Richtlinienkontrollen verwalten

In dieser Anleitung erfahren Sie, wie Sie Richtlinienkontrollen für Certificate Authority Service-Ressourcen implementieren.

Ziele

In dieser Anleitung erfahren Sie, wie Sie einen freigegebenen Zertifizierungsstellenpool (CA-Pool) für die Ausstellung von DNS-Zertifikaten mit den folgenden Richtlinienkontrollen konfigurieren:

• Der Nutzer prod-dns-requester kann TLS-Zertifikate für Endentitätsserver für die Domain *.prod.example.com anfordern.
• Der Nutzer test-dns-requester kann TLS-Zertifikate für Endentitätsserver für die Domain *.test.example.com anfordern.
• Der Nutzer blank-check-requester kann jede Art von Zertifikat aus dem CA-Pool anfordern.

In dieser Anleitung werden die Zertifikatsausstellungsrichtlinie eines CA-Pools, Zertifikatsvorlagen und bedingte IAM-Bindungen verwendet, um dieses Szenario zu erreichen.

Hinweis

• Informationen zu den verschiedenen Richtlinienkontrollen, die von CA Service angeboten werden
• Informationen zum Erstellen von Zertifikatsvorlagen
• Informationen zu den Zertifikatsprofilen, die Sie für verschiedene Szenarien der Zertifikatsausstellung verwenden können
• Informationen zur Verwendung der Common Expression Language (CEL) zum Erzwingen verschiedener Richtlinienkontrollen für die Zertifikatsausstellung
• Informationen zur Verwendung einer Zertifikatsausstellungsrichtlinie
• Informationen zum Konfigurieren, Ändern und Entfernen von IAM Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen

CA-Pool erstellen

So erstellen Sie einen CA-Pool:

1. Verwenden Sie den folgenden gcloud-Befehl, um einen CA-Pool zu erstellen, der die Datei issuance-policy.yaml verwendet:

   gcloud

   gcloud privateca pools create POOL_NAME --location=LOCATION --tier=ENTERPRISE
   

   Wobei:

   • LOCATION ist der Standort, an dem Sie den CA-Pool erstellen möchten. Die vollständige Liste der Standorte finden Sie unter Standorte.
   • Mit dem Flag --tier wird die Stufe des CA-Pools angegeben. Weitere Informationen zu Stufen finden Sie unter Stufen für Vorgänge auswählen.

2. Verwenden Sie den folgenden gcloud-Befehl, um eine Zertifizierungsstelle mit von Google verwalteten Ressourcen im neu erstellten CA-Pool zu erstellen:

   gcloud

   gcloud privateca roots create CA_NAME \
       --pool=POOL_NAME \
       --location=LOCATION \
       --subject="CN=Example DNS Root, O=Example LLC, C=US" \
       --validity="10Y" \
       --max-chain-length=1 \
       --auto-enable
   

   Wobei:

   • POOL_NAME ist die eindeutige ID des CA-Pools.
   • LOCATION ist der Standort, an dem Sie den CA-Pool erstellen möchten. Die vollständige Liste der Standorte finden Sie unter Standorte.
   • Mit dem Flag --subject wird der Name des Zertifikatssubjekts übergeben.
   • Mit dem Flag --validity wird der Gültigkeitszeitraum der Zertifizierungsstelle festgelegt. Der Standardgültigkeitszeitraum beträgt 10 Jahre.
   • Mit dem Flag --max-chain-length wird die maximale Tiefe untergeordneter Zertifizierungsstellen festgelegt, die unter einer Zertifizierungsstelle zulässig sind.
   • Mit dem Flag --auto-enable wird die Zertifizierungsstelle im Status ENABLED und nicht im Status STAGED erstellt. Weitere Informationen zu den Zertifizierungsstellenstatus finden Sie unter Zertifizierungsstellen status.

