ניהול הגדרות האמון

בדף הזה מוסבר איך ליצור ולנהל הגדרות אמון לשימוש בתרחישים שונים של אימות TLS הדדי (mTLS).

מידע נוסף על mTLS זמין במקורות המידע הבאים:

יצירת הגדרת אמון

כשיוצרים הגדרת אמון, צריך לציין את עוגני האמון שמשמשים לאימות האישור.

כדי ליצור הגדרת אמון, מבצעים את השלבים הבאים:

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Trust configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. לוחצים על הוספת הגדרת אמון. מופיע הדף Create Trust Config.

  3. בשדה Name, מזינים שם להגדרה.

    השם חייב להיות ייחודי בפרויקט. בנוסף, הוא צריך להתחיל באות קטנה, להמשיך בעד 62 אותיות קטנות, מספרים או מקפים, ולא להסתיים במקף.

  4. אופציונלי: בשדה Description, מזינים תיאור של ההגדרה. התיאור הזה עוזר לכם לזהות הגדרה ספציפית בהמשך.

  5. אופציונלי: בשדה Labels, מציינים תוויות לשיוך להגדרת האמון. כדי להוסיף תווית, לוחצים על Add label ומציינים מפתח וערך לתווית.

  6. בקטע מיקום, בוחרים באפשרות גלובלי או אזורי.

    אם בחרתם באפשרות אזורי, בוחרים אזור.

  7. בקטע מאגר אישורים, מוסיפים ישויות עוגן אמינות ורשויות אישורים ביניים.

    אפשר לציין כמה עוגני מהימנות ואישורי ביניים באמצעות כמה מופעים של מטען ה-PEM המלא של האישור, אישור אחד לכל מופע.

    1. בקטע Trust anchors , לוחצים על Add trust anchor ומעלים את קובץ האישור בקידוד PEM, או מעתיקים את התוכן של האישור. כשמסיימים, לוחצים על הוספה.

    2. אופציונלי: בקטע Intermediate CAs (רשויות ביניים שמנפיקות אישורים), לוחצים על Add intermediate CA (הוספת רשות ביניים שמנפיקה אישורים) ומעלים את קובץ האישור של רשות הביניים שמקודד ב-PEM, או מעתיקים את התוכן של אישור הביניים. בסיום, לוחצים על הוספה.

      בשלב הזה אפשר להוסיף עוד רמת אמון בין אישור הבסיס לבין אישור השרת.

    3. אופציונלי: בקטע Allowlisted certificates (אישורים ברשימת ההיתרים), לוחצים על Add certificate (הוספת אישור) ומעלים את קובץ האישור בקידוד PEM, או מעתיקים את התוכן של האישור. הפעולה הזו מוסיפה את האישור לרשימת ההיתרים. כשמסיימים, לוחצים על הוספה.

    כדי לציין כמה עוגני אמון או אישורי ביניים במפרט של משאב הגדרות האמון, משתמשים בכמה מופעים של השדה pemCertificate. כל מופע של השדה מכיל אישור אחד.

    הגדרת האמון תמיד מתייחסת לאישור ברשימת ההיתרים כאל אישור תקף. כדי להוסיף כמה אישורים לרשימת ההיתרים, צריך להשתמש בכמה מופעים של השדה pemCertificate, אישור אחד לכל מופע. כשמשתמשים באישור שנוסף לרשימת ההיתרים, לא צריך מאגר אישורים.

    הגדרת האמון תמיד תתייחס לאישור ברשימת ההיתרים כאל אישור תקף אם הוא עומד בתנאים ספציפיים: הוא צריך להיות ניתן לניתוח, לכלול הוכחה לבעלות על מפתח פרטי ולעמוד במגבלות בשדה SAN של האישור. גם אישורים שתוקפם פג נחשבים לתקפים כשהם מתווספים לרשימת ההיתרים. מידע נוסף על פורמט PEM זמין ב-RFC 7468.

  8. לוחצים על יצירה.

מוודאים שהגדרת האמון החדשה מופיעה ברשימת ההגדרות.

gcloud

  1. יוצרים קובץ YAML של הגדרות אמון שמציין את הפרמטרים של הגדרות האמון.

    הפורמט של הקובץ הוא:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
    • CERTIFICATE_PEM_PAYLOAD: מטען ה-PEM המלא של האישור לשימוש במשאב של הגדרות האמון.
    • INTER_CERT_PEM_PAYLOAD: מטען ה-PEM המלא של אישור הביניים לשימוש במשאב של הגדרות האמון.
    • ALLOWLISTED_CERT1 ו-ALLOWLISTED_CERT2: האישורים שנוספו לרשימת ההיתרים לשימוש במשאב הזה של הגדרת אמון.

