Faça a gestão das configurações de confiança (original) (raw)

Esta página descreve como criar e gerir configurações de confiança para utilização em cenários de autenticação TLS mútua (mTLS).

Para mais informações sobre o mTLS, consulte os seguintes recursos:

• Para compreender os conceitos de configurações de confiança, âncoras de confiança e certificados intermédios, consulte o artigo Configurações de confiança.
• Para saber mais acerca do mTLS, consulte a vista geral do TLS mútuo na documentação do Cloud Load Balancing.
• Para usar uma configuração de confiança para configurar o mTLS no proxy de destino, consulte as páginas seguintes na documentação do Cloud Load Balancing:
  • Configure o TLS mútuo com certificados fornecidos pelo utilizador
  • Configure o TLS mútuo com uma AC privada

Quando cria uma configuração de confiança, tem de especificar as âncoras de confiança que são usadas para validar o certificado.

Funções necessárias para esta tarefa

Para realizar esta tarefa, tem de ter uma das seguintes funções da IAM no projeto Google Cloud de destino.

• Função de editor do gestor de certificados (roles/certificatemanager.editor)
• Função de proprietário do Gestor de certificados (roles/certificatemanager.owner)

Para mais informações, consulte o artigo Funções e autorizações.

Para criar uma configuração de confiança, conclua os seguintes passos:

Consola

1. Na Google Cloud consola, aceda ao separador Configurações de confiança na páginaGestor de certificados.
   Aceda ao Gestor de certificados
2. Clique em Adicionar configuração de confiança. É apresentada a página Criar configuração de confiança.
3. No campo Nome, introduza um nome para a configuração.
   O nome tem de ser exclusivo para o projeto. Além disso, tem de começar com uma letra minúscula, seguida de até 62 letras minúsculas, números ou hífenes, e não pode terminar com um hífen.
4. Opcional: no campo Descrição, introduza uma descrição para a configuração. Esta descrição ajuda a identificar uma configuração específica mais tarde.
5. Opcional: no campo Etiquetas, especifique etiquetas a associar à configuração de confiança. Para adicionar uma etiqueta, clique emAdicionar etiqueta e especifique uma chave e um valor para a etiqueta.
6. Para Localização, selecione Global ou Regional.
   Se selecionou Regional, selecione a Região.
7. Na secção Loja de confiança, adicione âncoras de fidedignidade e ACs intermédias.
   Pode especificar várias raízes de confiança e certificados intermédios usando várias instâncias da carga útil PEM completa para o certificado, um certificado por instância.
   1. Na secção Âncoras de confiança, clique em Adicionar âncora de confiança e carregue o ficheiro de certificado com codificação PEM ou copie o conteúdo do certificado. Quando terminar, clique em Adicionar.
   2. Opcional: na secção ACs intermédias, clique em Adicionar AC intermédia e carregue o ficheiro do certificado intermédio com codificação PEM ou copie o conteúdo do certificado intermédio. Quando terminar, clique em Adicionar.
      Este passo permite-lhe adicionar outro nível de confiança entre o certificado de raiz e o certificado do servidor.
   3. Opcional: na secção Certificados na lista de autorizações, clique em Adicionar certificado e carregue o ficheiro do certificado com codificação PEM ou copie o conteúdo do certificado. Isto adiciona o certificado a uma lista de permissões. Quando terminar, clique em Adicionar.
      Para especificar várias âncoras de fidedignidade ou certificados intermédios na especificação do recurso de configuração de fidedignidade, use várias instâncias do campo pemCertificate. Cada instância do campo contém um único certificado.
      A configuração de confiança considera sempre um certificado numa lista de permissões como válido. Para encapsular vários certificados numa lista de autorizações, use várias instâncias do campo pemCertificate, um certificado por instância. Não precisa de um repositório fidedigno quando usa certificados adicionados a uma lista de autorizações.
      A configuração de confiança considera sempre um certificado numa lista de autorizações válido se cumprir condições específicas: tem de ser analisável, possuir prova de propriedade da chave privada e cumprir as restrições no campo SAN do certificado. Os certificados expirados também são considerados válidos quando são adicionados a uma lista de autorizações. Para mais informações sobre o formato com codificação PEM, consulte o RFC 7468.
8. Clique em Criar.