Richtlinienkontrollen für Testzertifikate konfigurieren

Die Änderungen an der Ausstellungsrichtlinie treten sofort in Kraft. Wir empfehlen, Testrichtlinienkontrollen zu konfigurieren, bevor Sie sie für die Produktion verwenden. In diesem Abschnitt wird beschrieben, wie Sie Testrichtlinienkontrollen konfigurieren.

Für die DNS-Vorlagen für Tests und Produktion müssen Sie dieselben vordefinierten Werte für Server-TLS-Zertifikate verwenden. Erstellen Sie eine YAML-Datei leaf_server_tls_predefined_values.yaml und kopieren Sie die folgende TLS-Konfiguration für Endentitätsserver in die Datei.

    keyUsage:
      baseKeyUsage:
        digitalSignature: true
        keyEncipherment: true
      extendedKeyUsage:
        serverAuth: true
    caOptions:
      isCa: false

Richtlinienkontrollen für DNS-Testzertifikate konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Richtlinienkontrollen festlegen können, damit der Nutzer test-dns-requester TLS-Zertifikate für Endentitätsserver TLS für DNS in der *.test.example.com Domain anfordern kann.

DNS-Zertifikatsvorlage für Testzertifikate erstellen

In diesem Abschnitt wird beschrieben, wie Sie eine Zertifikatsvorlage erstellen, die die TLS-Konfiguration für Endentitätsserver enthält. Diese Zertifikatsvorlage beschränkt Zertifikate auf die Verwendung von DNS-SANs in der Domain *.test.example.com. Diese Einschränkungen werden mithilfe eines CEL-Ausdrucks (Common Expression Language) implementiert. Die Zertifikatsvorlage entfernt auch alle in der Zertifikatsanfrage angegebenen Antragsteller.

1. Verwenden Sie den folgenden gcloud-Befehl, um die Zertifikatsvorlage zu erstellen, die die TLS-Erweiterungen für Endentitätsserver enthält, alle in der Zertifikatsanfrage angegebenen subject entfernt und die zulässigen SANs einschränkt.

   gcloud

   gcloud privateca templates create test-server-tls-template \
   --predefined-values-file  ./leaf_server_tls_predefined_values.yaml \
   --no-copy-subject \
   --copy-sans \
   --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.test.example.com'))"
   

   Wobei:

   • Mit dem Flag --predefined-values-file wird eine YAML-Datei übergeben, die alle vordefinierten X.509-Werte beschreibt, die von der Zertifikatsvorlage festgelegt wurden.
   • Mit dem Flag --no-copy-subject werden alle vom Aufrufer angegebenen Antragsteller aus der Zertifikatsanfrage entfernt.
   • Mit dem Flag --copy sans wird sichergestellt, dass die SAN-Erweiterung aus der Zertifikatsanfrage in das signierte Zertifikat kopiert wird.
   • Mit dem Flag --identity-cel-expression wird ein CEL-Ausdruck übergeben, der vor der Ausstellung des Zertifikats für die Identität im Zertifikat ausgewertet wird. Weitere Informationen zur Verwendung von CEL-Ausdrücken zum Implementieren verschiedener Richtlinienkontrollen finden Sie unter CEL verwenden.

   Weitere Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

IAM-Bindungen für DNS-Testzertifikate erstellen

Wenn Sie dem Nutzer test-dns-requester@ im DNS-CA-Pool erlauben möchten, TLS-Testzertifikate für Server anzufordern, erstellen Sie eine bedingte IAM-Bindung für den CA-Pool. Weisen Sie dem Nutzer test-dns-requester@ die Rolle privateca.certificateRequester nur zu, wenn die Zertifikatsanfrage einen Verweis auf die Vorlage test-server-tls-template enthält. Weitere Informationen zu IAM-Rollen und -Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.