    כדי לציין כמה עוגני אמון או אישורי ביניים במפרט של משאב הגדרות האמון, משתמשים בכמה מופעים של השדה pemCertificate. כל מופע של השדה מכיל אישור אחד.

    הגדרת האמון תמיד מתייחסת לאישור ברשימת ההיתרים כאל אישור תקף. כדי להוסיף כמה אישורים לרשימת ההיתרים, צריך להשתמש בכמה מופעים של השדה pemCertificate, אישור אחד לכל מופע. כשמשתמשים באישור שנוסף לרשימת ההיתרים, לא צריך מאגר אישורים.

    הגדרת האמון תמיד תתייחס לאישור ברשימת ההיתרים כאל אישור תקף אם הוא עומד בתנאים ספציפיים: הוא צריך להיות ניתן לניתוח, לכלול הוכחה לבעלות על מפתח פרטי ולעמוד במגבלות בשדה SAN של האישור. גם אישורים שתוקפם פג נחשבים לתקפים כשהם מתווספים לרשימת ההיתרים. מידע נוסף על פורמט PEM זמין ב-RFC 7468.

  2. כדי לייבא את קובץ ה-YAML של הגדרות האמון, משתמשים בפקודה gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
      --project=PROJECT_ID \
      --source=TRUST_CONFIG_FILE \
      --location=LOCATION
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
    • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
    • TRUST_CONFIG_FILE: הנתיב המלא והשם של קובץ ה-YAML של תצורת האמון שיצרתם בשלב 1.
    • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.

API

שולחים בקשת POST אל ה-method‏ trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.
  • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
  • DESCRIPTION: תיאור משמעותי של משאב ההגדרה של יחסי האמון. הערך הזה הוא אופציונלי.
  • CERTIFICATE_PEM_PAYLOAD: מטען ה-PEM המלא של האישור לשימוש במשאב של הגדרות האמון.
  • INTER_CERT_PEM_PAYLOAD: מטען ה-PEM המלא של אישור הביניים לשימוש במשאב של הגדרות האמון. הערך הזה הוא אופציונלי.
  • ALLOWLISTED_CERT: האישור שנוסף לרשימת ההיתרים לשימוש במשאב הזה של הגדרת אמון. הערך הזה הוא אופציונלי.

עדכון של הגדרות אמון

כדי לעדכן הגדרת אמון, יוצרים קובץ YAML נוסף של הגדרת אמון שמציין את הפרמטרים החדשים של הגדרת האמון, ומייבאים את הקובץ הזה אל Certificate Manager.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Trust configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. מאתרים את הגדרת האמון שרוצים לעדכן ובוחרים אותה.

  3. בעמודה אפשרויות נוספות, לוחצים על פעולות נוספות בשורה של ההגדרה שרוצים לעדכן, ואז בוחרים באפשרות עריכה.

  4. מבצעים את השינויים הנדרשים.

  5. לוחצים על Save.

מוודאים ששינויי ההגדרות עודכנו.

gcloud

  1. מייצאים את קובץ ה-YAML של הגדרות האמון.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
        --project=PROJECT_ID \
        --destination=TRUST_CONFIG_FILE \
        --location=LOCATION
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
    • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
    • TRUST_CONFIG_FILE: הנתיב המלא והשם של קובץ ה-YAML של הגדרות האמון.
    • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.
  2. עורכים את קובץ ה-YAML של הגדרות האמון.

    הפורמט של הקובץ הוא:

    name: "TRUST_CONFIG_ID"
    trustStores:
    - trustAnchors:
      - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
      intermediateCas:
      - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
    allowlistedCertificates:
    - pemCertificate: "ALLOWLISTED_CERT1"
    - pemCertificate: "ALLOWLISTED_CERT2"
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
    • CERTIFICATE_PEM_PAYLOAD: מטען ה-PEM המלא של האישור לשימוש במשאב של הגדרות האמון.
    • INTER_CERT_PEM_PAYLOAD: מטען ה-PEM המלא של אישור הביניים לשימוש במשאב של הגדרות האמון. הערך הזה אופציונלי.
    • ALLOWLISTED_CERT1 ו-ALLOWLISTED_CERT2: האישורים שנוספו לרשימת ההיתרים לשימוש במשאב הזה של הגדרת האמון. הערך הזה אופציונלי.
  3. מייבאים את קובץ הגדרות האמון החדש אל Certificate Manager, אל מול שם המשאב הקיים של הגדרות האמון.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
        --project=PROJECT_ID \
        --source=TRUST_CONFIG_FILE \
        --location=LOCATION
    

    מחליפים את מה שכתוב בשדות הבאים:

    • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
    • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
    • TRUST_CONFIG_FILE: הנתיב המלא והשם של קובץ ה-YAML של הגדרות האמון.
    • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.

