Mengelola konfigurasi tepercaya

Halaman ini menjelaskan cara membuat dan mengelola konfigurasi tepercaya untuk digunakan dalam berbagai skenario autentikasi TLS timbal balik (mTLS).

Untuk mengetahui informasi selengkapnya tentang mTLS, lihat referensi berikut:

Membuat konfigurasi kepercayaan

Saat membuat konfigurasi kepercayaan, Anda harus menentukan trust anchor yang digunakan untuk memvalidasi sertifikat.

Untuk membuat konfigurasi kepercayaan, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud , buka tab Trust configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik Tambahkan Konfigurasi Kepercayaan. Halaman Create Trust Config akan muncul.

  3. Di kolom Name, masukkan nama untuk konfigurasi.

    Nama harus unik untuk project. Selain itu, harus dimulai dengan huruf kecil, diikuti dengan maksimal 62 huruf kecil, angka, atau tanda hubung, dan tidak boleh diakhiri dengan tanda hubung.

  4. Opsional: Di kolom Description, masukkan deskripsi untuk konfigurasi. Deskripsi ini membantu Anda mengidentifikasi konfigurasi tertentu nanti.

  5. Opsional: Di kolom Label, tentukan label yang akan dikaitkan dengan konfigurasi kepercayaan. Untuk menambahkan label, klik Tambahkan label, lalu tentukan kunci dan nilai untuk label Anda.

  6. Untuk Lokasi, pilih Global atau Regional.

    Jika Anda memilih Regional, pilih Region.

  7. Di bagian Trust store, tambahkan trust anchor dan CA perantara.

    Anda dapat menentukan beberapa anchor tepercaya dan sertifikat perantara dengan menggunakan beberapa instance payload PEM lengkap untuk sertifikat, satu sertifikat per instance.

    1. Di bagian Trust anchors, klik Add trust anchor, lalu upload file sertifikat yang dienkode PEM, atau salin konten sertifikat. Setelah selesai, klik Tambahkan.

    2. Opsional: Di bagian CA Perantara, klik Tambahkan CA perantara, lalu upload file sertifikat perantara berenkode PEM, atau salin konten sertifikat perantara. Setelah selesai, klik Tambahkan.

      Langkah ini memungkinkan Anda menambahkan tingkat kepercayaan lain antara sertifikat root dan sertifikat server Anda.

    3. Opsional: Di bagian Sertifikat yang diizinkan, klik Tambahkan sertifikat, lalu upload file sertifikat berenkode PEM, atau salin konten sertifikat. Tindakan ini akan menambahkan sertifikat ke daftar yang diizinkan. Setelah selesai, klik Tambahkan.

    Untuk menentukan beberapa anchor tepercaya atau sertifikat perantara dalam spesifikasi resource konfigurasi tepercaya, gunakan beberapa instance kolom pemCertificate. Setiap instance kolom berisi satu sertifikat.

    Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan sebagai valid. Untuk merangkum beberapa sertifikat dalam daftar yang diizinkan, gunakan beberapa instance kolom pemCertificate, satu sertifikat per instance. Anda tidak memerlukan penyimpanan tepercaya saat menggunakan sertifikat yang ditambahkan ke daftar yang diizinkan.

    Konfigurasi tepercaya selalu menganggap sertifikat dalam daftar yang diizinkan valid jika memenuhi kondisi tertentu: sertifikat harus dapat diuraikan, memiliki bukti kepemilikan kunci pribadi, dan mematuhi batasan pada kolom SAN sertifikat. Sertifikat yang sudah habis masa berlakunya juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.

  8. Klik Create.

Pastikan konfigurasi kepercayaan baru muncul dalam daftar konfigurasi.

gcloud

  1. Buat file YAML konfigurasi kepercayaan yang menentukan parameter konfigurasi kepercayaan.

    File memiliki format berikut:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi tepercaya.
    • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi tepercaya.
    • ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan bagi resource konfigurasi kepercayaan ini.

    Untuk menentukan beberapa anchor tepercaya atau sertifikat perantara dalam spesifikasi resource konfigurasi tepercaya, gunakan beberapa instance kolom pemCertificate. Setiap instance kolom berisi satu sertifikat.

    Konfigurasi kepercayaan selalu menganggap sertifikat dalam daftar yang diizinkan sebagai valid. Untuk merangkum beberapa sertifikat dalam daftar yang diizinkan, gunakan beberapa instance kolom pemCertificate, satu sertifikat per instance. Anda tidak memerlukan penyimpanan tepercaya saat menggunakan sertifikat yang ditambahkan ke daftar yang diizinkan.

    Konfigurasi tepercaya selalu menganggap sertifikat dalam daftar yang diizinkan valid jika memenuhi kondisi tertentu: sertifikat harus dapat diuraikan, memiliki bukti kepemilikan kunci pribadi, dan mematuhi batasan pada kolom SAN sertifikat. Sertifikat yang sudah habis masa berlakunya juga dianggap valid saat ditambahkan ke daftar yang diizinkan. Untuk mengetahui informasi selengkapnya tentang format yang dienkode PEM, lihat RFC 7468.

  2. Untuk mengimpor file YAML konfigurasi kepercayaan, gunakan perintah gcloud certificate-manager trust-configs import:

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • PROJECT_ID: ID Google Cloud project Anda.
    • TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi tepercaya yang Anda buat di langkah 1.
    • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan POST ke metode trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.
  • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi tepercaya.
  • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi tepercaya. Nilai ini bersifat opsional.
  • ALLOWLISTED_CERT: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan bagi resource konfigurasi tepercaya ini. Nilai ini bersifat opsional.

