Créer un pool d'autorités de certification
Cette page explique comment créer des pools d'autorités de certification.
Un pool d'autorités de certification est un ensemble de plusieurs autorités de certification associées à une stratégie commune d'émission de certificats et à une stratégie IAM (Identity and Access Management). Un pool d'autorités de certification facilite la gestion de la rotation des CA et vous permet d'obtenir un nombre total de requêtes par seconde (RPS) plus élevé.
Vous devez créer un pool d'autorités de certification avant de pouvoir utiliser Certificate Authority Service pour créer une autorité de certification. Pour en savoir plus, consultez la page Présentation des pools d'autorités de certification.
Avant de commencer
Assurez-vous de disposer du rôle IAM "Responsable des opérations du service CA (roles/privateca.caManager
)". Pour en savoir plus sur l'attribution d'un rôle IAM à un compte principal, consultez la section Attribuer un rôle unique.
Définir les paramètres du pool d'autorités de certification
Cette section décrit les paramètres d'un pool d'autorités de certification et fournit des recommandations pour les choisir.
Paramètres du pool d'autorités de certification permanents
Une fois le pool d'autorités de certification créé, les paramètres suivants ne peuvent plus être modifiés.
- Emplacement
Spécifiez l'emplacement du pool d'autorités de certification. Un pool d'autorités de certification est stocké dans un seul emplacement Google Cloud. Nous vous recommandons de créer votre pool d'autorités de certification au même emplacement ou à proximité de l'emplacement où vous prévoyez de l'utiliser.
Pour obtenir la liste complète des emplacements compatibles, consultez Emplacements.
- Niveau
Choisissez si vous souhaitez créer le pool d'autorités de certification avec le niveau DevOps ou le niveau Entreprise. Ce choix détermine si le service CA conserve ou non les certificats créés, si les certificats créés peuvent être révoqués ultérieurement et le taux maximal de création de certificats à partir des autorités de certification du pool d'autorités de certification. Pour en savoir plus, consultez la section Sélectionner les niveaux d'opération.
Paramètres facultatifs du pool d'autorités de certification
- Stratégie d'émission de certificats
Un pool d'autorités de certification peut disposer d'une stratégie d'émission de certificats. Cette stratégie d'émission impose des restrictions sur les certificats que les autorités de certification du pool d'autorités de certification sont autorisées à émettre. Vous pouvez mettre à jour la stratégie d'émission d'un pool d'autorités de certification après l'avoir créé. Pour en savoir plus, consultez Présentation des modèles et des règles d'émission.
Pour en savoir plus sur la configuration d'une stratégie d'émission de certificats, consultez la section Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.
- Options de publication
Vous pouvez configurer un pool d'autorités de certification pour publier les certificats CA pour chacune de ses autorités de certification. Lors de l'émission d'un certificat, l'URL de ce certificat CA est incluse dans le certificat en tant qu'extension d'accès aux informations d'autorité (AIA, Authority Information Access).
Les autorités de certification des pools d'autorités de certification de niveau Enterprise peuvent être autorisées à publier des listes de révocation de certificats (LRC) dans le bucket Cloud Storage associé. Lors de l'émission d'un certificat, une URL vers cette liste de révocation de certificats est incluse dans le certificat en tant qu'extension du point de distribution de la liste de révocation de certificats (CDP). Vous ne pouvez pas trouver la LRC sans l'extension CDP dans le certificat. Pour en savoir plus, consultez la section Révoquer des certificats.
Vous pouvez également sélectionner le format d'encodage des certificats CA et des LRC publiés. Les formats d'encodage compatibles sont le format PEM (Privacy Enhanced Mail) et le format DER (Distinguished Encoding Rules). Si aucun format d'encodage n'est spécifié, le format PEM est utilisé.
Si vous créez le pool d'autorités de certification à l'aide de Google Cloud CLI ou de la console Google Cloud, le service CA active ces options de publication par défaut. Pour en savoir plus, consultez la section Désactiver la publication de certificats CA et de listes de révocation de certificats pour les autorités de certification dans un pool d'autorités de certification.
