Cette page explique comment créer et gérer des configurations de confiance à utiliser dans différents scénarios d'authentification TLS mutuelle (mTLS).
Pour en savoir plus sur mTLS, consultez les ressources suivantes :
Pour comprendre les concepts de configurations de confiance, d'ancres de confiance et de certificats intermédiaires, consultez Configurations de confiance.
Pour en savoir plus sur mTLS, consultez la présentation de Mutual TLS dans la documentation Cloud Load Balancing.
Pour utiliser une configuration de confiance afin de configurer mTLS sur votre proxy cible, consultez les pages suivantes de la documentation Cloud Load Balancing :
Créer une configuration de confiance
Lorsque vous créez une configuration de confiance, vous devez spécifier les ancres de confiance utilisées pour valider le certificat.
Pour créer une configuration d'approbation, procédez comme suit :
Console
Dans la console Google Cloud , accédez à l'onglet Configurations de confiance sur la page Certificate Manager.
Cliquez sur Add Trust Config (Ajouter une configuration de confiance). La page Créer une configuration d'approbation s'affiche.
Dans le champ Nom, saisissez un nom pour la configuration.
Ce nom doit être unique au projet. Il doit également commencer par une lettre minuscule, suivie de 1 à 62 caractères (lettres minuscules, chiffres ou traits d'union), et ne doit pas se terminer par un trait d'union.
Facultatif : Dans le champ Description, saisissez une description de la configuration. Cette description vous aidera à identifier une configuration spécifique ultérieurement.
Facultatif : Dans le champ Libellés, spécifiez les libellés à associer à la configuration de confiance. Pour ajouter un libellé, cliquez sur Ajouter un libellé, puis spécifiez une clé et une valeur pour votre libellé.
Pour Emplacement, sélectionnez Global ou Régional.
Si vous avez sélectionné Régional, sélectionnez la Région.
Dans la section Magasin de confiance, ajoutez des ancres de confiance et des autorités de certification intermédiaires.
Vous pouvez spécifier plusieurs ancres de confiance et certificats intermédiaires en utilisant plusieurs instances de la charge utile PEM complète pour le certificat, un certificat par instance.
Dans la section Ancres de confiance , cliquez sur Ajouter une ancre de confiance, puis importez le fichier de certificat encodé au format PEM ou copiez le contenu du certificat. Lorsque vous avez terminé, cliquez sur Ajouter.
Facultatif : Dans la section CA intermédiaires, cliquez sur Ajouter une CA intermédiaire, puis importez le fichier de certificat intermédiaire encodé au format PEM ou copiez le contenu du certificat intermédiaire. Lorsque vous avez terminé, cliquez sur Ajouter.
Cette étape vous permet d'ajouter un niveau de confiance entre le certificat racine et le certificat de votre serveur.
Facultatif : Dans la section Certificats autorisés, cliquez sur Ajouter un certificat et importez le fichier de certificat encodé au format PEM, ou copiez le contenu du certificat. Le certificat est alors ajouté à une liste d'autorisation. Lorsque vous avez terminé, cliquez sur Ajouter.
Pour spécifier plusieurs ancres de confiance ou certificats intermédiaires dans la spécification de la ressource de configuration de confiance, utilisez plusieurs instances du champ
pemCertificate. Chaque instance du champ contient un seul certificat.La configuration de confiance considère toujours comme valide un certificat figurant sur une liste d'autorisation. Pour encapsuler plusieurs certificats dans une liste d'autorisation, utilisez plusieurs instances du champ
pemCertificate, un certificat par instance. Vous n'avez pas besoin de magasin de confiance lorsque vous utilisez des certificats ajoutés à une liste d'autorisation.La configuration de confiance considère toujours qu'un certificat figurant sur une liste d'autorisation est valide s'il remplit des conditions spécifiques : il doit être analysable, posséder une preuve de propriété de la clé privée et respecter les contraintes du champ SAN du certificat. Les certificats expirés sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus sur le format encodé PEM, consultez la RFC 7468.
Cliquez sur Créer.
Vérifiez que la nouvelle configuration de confiance apparaît dans la liste des configurations.
gcloud
Créez un fichier YAML de configuration de confiance qui spécifie les paramètres de configuration de confiance.
Le fichier a le format suivant :
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"Remplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD: charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance.ALLOWLISTED_CERT1etALLOWLISTED_CERT2: certificats ajoutés à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance.