API

שולחים בקשת PATCH אל ה-method‏ trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.
  • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
  • DESCRIPTION: תיאור משמעותי של משאב ההגדרה של יחסי האמון. התיאור הזה הוא אופציונלי.
  • CERTIFICATE_PEM_PAYLOAD: מטען ה-PEM המלא של האישור לשימוש במשאב של הגדרות האמון.
  • INTER_CERT_PEM_PAYLOAD: מטען ה-PEM המלא של אישור הביניים לשימוש במשאב של הגדרות האמון. הערך הזה הוא אופציונלי.
  • ALLOWLISTED_CERT: האישור שנוסף לרשימת ההיתרים לשימוש במשאב הזה של הגדרת אמון. הערך הזה הוא אופציונלי.

הצגת רשימה של הגדרות אמון

אפשר לראות את כל הגדרות האמון שהוגדרו בפרויקט.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Trust configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. בכרטיסייה Trust configs (הגדרות אמון), אפשר לראות רשימה של כל משאבי הגדרות האמון שהוגדרו בפרויקט שנבחר.

gcloud

משתמשים בפקודה gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.

    לדוגמה, כדי לסנן את התוצאות לפי התוויות וזמן היצירה, אפשר לציין: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager מופיעות במאמר מיון וסינון של תוצאות רשימה במסמכי התיעוד של Cloud Key Management Service.

  • PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף

  • LIMIT: המספר המקסימלי של התוצאות שרוצים להחזיר

  • SORT_BY: רשימה מופרדת בפסיקים של name שדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.

  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. כדי להציג רשימה של הגדרות אמון מכל האזורים, משתמשים ב-- כערך. ערך ברירת המחדל הוא -. הדגל הזה הוא אופציונלי.

API

שולחים בקשת GET אל ה-method‏ trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. כדי לראות את כל הגדרות האמון בכל המיקומים, מציינים מקף בודד (-).
  • FILTER: ביטוי שמגביל את התוצאות שמוחזרות לערכים ספציפיים.

    לדוגמה, כדי לסנן את התוצאות לפי התוויות וזמן היצירה, אפשר לציין: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    דוגמאות נוספות לסינון שאפשר להשתמש בהן ב-Certificate Manager מופיעות במאמר מיון וסינון של תוצאות רשימה במסמכי התיעוד של Cloud Key Management Service.

  • PAGE_SIZE: מספר התוצאות שרוצים להחזיר בכל דף

  • SORT_BY: רשימה מופרדת בפסיקים של name שדות שלפיהם התוצאות שמוחזרות ממוינות. סדר המיון שמוגדר כברירת מחדל הוא סדר עולה. כדי להגדיר סדר יורד, מוסיפים טילדה (~) לפני השדה.

צפייה בהגדרות של הרשאות שיתוף

אפשר לראות פרטים של הגדרת אמון ספציפית.

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Trust configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. לוחצים על משאב הגדרות האמון שרוצים לראות. בדף Trust Config details מוצג מידע מפורט על משאב הגדרת האמון שנבחר.

gcloud

משתמשים בפקודה gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.

API

שולחים בקשת GET אל ה-method‏ trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.
  • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.

מחיקת הגדרת אמון

לפני שמוחקים הגדרת אמון, צריך לנתק אותה מהמשאב Client Authentication ‏ (ServerTlsPolicy).

המסוף

  1. במסוף Google Cloud , עוברים לכרטיסייה Trust configs בדף Certificate Manager.

    מעבר אל Certificate Manager

  2. מסמנים את התיבה של הגדרת האמון שרוצים למחוק.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח שמופיעה, לוחצים על מחיקה כדי לאשר.

gcloud

משתמשים בפקודה gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

מחליפים את מה שכתוב בשדות הבאים:

  • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.

API

שולחים בקשת DELETE אל ה-method‏ trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט ב- Google Cloud .
  • LOCATION: האזור שבו מאוחסן משאב הגדרות האמון. מיקום ברירת המחדל הוא global.
  • TRUST_CONFIG_ID: המזהה של משאב הגדרות האמון.

המאמרים הבאים