1. Erstellen Sie eine YAML-Datei für die Richtlinie test_dns_condition.yaml und kopieren Sie die folgende TLS-Konfiguration in die Datei.

     title: test DNS binding
     description: allows user to only create DNS test certificates
     expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/test-server-tls-template"
   

   Der in der IAM-Bedingung angegebene Vorlagenname muss mit dem Vorlagennamen in der Zertifikatsanfrage übereinstimmen. Wenn Sie also eine Projekt-ID im Attribut privateca.googleapis.com/template des CEL-Ausdrucks angeben, müssen Sie auch eine Projekt-ID angeben, wenn Sie das Zertifikat anfordern. Wenn Sie im CEL-Ausdruck eine Projektnummer angeben, müssen Sie auch in der Zertifikatsanfrage eine Projektnummer angeben.

2. Verwenden Sie den folgenden gcloud-Befehl, um Richtlinienkontrollen hinzuzufügen, mit denen test-dns-requester@ nur TLS-Testzertifikate für die Produktion aus dem CA-Pool anfordern kann.

   gcloud

   gcloud privateca pools add-iam-policy-binding POOL_NAME \
       --location=LOCATION \
       --role='roles/privateca.certificateRequester' \
       --member='user:test-dns-requester@' \
       --condition-from-file=./test_dns_condition.yaml
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.
   • Mit dem Flag condition-from-file wird der Name der Datei mit der CEL-Bedingung übergeben.

3. Verwenden Sie den folgenden gcloud-Befehl, um Richtlinienkontrollen hinzuzufügen, mit denen test-dns-requester@ die Zertifikatsvorlage „test-server-tls-template“ verwenden kann.

   gcloud

   gcloud privateca templates add-iam-policy-binding test-server-tls-template \
       --role='roles/privateca.templateUser' \
       --member='user:test-dns-requester@'
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.

   Weitere Informationen zum Konfigurieren von IAM-Richtlinien finden Sie unter IAM-Richtlinien konfigurieren.

Richtlinienkontrollen für Produktionszertifikate konfigurieren

Nachdem Sie Ihre Richtlinienkontrollen getestet haben, können Sie sie in Ihrer Produktionsumgebung verwenden.

Richtlinienkontrollen für DNS-Produktionszertifikate konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie Richtlinienkontrollen festlegen können, damit der Nutzer prod-dns-requester TLS-Zertifikate für Endentitäten für die DNS-Domain .prod.example.com anfordern kann.

Zertifikatsvorlage für DNS-Produktionszertifikate erstellen

Folgen Sie dieser Anleitung, um eine Zertifikatsvorlage zu erstellen, die die TLS-Konfiguration für Endentitätsserver enthält. Diese Zertifikatsvorlage beschränkt Zertifikate auf die Verwendung von DNS-SANs in der Domain *.prod.example.com. Diese Einschränkungen werden mithilfe eines CEL-Ausdrucks (Common Expression Language) implementiert. Die Zertifikatsvorlage entfernt auch alle in der Zertifikatsanfrage angegebenen Antragsteller.

Erstellen Sie mit dem folgenden gcloud-Befehl eine Zertifikatsvorlage prod-server-tls-template.

gcloud privateca templates create prod-server-tls-template \
  --predefined-values-file ./leaf_server_tls_predefined_values.yaml \
  --no-copy-subject \
  --copy-sans \
  --identity-cel-expression "subject_alt_names.all(san, san.type == DNS && san.value.endsWith('.prod.example.com'))"

Weitere Informationen zum Erstellen von Zertifikatsvorlagen finden Sie unter Zertifikatsvorlage erstellen.

Weitere Informationen zum Befehl gcloud privateca templates create finden Sie unter gcloud privateca templates create.

IAM-Bindung für DNS-Produktion erstellen

Wenn Sie dem Nutzer prod-dns-requester@ im DNS-Zertifizierungsstellenpool erlauben möchten, TLS-Produktionszertifikate für Server anzufordern, erstellen Sie eine bedingte IAM-Bindung für den Zertifizierungsstellenpool. Weisen Sie dem Nutzer prod-dns-requester@ die Rolle privateca.certificateRequester nur zu, wenn die Zertifikatsanfrage einen Verweis auf die Vorlage prod-server-tls-template enthält. Weitere Informationen zu IAM-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.