Créer un pool d'autorités de certification
Pour créer un pool d'autorités de certification, procédez comme suit:
Console
Choisir un nom pour le pool d'autorités de certification
Accédez à la page Certificate Authority Service dans la console Google Cloud.
Cliquez sur Gestionnaire de pool d'autorités de certification.
Cliquez sur
Créer un pool.Attribuez au pool d'autorités de certification un nom unique pour la région.
Sélectionnez une région dans la liste déroulante du champ Région. Pour en savoir plus, consultez la page Choisir le meilleur emplacement.
Sélectionnez le niveau Enterprise ou DevOps. Pour en savoir plus, consultez la section Sélectionner les niveaux d'opération.
Cliquez sur Suivant.
Configurer les tailles et les algorithmes de clé autorisés
Le service CA vous permet de choisir les algorithmes de signature des clés Cloud KMS qui soutiennent les autorités de certification dans le pool d'autorités de certification. Tous les algorithmes clés sont autorisés par défaut.
Pour limiter les clés autorisées dans les certificats émis par le pool d'autorités de certification, procédez comme suit. Cette procédure est facultative.
- Cliquez sur le bouton d'activation.
- Cliquez sur Ajouter un élément.
Dans la liste Type, sélectionnez le type de clé.
Si vous souhaitez utiliser des clés RSA, procédez comme suit:
- Facultatif: ajoutez la taille minimale du module en bits.
- Facultatif: ajoutez la taille de module maximale en bits.
- Cliquez sur OK.
Si vous souhaitez utiliser des touches à courbe elliptique, procédez comme suit:
- Facultatif: Dans la liste Type de courbe elliptique, sélectionnez le type de courbe elliptique.
- Cliquez sur OK.
Pour ajouter une autre clé autorisée, cliquez sur Ajouter un élément, puis répétez l'étape 2.
Cliquez sur Suivant.
Configurer les méthodes de demande de certificat
Pour limiter les méthodes que les demandeurs de certificats peuvent utiliser pour demander des certificats au pool d'autorités de certification, procédez comme suit:
- Facultatif: Pour limiter les demandes de certificats basés sur une requête de signature de certificat, cliquez sur le bouton d'activation.
- Facultatif: Pour limiter les demandes de certificats basés sur la configuration, activez le bouton.
Configurer les options de publication
Pour configurer les options de publication, procédez comme suit:
- Facultatif: Pour interdire la publication de certificats CA dans le bucket Cloud Storage pour les autorités de certification du pool d'autorités de certification, cliquez sur le bouton d'activation/de désactivation.
- Facultatif: Pour interdire la publication de LRC dans le bucket Cloud Storage pour les autorités de certification du pool d'autorités de certification, cliquez sur le bouton d'activation/de désactivation.
Cliquez sur le menu pour sélectionner le format d'encodage des certificats CA et des LRC publiés.
Cliquez sur Suivant.
Pour configurer des valeurs de référence dans les certificats émis à partir du pool d'autorités de certification, procédez comme suit:
- Cliquez sur le bouton d'activation.
- Cliquez sur Configurer les valeurs de référence.
Ce paramètre vous permet de configurer les manières dont la clé contenue dans le certificat peut être utilisée. Les options d'utilisation des clés incluent le chiffrement de clé, le chiffrement des données, la signature de certificats, la signature de LRC, etc.
Pour en savoir plus, consultez la section Utilisation des clés.
Pour définir l'utilisation de base des clés, procédez comme suit:
- Facultatif: Dans la fenêtre qui s'affiche, cliquez sur le bouton d'activation si vous souhaitez spécifier l'utilisation de base des clés pour les certificats.
- Cochez les cases correspondant aux modes d'utilisation de la clé.
- Cliquez sur Suivant.
Vous pouvez utiliser ce paramètre pour sélectionner des scénarios plus précis pour lesquels la clé contenue dans le certificat peut être utilisée. Ces options incluent l'authentification du serveur, l'authentification du client, la signature de code, la protection des e-mails, etc.