Memperbarui konfigurasi tepercaya

Untuk memperbarui konfigurasi kepercayaan, Anda membuat file YAML konfigurasi kepercayaan lain yang menentukan parameter konfigurasi kepercayaan baru dan mengimpor file ini ke Certificate Manager.

Konsol

  1. Di konsol Google Cloud , buka tab Trust configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Cari dan pilih konfigurasi kepercayaan yang ingin Anda perbarui.

  3. Di kolom More Options, klik More actions untuk konfigurasi yang ingin Anda update, lalu pilih Edit.

  4. Buat perubahan yang diperlukan.

  5. Klik Simpan.

Pastikan perubahan konfigurasi telah diperbarui.

gcloud

  1. Ekspor file YAML konfigurasi kepercayaan.

    gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • PROJECT_ID: ID Google Cloud project Anda.
    • TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan.
    • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.

  2. Edit file YAML konfigurasi kepercayaan.

    File memiliki format berikut:

    name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi tepercaya.
    • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi tepercaya. Nilai ini bersifat opsional.
    • ALLOWLISTED_CERT1 dan ALLOWLISTED_CERT2: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan bagi resource konfigurasi kepercayaan ini. Nilai ini bersifat opsional.

  3. Impor file konfigurasi kepercayaan baru ke Certificate Manager terhadap nama resource konfigurasi kepercayaan yang ada.

    gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION

    Ganti kode berikut:

    • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
    • PROJECT_ID: ID Google Cloud project Anda.
    • TRUST_CONFIG_FILE: jalur lengkap dan nama file YAML konfigurasi kepercayaan.
    • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan PATCH ke metode trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • DESCRIPTION: deskripsi yang bermakna untuk resource konfigurasi kepercayaan ini. Deskripsi ini bersifat opsional.
  • CERTIFICATE_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat yang akan digunakan untuk resource konfigurasi tepercaya.
  • INTER_CERT_PEM_PAYLOAD: payload PEM lengkap untuk sertifikat perantara yang akan digunakan untuk resource konfigurasi tepercaya. Nilai ini bersifat opsional.
  • ALLOWLISTED_CERT: sertifikat yang ditambahkan ke daftar yang diizinkan untuk digunakan bagi resource konfigurasi tepercaya ini. Nilai ini bersifat opsional.

Mencantumkan konfigurasi tepercaya

Anda dapat melihat semua konfigurasi kepercayaan yang dikonfigurasi di project Anda.

Konsol

  1. Di konsol Google Cloud , buka tab Trust configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Di tab Trust configs, Anda dapat melihat daftar semua resource konfigurasi kepercayaan yang dikonfigurasi dalam project yang dipilih.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

Ganti kode berikut:

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang ingin Anda tampilkan per halaman

  • LIMIT: jumlah maksimum hasil yang ingin Anda tampilkan

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, awali kolom dengan tanda gelombang (~).

  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Untuk mencantumkan konfigurasi tepercaya dari semua region, gunakan - sebagai nilai. Defaultnya adalah -. Flag ini bersifat opsional.

API

Buat permintaan GET ke metode trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Untuk melihat semua konfigurasi kepercayaan di semua lokasi, tentukan satu tanda hubung (-).

  • FILTER: ekspresi yang membatasi hasil yang ditampilkan ke nilai tertentu.

    Misalnya, untuk memfilter hasil menurut label dan waktu pembuatan, Anda dapat menentukan: --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

    Untuk contoh pemfilteran lainnya yang dapat Anda gunakan dengan Certificate Manager, lihat Mengurutkan dan memfilter hasil daftar dalam dokumentasi Cloud Key Management Service.

  • PAGE_SIZE: jumlah hasil yang ingin Anda tampilkan per halaman

  • SORT_BY: daftar kolom name yang dipisahkan koma yang digunakan untuk mengurutkan hasil yang ditampilkan. Urutan pengurutan default adalah menaik; untuk urutan pengurutan menurun, awali kolom dengan tanda gelombang (~).

Melihat konfigurasi tepercaya

Anda dapat melihat detail konfigurasi kepercayaan tertentu.

Konsol

  1. Di konsol Google Cloud , buka tab Trust configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Klik resource konfigurasi tepercaya yang ingin Anda lihat. Halaman Trust Config details menampilkan informasi mendetail tentang resource konfigurasi kepercayaan yang dipilih.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan GET ke metode trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.

Menghapus konfigurasi kepercayaan

Sebelum menghapus konfigurasi kepercayaan, lepaskan konfigurasi kepercayaan dari resource Autentikasi Klien (ServerTlsPolicy).

Konsol

  1. Di konsol Google Cloud , buka tab Trust configs di halaman Certificate Manager.

    Buka Certificate Manager

  2. Pilih kotak centang konfigurasi tepercaya yang ingin Anda hapus.

  3. Klik Hapus.

  4. Pada dialog yang muncul, klik Hapus untuk mengonfirmasi.

gcloud

Gunakan perintah gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

Ganti kode berikut:

  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.

API

Buat permintaan DELETE ke metode trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Ganti kode berikut:

  • PROJECT_ID: ID Google Cloud project Anda.
  • LOCATION: region tempat resource konfigurasi tepercaya disimpan. Lokasi defaultnya adalah global.
  • TRUST_CONFIG_ID: ID resource konfigurasi kepercayaan.

Langkah berikutnya