

Richtlinienkontrollen für DNS-Testzertifikate konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Richtlinienkontrollen festlegen können, damit der Nutzer test-dns-requester TLS-Zertifikate für Endentitätsserver für DNS in der Domain *.test.example.com anfordern kann.

DNS-Zertifikatsvorlage für Testzertifikate erstellen

In diesem Abschnitt wird beschrieben, wie Sie eine Zertifikatvorlage erstellen, die die Konfiguration End-Entity Server TLS enthält. Diese Zertifikatvorlage schränkt Zertifikate auf die Verwendung von DNS-SANs in der Domain *.test.example.com ein. Diese Einschränkungen werden mithilfe eines CEL-Ausdrucks (Common Expression Language) implementiert. Außerdem wird in der Zertifikatsvorlage jeder Antragsteller gelöscht, der in der Zertifikatsanfrage angegeben ist.

1. Verwenden Sie den folgenden gcloud-Befehl, um die Zertifikatvorlage zu erstellen, die die TLS-Erweiterungen für Endentitätsserver enthält, alle in der Zertifikatsanfrage angegebenen subject entfernt und zulässige SANs einschränkt.

   gcloud

   gcloud privateca templates create test-server-tls-template \
   --predefined-values-file  ./leaf_server_tls_predefined_values.yaml \
   --no-copy-subject \
   --copy-sans \
   --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.test.example.com'))"
   

   Wobei:

   • Mit dem Flag --predefined-values-file wird eine YAML-Datei übergeben, in der alle vordefinierten X.509-Werte beschrieben werden, die von der Zertifikatsvorlage festgelegt werden.
   • Das Flag --no-copy-subject entfernt alle vom Aufrufer angegebenen Subjekte aus der Zertifikatsanfrage.
   • Das Flag --copy sans sorgt dafür, dass die SAN-Erweiterung aus der Zertifikatsanfrage in das signierte Zertifikat kopiert wird.
   • Mit dem Flag --identity-cel-expression wird ein CEL-Ausdruck übergeben, der für die Identität im Zertifikat ausgewertet wird, bevor es ausgestellt wird. Weitere Informationen zur Verwendung von CEL-Ausdrücken zur Implementierung verschiedener Richtlinienkontrollen finden Sie unter CEL verwenden.

   Weitere Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

IAM-Bindungen für DNS-Testzertifikate erstellen

Damit der Nutzer test-dns-requester@ im DNS-CA-Pool TLS-Zertifikate für Testserver anfordern kann, erstellen Sie eine bedingte IAM-Bindung für den CA-Pool. Gewähren Sie dem Nutzer test-dns-requester@ nur dann die Rolle privateca.certificateRequester, wenn die Zertifikatsanfrage einen Verweis auf die Vorlage test-server-tls-template enthält. Weitere Informationen zu IAM-Rollen und ‑Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.

1. Erstellen Sie eine YAML-Datei für die Richtlinie test_dns_condition.yaml und kopieren Sie die folgende TLS-Konfiguration in die Datei.

     title: test DNS binding
     description: allows user to only create DNS test certificates
     expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/test-server-tls-template"
   

   Der in der IAM-Bedingung angegebene Vorlagenname muss mit dem Vorlagennamen in der Zertifikatanfrage übereinstimmen. Wenn Sie also eine Projekt-ID im Attribut privateca.googleapis.com/template des CEL-Ausdrucks angeben, müssen Sie auch beim Anfordern des Zertifikats eine Projekt-ID angeben. Wenn Sie im CEL-Ausdruck eine Projektnummer angeben, müssen Sie auch in der Zertifikatsanfrage eine Projektnummer angeben.

2. Verwenden Sie den folgenden gcloud-Befehl, um Richtlinienkontrollen hinzuzufügen, mit denen test-dns-requester@ nur TLS-Zertifikate für Produktionstests aus dem CA-Pool anfordern kann.test-dns-requester@

   gcloud

   gcloud privateca pools add-iam-policy-binding POOL_NAME \
       --location=LOCATION \
       --role='roles/privateca.certificateRequester' \
       --member='user:test-dns-requester@' \
       --condition-from-file=./test_dns_condition.yaml
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und ‑Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Das Flag --member wird verwendet, um das Mitglied zu übergeben, für das die Bindung hinzugefügt werden soll.
   • Mit dem Flag condition-from-file wird der Name der Datei mit der CEL-Bedingung übergeben.

3. Verwenden Sie die folgende gcloud, um Richtlinienkontrollen hinzuzufügen, mit denen test-dns-requester@ die Zertifikatvorlage „test-server-tls-template“ verwenden kann.

   gcloud

   gcloud privateca templates add-iam-policy-binding test-server-tls-template \
       --role='roles/privateca.templateUser' \
       --member='user:test-dns-requester@'
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und ‑Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Das Flag --member wird verwendet, um das Mitglied zu übergeben, für das die Bindung hinzugefügt werden soll.