1. Erstellen Sie eine YAML-Datei für die Richtlinie prod_dns_condition.yaml und kopieren Sie die folgende TLS-Konfiguration in die Datei.

   title: Production DNS binding
   description: allows user to only create DNS production certificates
   expression: api.getAttribute("privateca.googleapis.com/template", "") == "PROJECT_ID/-/prod-server-tls-template"
   

2. Verwenden Sie den folgenden gcloud-Befehl, um Richtlinienkontrollen hinzuzufügen, mit denen prod-dns-requester@ nur TLS-Zertifikate für Produktionsserver aus dem CA-Pool anfordern kann.

   gcloud

   gcloud privateca pools add-iam-policy-binding POOL_NAME \
       --location=LOCATION \
       --role='roles/privateca.certificateRequester' \
       --member='user:prod-dns-requester@' \
       --condition-from-file=./prod_dns_condition.yaml
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.
   • Mit dem Flag condition-from-file wird der Name der Datei mit der CEL-Bedingung übergeben.

   Weitere Informationen zum Befehl gcloud privateca pools add-iam-policy-binding finden Sie unter gcloud privateca pools add-iam-policy-binding.

3. Verwenden Sie den folgenden gcloud-Befehl, um Richtlinienkontrollen hinzuzufügen, mit denen prod-dns-requester@ die Zertifikatsvorlage „prod-server-tls-template“ verwenden kann:

   gcloud

   gcloud privateca templates add-iam-policy-binding prod-server-tls-template \
       --role='roles/privateca.templateUser' \
       --member='user:prod-dns-requester@'
   

   Wobei:

   • Mit dem Flag --role wird der Rollenname übergeben, der einem Mitglied zugewiesen werden soll. Weitere Informationen zu IAM-Rollen und -Berechtigungen für CA Service finden Sie unter Zugriffssteuerung mit IAM.
   • Mit dem Flag --member wird das Mitglied übergeben, für das die Bindung hinzugefügt werden soll.

Richtlinienkontrollen für uneingeschränkte Nutzer

Wenn Sie dem Nutzer blank-check-requester@ erlauben möchten, ohne Einschränkungen Zertifikate anzufordern, erstellen Sie eine IAM-Bindung ohne Bedingungen, die dem Nutzer die Rolle privateca.certificateRequester zuweist.

gcloud privateca pools add-iam-policy-binding POOL_NAME \
    --location=LOCATION \
    --role='roles/privateca.certificateRequester' \
    --member='user:blank-check-requester@example.com'

Richtlinienkontrollen testen

Nachdem Sie Ihre Zertifikatsausstellungs- und IAM-Richtlinien implementiert haben, ist es wichtig, diese Richtlinien zu überprüfen und zu testen, um sicherzustellen, dass sie wie erwartet funktionieren.

Alle Richtlinienbindungen abrufen

Rufen Sie alle IAM-Richtlinien ab, die für Ihren CA-Pool implementiert sind. Verwenden Sie den gcloud privateca pools get-iam-policy Befehl, um alle IAM-Richtlinien für den CA-Pool abzurufen:

gcloud privateca pools get-iam-policy POOL_NAME --location=LOCATION

Weitere Informationen zum gcloud privateca pools get-iam-policy Befehl, finden Sie unter gcloud privateca pools get-iam-policy.

Zertifikate generieren

In diesem Abschnitt finden Sie Informationen zum Generieren von Zertifikaten für allgemeine Zwecke sowie von DNS-Zertifikaten für Tests und Produktion.