Pour spécifier plusieurs ancres de confiance ou certificats intermédiaires dans la spécification de la ressource de configuration de confiance, utilisez plusieurs instances du champ
pemCertificate. Chaque instance du champ contient un seul certificat.La configuration de confiance considère toujours comme valide un certificat figurant sur une liste d'autorisation. Pour encapsuler plusieurs certificats dans une liste d'autorisation, utilisez plusieurs instances du champ
pemCertificate, un certificat par instance. Vous n'avez pas besoin de magasin de confiance lorsque vous utilisez des certificats ajoutés à une liste d'autorisation.La configuration de confiance considère toujours qu'un certificat figurant sur une liste d'autorisation est valide s'il remplit des conditions spécifiques : il doit être analysable, posséder une preuve de propriété de la clé privée et respecter les contraintes du champ SAN du certificat. Les certificats expirés sont également considérés comme valides lorsqu'ils sont ajoutés à une liste d'autorisation. Pour en savoir plus sur le format encodé PEM, consultez la RFC 7468.
Pour importer le fichier YAML de configuration de confiance, utilisez la commande
gcloud certificate-manager trust-configs import:gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.PROJECT_ID: ID de votre projet Google Cloud .TRUST_CONFIG_FILE: chemin d'accès complet et nom du fichier YAML de configuration de l'approbation que vous avez créé à l'étape 1.LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.
API
Envoyez une requête POST à la méthode trustConfigs.create :
POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
"description": "DESCRIPTION",
"trust_stores": [{
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
}],
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.DESCRIPTION: description pertinente de cette ressource de configuration de confiance. Cette valeur est facultative.CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD: charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance. Cette valeur est facultative.ALLOWLISTED_CERT: certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Mettre à jour une configuration de confiance
Pour mettre à jour une configuration de confiance, vous devez créer un autre fichier YAML de configuration de confiance qui spécifie les nouveaux paramètres de configuration de confiance, puis importer ce fichier dans Certificate Manager.
Console
Dans la console Google Cloud , accédez à l'onglet Configurations de confiance sur la page Certificate Manager.
Recherchez et sélectionnez la configuration de confiance que vous souhaitez modifier.
Dans la colonne Plus d'options, cliquez sur Plus d'actions pour la configuration que vous souhaitez modifier, puis sélectionnez Modifier.
Apportez les modifications nécessaires.
Cliquez sur Enregistrer.
Vérifiez que les modifications de configuration sont appliquées.
gcloud
Exportez le fichier YAML de configuration de l'approbation.
gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \ --project=PROJECT_ID \ --destination=TRUST_CONFIG_FILE \ --location=LOCATIONRemplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.PROJECT_ID: ID de votre projet Google Cloud .TRUST_CONFIG_FILE: chemin d'accès complet et nom du fichier YAML de configuration de la confiance.LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.
Modifiez le fichier YAML de configuration de la confiance.
Le fichier a le format suivant :
name: "TRUST_CONFIG_ID" trustStores: - trustAnchors: - pemCertificate: "CERTIFICATE_PEM_PAYLOAD" intermediateCas: - pemCertificate: "INTER_CERT_PEM_PAYLOAD" allowlistedCertificates: - pemCertificate: "ALLOWLISTED_CERT1" - pemCertificate: "ALLOWLISTED_CERT2"Remplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD: charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance. Cette valeur est facultative.ALLOWLISTED_CERT1etALLOWLISTED_CERT2: certificats ajoutés à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Importez le nouveau fichier de configuration de confiance dans Certificate Manager en utilisant le nom de ressource de la configuration de confiance existante.
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \ --project=PROJECT_ID \ --source=TRUST_CONFIG_FILE \ --location=LOCATIONRemplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.PROJECT_ID: ID de votre projet Google Cloud .TRUST_CONFIG_FILE: chemin d'accès complet et nom du fichier YAML de configuration de la confiance.LOCATION: région où la ressource de configuration de confiance est stockée. La position par défaut estglobal.