   Weitere Informationen zum Konfigurieren von IAM-Richtlinien finden Sie unter IAM-Richtlinien konfigurieren.

Richtlinienkontrollen für Produktionszertifikate konfigurieren

Nachdem Sie Ihre Richtlinienkontrollen getestet haben, können Sie sie in Ihrer Produktionsumgebung verwenden.

Richtlinienkontrollen für DNS-Zertifikate für die Produktion konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Richtlinienkontrollen festlegen können, damit der Nutzer prod-dns-requester End-Entity-TLS-Zertifikate für die DNS-Domain .prod.example.com anfordern kann.

Zertifikatsvorlage für DNS-Zertifikate für die Produktion erstellen

Folgen Sie der Anleitung unten, um eine Zertifikatvorlage mit der Konfiguration End-Entity Server TLS zu erstellen. Diese Zertifikatvorlage schränkt Zertifikate auf die Verwendung von DNS-SANs in der Domain *.prod.example.com ein. Diese Einschränkungen werden mithilfe eines CEL-Ausdrucks (Common Expression Language) implementiert. Außerdem wird in der Zertifikatsvorlage jeder in der Zertifikatsanfrage angegebene Antragsteller entfernt.

Erstellen Sie mit dem folgenden gcloud-Befehl eine Zertifikatvorlage prod-server-tls-template.

gcloud privateca templates create prod-server-tls-template \
  --predefined-values-file ./leaf_server_tls_predefined_values.yaml \
  --no-copy-subject \
  --copy-sans \
  --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.prod.example.com'))"

Weitere Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

Weitere Informationen zum Befehl gcloud privateca templates create finden Sie unter gcloud privateca templates create.

IAM-Bindung für Produktions-DNS erstellen

Damit der Nutzer prod-dns-requester@ im DNS-Zertifizierungsstellen-Pool TLS-Zertifikate für Produktionsserver anfordern kann, erstellen Sie eine bedingte IAM-Bindung für den Zertifizierungsstellen-Pool. Weisen Sie dem Nutzer prod-dns-requester@ die Rolle privateca.certificateRequester nur zu, wenn der Zertifikatsantrag einen Verweis auf die Vorlage prod-server-tls-template enthält. Weitere Informationen zu IAM-Rollen und ‑Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.

1. Erstellen Sie eine YAML-Datei für die Richtlinie prod_dns_condition.yaml und kopieren Sie die folgende TLS-Konfiguration in die Datei.

   title: Production DNS binding
   description: allows user to only create DNS production certificates
   expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/prod-server-tls-template"
   

2. Verwenden Sie den folgenden gcloud-Befehl, um Richtlinienkontrollen hinzuzufügen, mit denen prod-dns-requester@ nur TLS-Zertifikate für Produktionsserver aus dem CA-Pool anfordern kann.

   gcloud

   gcloud privateca pools add-iam-policy-binding POOL_NAME \
       --location=LOCATION \
       --role='roles/privateca.certificateRequester' \
       --member='user:prod-dns-requester@' \
       --condition-from-file=./prod_dns_condition.yaml
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und ‑Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Das Flag --member wird verwendet, um das Mitglied zu übergeben, für das die Bindung hinzugefügt werden soll.
   • Mit dem Flag condition-from-file wird der Name der Datei mit der CEL-Bedingung übergeben.

   Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca pools add-iam-policy-binding.

3. Wenn Sie Richtliniensteuerelemente hinzufügen möchten, mit denen prod-dns-requester@ die Zertifikatvorlage „prod-server-tls-template“ verwenden kann, verwenden Sie den folgenden gcloud-Befehl:

   gcloud

   gcloud privateca templates add-iam-policy-binding prod-server-tls-template \
       --role='roles/privateca.templateUser' \
       --member='user:prod-dns-requester@'
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und ‑Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Das Flag --member wird verwendet, um das Mitglied zu übergeben, für das die Bindung hinzugefügt werden soll.

Steuerelemente für Nutzerrichtlinien ohne Einschränkungen

Wenn Sie dem Nutzer blank-check-requester@ erlauben möchten, beliebige Zertifikate ohne Einschränkungen anzufordern, erstellen Sie eine IAM-Bindung ohne Bedingungen, die dem Nutzer die Rolle privateca.certificateRequester zuweist.

gcloud privateca pools add-iam-policy-binding POOL_NAME \
    --location=LOCATION \
    --role='roles/privateca.certificateRequester' \
    --member='user:blank-check-requester@example.com'

Richtlinienkontrollen testen

Nachdem Sie die Richtlinien für die Zertifikatausstellung und IAM implementiert haben, ist es wichtig, diese Richtlinien zu überprüfen und zu testen, um sicherzustellen, dass sie wie erwartet funktionieren.