Les utilisations étendues de clés sont définies à l'aide d'identifiants d'objets (OID). Si vous ne configurez pas l'utilisation étendue des clés, tous les scénarios d'utilisation des clés sont autorisés.
Pour en savoir plus, consultez la section Utilisation étendue des clés.
Pour définir les utilisations étendues des clés, procédez comme suit:
- Facultatif: Pour spécifier les utilisations étendues des clés pour les certificats émis par le pool d'autorités de certification, cliquez sur le bouton d'activation.
- Cochez les cases correspondant aux scénarios d'utilisation étendue des clés.
- Cliquez sur Suivant.
L'extension des règles de certificat dans le certificat exprime les stratégies suivies par le pool d'autorités de certification émettrice. Cette extension peut inclure des informations sur la validation des identités avant l'émission des certificats, la révocation des certificats et la garantie de l'intégrité du pool d'autorités de certification. Cette extension vous aide à vérifier les certificats émis par le pool d'autorités de certification et à voir comment ils sont utilisés.
Pour en savoir plus, consultez la section Stratégies relatives aux certificats.
Pour spécifier la stratégie qui définit l'utilisation du certificat, procédez comme suit:
- (Facultatif) Ajoutez l'identifiant de règle dans le champ Identifiants de règle.
- Cliquez sur Suivant.
L'extension AIA d'un certificat fournit les informations suivantes:
- Adresse des serveurs OCSP à partir desquels vous pouvez vérifier l'état de révocation du certificat.
- Méthode d'accès de l'émetteur du certificat.
Pour en savoir plus, consultez la section Accès aux informations des autorités.
Pour ajouter les serveurs OCSP qui apparaissent dans le champ d'extension AIA des certificats, procédez comme suit. La procédure suivante est facultative.
- Facultatif: Cliquez sur Ajouter un élément.
- Dans le champ URL du serveur, ajoutez l'URL du serveur OCSP.
- Cliquez sur OK.
- Cliquez sur Suivant.
Pour configurer des extensions personnalisées supplémentaires à inclure dans les certificats émis par le pool d'autorités de certification, procédez comme suit. La procédure suivante est facultative.
- Cliquez sur Ajouter un élément.
- Dans le champ Identifiant d'objet, ajoutez un identifiant d'objet valide au format de chiffres séparés par un point.
- Dans le champ Valeur, ajoutez la valeur encodée en base64 pour l'identifiant.
- Si l'extension est essentielle, sélectionnez L'extension est essentielle.
Pour enregistrer toutes les configurations de valeur de référence, cliquez sur OK.
Configurer les contraintes d'extensionPour interdire l'inclusion de toutes les extensions des demandes de certificat dans les certificats émis, cliquez sur le bouton d'activation.
Lorsque vous cliquez sur le bouton d'activation, le champ Extensions de certificat connues s'affiche. Vous pouvez l'utiliser pour sélectionner les extensions de certificat. Pour sélectionner les extensions de certificat, procédez comme suit:
- Facultatif: Cliquez sur le champ Extensions de certificat connues, puis supprimez les extensions non requises du menu.
- Facultatif: dans le champ Extensions personnalisées, ajoutez les identifiants d'objet des extensions que vous souhaitez inclure dans les certificats émis par le pool d'autorités de certification.
Pour configurer des contraintes sur le sujet et les SAN dans les certificats émis par le pool d'autorités de certification, procédez comme suit:
- Facultatif: Pour interdire le transfert de l'objet des demandes de certificat, cliquez sur le bouton d'activation.
- Facultatif: Pour interdire le transfert des autres noms d'objet dans les demandes de certificat, cliquez sur le bouton d'activation.
- Facultatif: Ajoutez une expression CEL (Common Expression Language) pour appliquer des restrictions aux sujets des certificats. Pour en savoir plus, consultez la page Utiliser le langage CEL.
- Cliquez sur Suivant.
Pour savoir comment configurer des paramètres supplémentaires dans la stratégie d'émission de certificats, consultez IssuancePolicy.