Verifique se a nova configuração de confiança aparece na lista de configurações.

gcloud

1. Crie um ficheiro YAML de configuração de confiança que especifique os parâmetros de configuração de confiança.
   O ficheiro tem o seguinte formato:

name: "TRUST_CONFIG_ID"  
trustStores:  
- trustAnchors:  
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"  
  intermediateCas:  
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"  
allowlistedCertificates:  
- pemCertificate: "ALLOWLISTED_CERT1"  
- pemCertificate: "ALLOWLISTED_CERT2"  

Substitua o seguinte:

• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
• CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.
• INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança.
• ALLOWLISTED_CERT1 e ALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de autorizações para utilização neste recurso de configuração de confiança.
  Para especificar várias âncoras de fidedignidade ou certificados intermédios na especificação do recurso de configuração de fidedignidade, use várias instâncias do campo pemCertificate. Cada instância do campo contém um único certificado.
  A configuração de confiança considera sempre um certificado numa lista de permissões como válido. Para encapsular vários certificados numa lista de autorizações, use várias instâncias do campo pemCertificate, um certificado por instância. Não precisa de um repositório fidedigno quando usa certificados adicionados a uma lista de autorizações.
  A configuração de confiança considera sempre um certificado numa lista de autorizações válido se cumprir condições específicas: tem de ser analisável, possuir prova de propriedade da chave privada e cumprir as restrições no campo SAN do certificado. Os certificados expirados também são considerados válidos quando são adicionados a uma lista de autorizações. Para mais informações sobre o formato com codificação PEM, consulte o RFC 7468.

1. Para importar o ficheiro YAML de configuração de confiança, use o comando gcloud certificate-manager trust-configs import:
   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
   --project=PROJECT_ID \
   --source=TRUST_CONFIG_FILE \
   --location=LOCATION
   Substitua o seguinte:
   • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
   • PROJECT_ID: o ID do Google Cloud projeto.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do ficheiro YAML de configuração de confiança que criou no passo 1.
   • LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.

API

Faça um pedido POST ao método trustConfigs.create:

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID { "description": "DESCRIPTION", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }

Substitua o seguinte:

• PROJECT_ID: o ID do Google Cloud projeto.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.
• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
• DESCRIPTION: uma descrição significativa para este recurso de configuração de confiança. Este valor é opcional.
• CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.
• INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança. Este valor é opcional.
• ALLOWLISTED_CERT: o certificado que é adicionado a uma lista de autorizações para usar para este recurso de configuração de confiança. Este valor é opcional.

Atualize uma configuração de confiança

Para atualizar uma configuração de fidedignidade, cria outro ficheiro YAML de configuração de fidedignidade que especifica os novos parâmetros de configuração de fidedignidade e importa este ficheiro para o Certificate Manager.

Funções necessárias para esta tarefa

Para realizar esta tarefa, tem de ter uma das seguintes funções da IAM no projeto Google Cloud de destino.

• Função de editor do gestor de certificados (roles/certificatemanager.editor)
• Função de proprietário do Gestor de certificados (roles/certificatemanager.owner)

Para mais informações, consulte o artigo Funções e autorizações.

Consola

1. Na Google Cloud consola, aceda ao separador Configurações de confiança na páginaGestor de certificados.
   Aceda ao Gestor de certificados
2. Localize e selecione a configuração de confiança que quer atualizar.
3. Na coluna Mais opções, clique em Mais ações para a configuração que quer atualizar e, de seguida, selecione Editar.
4. Faça as alterações necessárias.
5. Clique em Guardar.