Alle Richtlinienbindungen abrufen

Rufen Sie alle IAM-Richtlinien ab, die für Ihren CA-Pool implementiert sind. Verwenden Sie den Befehl gcloud privateca pools get-iam-policy, um alle IAM-Richtlinien für den CA-Pool abzurufen:

gcloud privateca pools get-iam-policy POOL_NAME --location=LOCATION

Weitere Informationen zum Befehl gcloud privateca pools get-iam-policy finden Sie unter gcloud privateca pools get-iam-policy.

Zertifikate generieren

In diesem Abschnitt finden Sie Informationen zum Generieren von Zertifikaten für allgemeine Zwecke sowie von DNS-Zertifikaten für Tests und die Produktion.

DNS-Testzertifikate generieren

Wenn Sie dem Nutzer test-dns-requester@ erlauben möchten, Test-DNS-Zertifikate aus dem CA-Pool anzufordern, verwenden Sie den folgenden gcloud-Befehl:

gcloud privateca certificates create test-dns-1 \
    --project=PROJECT_ID \
    --issuer-location=LOCATION \
    --issuer-pool=POOL_NAME \
    --dns-san=foo.bar.test.example.com \
    --generate-key \
    --key-output-file=KEY_FILE_NAME \
    --cert-output-file=test_dns_cert.pem \
    --template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/test-server-tls-template

Produktionszertifikate generieren

Der Nutzer prod-dns-requester kann jetzt Produktions-DNS-Zertifikate aus dem CA-Pool anfordern. Mit --dns-san=foo.bar.prod.example.com wird der Zertifikatsanfrage ein SAN vom DNS-Typ mit dem angegebenen Wert hinzugefügt.

gcloud privateca certificates create prod-dns-1 \
    --project=PROJECT_ID \
    --issuer-location=LOCATION \
    --issuer-pool=POOL_NAME \
    --dns-san=foo.bar.prod.example.com \
    --generate-key \
    --key-output-file=KEY_FILE_NAME \
    --cert-output-file=prod_dns_cert.pem \
    --template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/prod-server-tls-template

Zertifikate für allgemeine Zwecke generieren

Der Nutzer blank-check-requester@ kann mit dem Befehl gcloud privateca certificates create jedes Zertifikat aus dem CA-Pool anfordern.

Wenn Sie ein Zertifikat von einem CA-Pool anfordern möchten, können Sie einen öffentlichen/privaten Schlüssel verwenden, der von CA Service erstellt wurde. Weitere Informationen zum Anfordern von Zertifikaten finden Sie unter Zertifikat anfordern und ausgestelltes Zertifikat ansehen.

Bereinigen

In diesem Abschnitt wird erläutert, wie Sie IAM-Richtlinien für einen CA-Pool entfernen.

Bestimmte IAM-Bindung entfernen

Mit dem folgenden gcloud-Befehl entfernen Sie die bedingten IAM-Bindungen für den CA-Pool für den Nutzer blank-check-requester:

gcloud privateca pools remove-iam-policy-binding POOL_NAME \
    --location=LOCATION \
    --role='roles/privateca.certificateRequester' \
    --member='user:blank-check-requester@'

Wenn Sie eine bestimmte IAM-Bindung entfernen, müssen Sie alle Informationen zur IAM-Bindung im gcloud privateca pools remove-iam-policy-binding-Befehl angeben. Eine Rolle und ein Mitglied können mehrere IAM-Bindungen mit unterschiedlichen Bedingungen haben. Es ist wichtig, dass Sie alle Details zur IAM-Bindung angeben, um zu vermeiden, dass versehentlich eine andere Bindung gelöscht wird.

Weitere Informationen zum Befehl gcloud privateca pools remove-iam-policy-binding finden Sie unter gcloud privateca pools remove-iam-policy-binding.

Alle bedingten IAM-Bindungen entfernen

Mit dem Befehl gcloud privateca pools remove-iam-policy-binding können Sie eine IAM-Bindung entfernen. Wenn Sie eine bedingte IAM-Bindung entfernen, müssen Sie alle Informationen zur Bindung angeben. Ein Nutzer und eine Rolle können mehrere bedingte Bindungen haben. Wenn Sie alle bedingten Bindungen entfernen möchten, verwenden Sie das Flag --all in Ihrem gcloud-Befehl.

Verwenden Sie den folgenden gcloud-Befehl, um alle Bindungen für den Nutzer prod-code-signing-requester zu entfernen.

gcloud privateca pools remove-iam-policy-binding POOL_NAME \
    --location=LOCATION \
    --role='roles/privateca.certificateRequester' \
    --member='user:prod-code-signing-requester@' \
    --all