Pour créer le pool d'autorités de certification, cliquez sur OK.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools create POOL_NAME
Remplacez POOL_NAME par le nom du pool d'autorités de certification.
Si vous ne spécifiez pas le niveau requis pour votre pool d'autorités de certification, le niveau Enterprise
est sélectionné par défaut. Si vous souhaitez spécifier le niveau de votre pool d'autorités de certification, exécutez la commande gcloud
suivante:
gcloud privateca pools create POOL_NAME --tier=TIER_NAME
Remplacez les éléments suivants :
- POOL_NAME: nom de votre pool d'autorités de certification.
- TIER_NAME :
devops
ouenterprise
. Pour en savoir plus, consultez la section Sélectionner les niveaux d'opération.
Si vous ne spécifiez pas le format d'encodage de publication pour votre pool d'autorités de certification, le format d'encodage de publication PEM
est sélectionné par défaut. Si vous souhaitez spécifier le format d'encodage de publication pour votre pool d'autorités de certification, exécutez la commande gcloud
suivante:
gcloud privateca pools create POOL_NAME --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Remplacez les éléments suivants :
- POOL_NAME: nom de votre pool d'autorités de certification.
- PUBLISHING_ENCODING_FORMAT :
PEM
ouDER
.
Pour plus d'informations sur la commande gcloud privateca pools create
, consultez la page
gcloud privateca pools create.
Pour savoir comment appliquer des restrictions sur les types de certificats qu'un pool d'autorités de certification peut émettre, consultez Ajouter une stratégie d'émission de certificats à un pool d'autorités de certification.
Terraform
Go
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Java
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
Python
Pour vous authentifier auprès du service CA, configurez les Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local.
API REST
Créez un pool d'autorités de certification.
Méthode HTTP et URL :
POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID
Corps JSON de la requête :
{ "tier": "ENTERPRISE" }
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": false }
Interrogez l'opération jusqu'à ce qu'elle soit terminée.
L'opération est terminée lorsque la propriété
done
de l'opération de longue durée est définie surtrue
.Méthode HTTP et URL :
GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID
Pour envoyer votre requête, développez l'une des options suivantes :
Vous devriez recevoir une réponse JSON de ce type :
{ "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID", "metadata": {...}, "done": true, "response": { "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool", "name": "...", "tier": "ENTERPRISE" } }
Ajouter ou mettre à jour des étiquettes sur un pool d'autorités de certification
Une étiquette est une paire clé-valeur qui vous aide à organiser vos ressources CA Service. Vous pouvez filtrer vos ressources en fonction de leurs étiquettes.
Pour ajouter ou mettre à jour des étiquettes sur un pool d'autorités de certification, procédez comme suit:
Console
Pour ajouter un libellé, procédez comme suit:
Accédez à la page Certificate Authority Service.
Dans l'onglet Gestionnaire de pool d'autorités de certification, sélectionnez le pool d'autorités de certification.
Cliquez sur Libellés.
Cliquez sur
Ajouter une étiquette.Ajoutez une paire clé-valeur.
Cliquez sur Enregistrer.
Pour modifier un libellé existant, procédez comme suit:
Accédez à la page Certificate Authority Service.
Dans l'onglet Gestionnaire de pool d'autorités de certification, sélectionnez le pool d'autorités de certification.
Cliquez sur Libellés.
Modifiez la valeur du libellé.
Cliquez sur Enregistrer.
gcloud
Exécutez la commande ci-dessous.
gcloud privateca pools update POOL_ID --update-labels foo=bar
Remplacez POOL_ID par le nom du pool d'autorités de certification.
Étapes suivantes
- Découvrez comment créer une autorité de certification racine.
- Découvrez comment créer une autorité de certification subordonnée.
- Découvrez comment utiliser une stratégie d'émission de certificats.
- Découvrez comment augmenter le débit de création de certificats à l'aide de pools d'autorités de certification.
- Découvrez comment mettre à jour et supprimer un pool d'autorités de certification.