Verifique se as alterações de configuração foram atualizadas.

gcloud

1. Exporte o ficheiro YAML de configuração de confiança.
   gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
   --project=PROJECT_ID \
   --destination=TRUST_CONFIG_FILE \
   --location=LOCATION
   Substitua o seguinte:
   • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
   • PROJECT_ID: o ID do Google Cloud projeto.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do ficheiro YAML de configuração de confiança.
   • LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.
2. Edite o ficheiro YAML de configuração de confiança.
   O ficheiro tem o seguinte formato:

name: "TRUST_CONFIG_ID"  
trustStores:  
- trustAnchors:  
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"  
  intermediateCas:  
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"  
allowlistedCertificates:  
- pemCertificate: "ALLOWLISTED_CERT1"  
- pemCertificate: "ALLOWLISTED_CERT2"  

Substitua o seguinte:

• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
• CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.
• INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança. Este valor é opcional.
• ALLOWLISTED_CERT1 eALLOWLISTED_CERT2: os certificados que são adicionados a uma lista de autorizações para utilização neste recurso de configuração de confiança. Este valor é opcional.

1. Importe o novo ficheiro de configuração de confiança para o Gestor de certificados com o nome do recurso de configuração de confiança existente.
   gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
   --project=PROJECT_ID \
   --source=TRUST_CONFIG_FILE \
   --location=LOCATION
   Substitua o seguinte:
   • TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
   • PROJECT_ID: o ID do Google Cloud projeto.
   • TRUST_CONFIG_FILE: o caminho completo e o nome do ficheiro YAML de configuração de confiança.
   • LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.

API

Faça um pedido PATCH ao método trustConfigs.update:

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=* { "description": "DESCRIPTION", "trust_stores": [{ "trust_anchors": [{ "pem_certificate": "CERTIFICATE_PEM_PAYLOAD" }], "intermediate_cas": [{ "pem_certificate": "INTER_CERT_PEM_PAYLOAD" }], }], "allowlistedCertificates": [{ "pem_certificate": "ALLOWLISTED_CERT" }], }

Substitua o seguinte:

• PROJECT_ID: o ID do Google Cloud projeto.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.
• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
• DESCRIPTION: uma descrição significativa para este recurso de configuração de confiança. Esta descrição é opcional.
• CERTIFICATE_PEM_PAYLOAD: a carga útil PEM completa para o certificado a usar para o recurso de configuração de confiança.
• INTER_CERT_PEM_PAYLOAD: a carga útil PEM completa para o certificado intermédio a usar para o recurso de configuração de confiança. Este valor é opcional.
• ALLOWLISTED_CERT: o certificado que é adicionado a uma lista de autorizações para usar para este recurso de configuração de confiança. Este valor é opcional.

Listar configurações de confiança

Pode ver todas as configurações de confiança configuradas do seu projeto.

Funções necessárias para esta tarefa

Para realizar esta tarefa, tem de ter uma das seguintes funções da IAM no projeto Google Cloud de destino.

• Função de editor do gestor de certificados (roles/certificatemanager.editor)
• Função de proprietário do Gestor de certificados (roles/certificatemanager.owner)
• Função de visitante do Gestor de certificados (roles/certificatemanager.viewer)

Para mais informações, consulte o artigo Funções e autorizações.

Consola

1. Na Google Cloud consola, aceda ao separador Configurações de confiança na páginaGestor de certificados.
   Aceda ao Gestor de certificados
2. No separador Configurações de confiança, pode ver uma lista de todos os recursos de configuração de confiança configurados no projeto selecionado.

gcloud

Use o comando gcloud certificate-manager trust-configs list:

gcloud certificate-manager trust-configs list
--filter="FILTER"
--page-size="PAGE_SIZE"
--limit="LIMIT"
--sort-by="SORT_BY"
--location=LOCATION

Substitua o seguinte:

• FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.
  Por exemplo, para filtrar os resultados pelas etiquetas e pela hora de criação, pode especificar:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
  Para ver mais exemplos de filtragem que pode usar com o Certificate Manager, consulte a secção Ordenar e filtrar resultados da lista na documentação do Cloud Key Management Service.
• PAGE_SIZE: o número de resultados a devolver por página.
• LIMIT: o número máximo de resultados a devolver.
• SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. Para listar as configurações de confiança de todas as regiões, use- como valor. A predefinição é -. Esta flag é opcional.