DNS-Testzertifikate generieren

Verwenden Sie den folgenden gcloud-Befehl, um dem Nutzer test-dns-requester@ zu erlauben, DNS-Testzertifikate aus dem CA-Pool anzufordern:

gcloud privateca certificates create test-dns-1 \
    --project=PROJECT_ID \
    --issuer-location=LOCATION \
    --issuer-pool=POOL_NAME \
    --dns-san=foo.bar.test.example.com \
    --generate-key \
    --key-output-file=KEY_FILE_NAME \
    --cert-output-file=test_dns_cert.pem \
    --template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/test-server-tls-template

Produktionszertifikate generieren

Der Nutzer prod-dns-requester kann jetzt DNS-Produktionszertifikate aus dem CA-Pool anfordern. Mit --dns-san=foo.bar.prod.example.com wird der Zertifikatsanfrage ein SAN vom Typ DNS mit dem angegebenen Wert hinzugefügt.

gcloud privateca certificates create prod-dns-1 \
    --project=PROJECT_ID \
    --issuer-location=LOCATION \
    --issuer-pool=POOL_NAME \
    --dns-san=foo.bar.prod.example.com \
    --generate-key \
    --key-output-file=KEY_FILE_NAME \
    --cert-output-file=prod_dns_cert.pem \
    --template=projects/PROJECT_ID/locations/LOCATION/certificateTemplates/prod-server-tls-template

Zertifikate für allgemeine Zwecke generieren

Der Nutzer blank-check-requester@ kann mit dem Befehl gcloud privateca certificates create beliebige Zertifikate aus dem CA-Pool anfordern.

Wenn Sie ein Zertifikat aus einem CA-Pool anfordern möchten, können Sie einen öffentlichen/privaten Schlüssel verwenden, der von CA Service erstellt wurde. Weitere Informationen zum Anfordern von Zertifikaten finden Sie unter Zertifikat anfordern und ausgestelltes Zertifikat ansehen.

Bereinigen

In diesem Abschnitt wird erläutert, wie Sie IAM-Richtlinien für einen CA-Pool entfernen können.

Bestimmte IAM-Bindung entfernen

Verwenden Sie den folgenden gcloud-Befehl, um die bedingten IAM-Bindungen für den CA-Pool für den Nutzer blank-check-requester zu entfernen:

gcloud privateca pools remove-iam-policy-binding POOL_NAME \
    --location=LOCATION \
    --role='roles/privateca.certificateRequester' \
    --member='user:blank-check-requester@'

Wenn Sie eine bestimmte IAM-Bindung entfernen, müssen Sie alle die Informationen zur IAM-Bindung im gcloud privateca pools remove-iam-policy-binding Befehl angeben. Eine Rolle und ein Mitglied können mehrere IAM-Bindungen mit unterschiedlichen Bedingungen haben. Es ist wichtig, dass Sie alle Details zur IAM-Bindung angeben, um zu vermeiden, dass versehentlich eine andere Bindung gelöscht wird.

Weitere Informationen zum Befehl gcloud privateca pools remove-iam-policy-binding finden Sie unter gcloud privateca pools remove-iam-policy-binding.

Alle bedingten IAM-Bindungen entfernen

Verwenden Sie den Befehl gcloud privateca pools remove-iam-policy-binding, um eine IAM-Bindung zu entfernen. Wenn Sie eine bedingte IAM-Bindung entfernen, müssen Sie alle Informationen zur Bindung angeben. Ein Nutzer und eine Rolle können mehr als eine bedingte Bindung haben. Verwenden Sie das Flag --all in Ihrem gcloud-Befehl, um alle bedingten Bindungen zu entfernen.

Verwenden Sie den folgenden gcloud-Befehl, um alle Bindungen für den Nutzer prod-code-signing-requester zu entfernen.

gcloud privateca pools remove-iam-policy-binding POOL_NAME \
    --location=LOCATION \
    --role='roles/privateca.certificateRequester' \
    --member='user:prod-code-signing-requester@' \
    --all