API
Envoyez une requête PATCH à la méthode trustConfigs.update :
PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
{
"description": "DESCRIPTION",
"trust_stores": [{
"trust_anchors": [{
"pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
}],
"intermediate_cas": [{
"pem_certificate": "INTER_CERT_PEM_PAYLOAD"
}],
}],
"allowlistedCertificates": [{
"pem_certificate": "ALLOWLISTED_CERT"
}],
}
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.DESCRIPTION: description pertinente de cette ressource de configuration de confiance. Cette description est facultative.CERTIFICATE_PEM_PAYLOAD: charge utile PEM complète du certificat à utiliser pour la ressource de configuration de confiance.INTER_CERT_PEM_PAYLOAD: charge utile PEM complète du certificat intermédiaire à utiliser pour la ressource de configuration de confiance. Cette valeur est facultative.ALLOWLISTED_CERT: certificat ajouté à une liste d'autorisation à utiliser pour cette ressource de configuration de confiance. Cette valeur est facultative.
Lister les configurations de confiance
Vous pouvez afficher toutes les configurations de confiance configurées pour votre projet.
Console
Dans la console Google Cloud , accédez à l'onglet Configurations de confiance sur la page Certificate Manager.
Dans l'onglet Configurations de confiance, vous pouvez afficher la liste de toutes les ressources de configuration de confiance configurées dans le projet sélectionné.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs list :
gcloud certificate-manager trust-configs list \
--filter="FILTER" \
--page-size="PAGE_SIZE" \
--limit="LIMIT" \
--sort-by="SORT_BY" \
--location=LOCATION
Remplacez les éléments suivants :
FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par libellés et heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de liste dans la documentation Cloud Key Management Service.
PAGE_SIZE: nombre de résultats que vous souhaitez renvoyer par pageLIMIT: nombre maximal de résultats à renvoyerSORT_BY: liste de champsnameséparés par une virgule selon lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre décroissant, ajoutez un tilde (~) devant le champ.LOCATION: région où la ressource de configuration de confiance est stockée. Pour lister les configurations d'approbation de toutes les régions, utilisez-comme valeur. La valeur par défaut est-. Cette option est facultative.
API
Envoyez une requête GET à la méthode trustConfigs.list :
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .LOCATION: région où la ressource de configuration de confiance est stockée. Pour afficher toutes les configurations de confiance dans tous les emplacements, spécifiez un tiret simple (-).FILTER: expression qui limite les résultats renvoyés à des valeurs spécifiques.Par exemple, pour filtrer les résultats par libellés et heure de création, vous pouvez spécifier :
--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'Pour obtenir d'autres exemples de filtrage que vous pouvez utiliser avec Certificate Manager, consultez Trier et filtrer les résultats de liste dans la documentation Cloud Key Management Service.
PAGE_SIZE: nombre de résultats que vous souhaitez renvoyer par pageSORT_BY: liste de champsnameséparés par une virgule selon lesquels les résultats renvoyés sont triés. L'ordre de tri par défaut est croissant. Pour un ordre décroissant, ajoutez un tilde (~) devant le champ.
Afficher les configurations de confiance
Vous pouvez afficher les détails d'une configuration de confiance spécifique.
Console
Dans la console Google Cloud , accédez à l'onglet Configurations de confiance sur la page Certificate Manager.
Cliquez sur la ressource de configuration de l'approbation que vous souhaitez afficher. La page Détails de la configuration de confiance affiche des informations détaillées sur la ressource de configuration de confiance sélectionnée.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs describe :
gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
--location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.
API
Envoyez une requête GET à la méthode trustConfigs.get :
GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.
Supprimer une configuration de confiance
Avant de supprimer une configuration de confiance, dissociez-la de la ressource d'authentification du client (ServerTlsPolicy).
Console
Dans la console Google Cloud , accédez à l'onglet Configurations de confiance sur la page Certificate Manager.
Cochez la case de la configuration de confiance que vous souhaitez supprimer.
Cliquez sur Supprimer.
Dans la boîte de dialogue qui s'affiche, cliquez sur Supprimer pour confirmer.
gcloud
Exécutez la commande gcloud certificate-manager trust-configs delete :
gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
--location=LOCATION
Remplacez les éléments suivants :
TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.
API
Envoyez une requête DELETE à la méthode trustConfigs.delete :
DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID
Remplacez les éléments suivants :
PROJECT_ID: ID de votre projet Google Cloud .LOCATION: région où la ressource de configuration de confiance est stockée. L'emplacement par défaut estglobal.TRUST_CONFIG_ID: ID de la ressource de configuration de confiance.
Étapes suivantes
- Gérer les certificats
- Gérer les mappages de certificats
- Gérer les entrées de mappage de certificats
- Gérer les autorisations DNS
- Gérer les ressources de configuration d'émission de certificats