API

Faça um pedido GET ao método trustConfigs.list:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

Substitua o seguinte:

• PROJECT_ID: o ID do Google Cloud projeto.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. Para ver todas as configurações de confiança em todos os estabelecimentos, especifique um único hífen (-).
• FILTER: uma expressão que restringe os resultados devolvidos a valores específicos.
  Por exemplo, para filtrar os resultados pelas etiquetas e pela hora de criação, pode especificar:--filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'
  Para ver mais exemplos de filtragem que pode usar com o Certificate Manager, consulte a secção Ordenar e filtrar resultados da lista na documentação do Cloud Key Management Service.
• PAGE_SIZE: o número de resultados a devolver por página.
• SORT_BY: uma lista delimitada por vírgulas de campos name pelos quais os resultados devolvidos são ordenados. A ordem de ordenação predefinida é ascendente. Para usar a ordem de ordenação descendente, adicione um til (~) antes do campo.

Veja as configurações de fidedignidade

Pode ver os detalhes de uma configuração de confiança específica.

Funções necessárias para esta tarefa

Para realizar esta tarefa, tem de ter uma das seguintes funções da IAM no projeto Google Cloud de destino.

• Função de editor do gestor de certificados (roles/certificatemanager.editor)
• Função de proprietário do Gestor de certificados (roles/certificatemanager.owner)
• Função de visitante do Gestor de certificados (roles/certificatemanager.viewer)

Para mais informações, consulte o artigo Funções e autorizações.

Consola

1. Na Google Cloud consola, aceda ao separador Configurações de confiança na páginaGestor de certificados.
   Aceda ao Gestor de certificados
2. Clique no recurso de configuração de confiança que quer ver. A página Detalhes da configuração de confiança apresenta informações detalhadas sobre o recurso de configuração de confiança selecionado.

gcloud

Use o comando gcloud certificate-manager trust-configs describe:

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID
--location=LOCATION

Substitua o seguinte:

• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.

API

Faça um pedido GET ao método trustConfigs.get:

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Substitua o seguinte:

• PROJECT_ID: o ID do Google Cloud projeto.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.
• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.

Elimine uma configuração de fidedignidade

Antes de eliminar uma configuração de confiança, desassocie-a do recurso de autenticação do cliente (ServerTlsPolicy).

Funções necessárias para esta tarefa

Para realizar esta tarefa, tem de ter uma das seguintes funções da IAM no projeto Google Cloud de destino.

• Função de proprietário do Gestor de certificados (roles/certificatemanager.owner)

Para mais informações, consulte o artigo Funções e autorizações.

Consola

1. Na Google Cloud consola, aceda ao separador Configurações de confiança na páginaGestor de certificados.
   Aceda ao Gestor de certificados
2. Selecione a caixa de verificação da configuração de confiança que quer eliminar.
3. Clique em Eliminar.
4. Na caixa de diálogo apresentada, clique em Eliminar para confirmar.

gcloud

Use o comando gcloud certificate-manager trust-configs delete:

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID
--location=LOCATION

Substitua o seguinte:

• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.

API

Faça um pedido DELETE ao método trustConfigs.delete:

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

Substitua o seguinte:

• PROJECT_ID: o ID do Google Cloud projeto.
• LOCATION: a região onde o recurso de configuração de confiança está armazenado. A localização predefinida é global.
• TRUST_CONFIG_ID: o ID do recurso de configuração de confiança.

O que se segue?

• Faça a gestão de certificados
• Faça a gestão dos mapeamentos de certificados
• Faça a gestão das entradas do mapa de certificados
• Faça a gestão das autorizações de DNS
• Faça a gestão dos recursos de configuração da emissão de certificados