Créer un pool d'autorités de certification

Console

Choisir un nom pour le pool d'autorités de certification

1. Accédez à la page Certificate Authority Service dans la console Google Cloud .

   Accéder à Certificate Authority Service

2. Cliquez sur Gestionnaire de pool d'autorités de certification.

3. Cliquez sur add_boxCréer un pool.

4. Attribuez un nom au pool d'autorités de certification qui soit unique pour la région.

5. Sélectionnez une région dans le menu déroulant du champ Région. Pour en savoir plus, consultez Choisir le meilleur emplacement.

6. Sélectionnez le niveau Enterprise ou DevOps. Pour en savoir plus, consultez Sélectionner les niveaux d'opération.

7. Cliquez sur Suivant.

Configurer les algorithmes et les tailles de clés autorisés

Le service CA vous permet de choisir les algorithmes de signature pour les clés Cloud KMS qui soutiennent les autorités de certification dans le pool d'autorités de certification. Par défaut, tous les algorithmes de clé sont autorisés.

Pour limiter les clés autorisées dans les certificats émis par le pool d'autorités de certification, procédez comme suit. Il s'agit d'une procédure facultative.

1. Cliquez sur le bouton bascule.
2. Cliquez sur Ajouter un élément.

3. Dans la liste Type, sélectionnez le type de clé.

   Si vous souhaitez utiliser des clés RSA, procédez comme suit :

   1. Facultatif : Ajoutez la taille minimale du module en bits.
   2. Facultatif : Ajoutez la taille maximale du module en bits.
   3. Cliquez sur OK.

   Si vous souhaitez utiliser des clés à courbe elliptique, procédez comme suit :

   1. Facultatif : Dans la liste Type de courbe elliptique, sélectionnez le type de courbe elliptique.
   2. Cliquez sur OK.

4. Pour ajouter une autre clé autorisée, cliquez sur Ajouter un élément, puis répétez l'étape 2.

5. Cliquez sur Suivant.

Configurer les méthodes de demande de certificat

Pour limiter les méthodes que les demandeurs de certificats peuvent utiliser pour demander des certificats au pool d'autorités de certification, procédez comme suit :

1. Facultatif : Pour limiter les demandes de certificat basées sur la CSR, cliquez sur le bouton bascule.
2. Facultatif : Pour limiter les demandes de certificat basées sur la configuration, cliquez sur le bouton bascule.

Configurer les options de publication

Pour configurer les options de publication, procédez comme suit :

1. Facultatif : Pour interdire la publication des certificats CA dans le bucket Cloud Storage pour les CA du pool d'autorités de certification, cliquez sur le bouton bascule.
2. Facultatif : Pour interdire la publication de LRC dans le bucket Cloud Storage pour les autorités de certification du pool d'autorités de certification, cliquez sur le bouton bascule.

3. Cliquez sur le menu pour sélectionner le format d'encodage des certificats d'autorité de certification et des LCR publiés.

   

4. Cliquez sur Suivant.

Ce paramètre fait référence au champ Key Usage d'un certificat numérique. Elle spécifie comment la clé privée du certificat peut être utilisée, par exemple pour le chiffrement de clé, le chiffrement de données, la signature de certificat et la signature de LCR. Pour en savoir plus, consultez Utilisation des clés.

1. Pour sélectionner les utilisations de base des clés, cliquez sur le bouton à bascule Spécifier l'utilisation de base des clés pour les certificats émis à partir de ce pool de CA, puis sélectionnez les options de votre choix.
2. Cliquez sur Suivant.

Ce paramètre fait référence au champ Extended Key Usage (EKU) d'un certificat numérique. Il fournit des restrictions plus spécifiques et plus précises sur la façon dont la clé peut être utilisée, par exemple pour l'authentification du serveur, l'authentification du client, la signature de code et la protection des e-mails. Pour en savoir plus, consultez Utilisation étendue des clés.

Les utilisations étendues des clés sont définies à l'aide d'identifiants d'objet (OID). Si vous ne configurez pas les utilisations étendues des clés, tous les scénarios d'utilisation des clés sont autorisés.

1. Pour sélectionner les utilisations étendues des clés, cliquez sur le bouton Écrire les utilisations étendues des clés pour les certificats émis à partir de ce pool d'autorités de certification, puis sélectionnez les options de votre choix.
2. Cliquez sur Suivant.

L'extension des règles de certificat dans le certificat exprime les règles suivies par le pool d'AC émetteur. Cette extension peut inclure des informations sur la façon dont les identités sont validées avant l'émission des certificats, sur la façon dont les certificats sont révoqués et sur la façon dont l'intégrité du pool d'autorités de certification est assurée. Cette extension vous aide à vérifier les certificats émis par le pool de CA et à voir comment ils sont utilisés.

Pour en savoir plus, consultez Règles relatives aux certificats.

Pour spécifier la règle qui définit l'utilisation du certificat, procédez comme suit :

1. Ajoutez l'identifiant de la règle dans le champ Identifiants de règles.
2. Cliquez sur Suivant.

L'extension AIA d'un certificat fournit les informations suivantes :

• Adresse des serveurs OCSP à partir desquels vous pouvez vérifier l'état de révocation du certificat.
• Méthode d'accès pour l'émetteur du certificat.

Pour en savoir plus, consultez Authority Information Access.

Pour ajouter les serveurs OCSP qui apparaissent dans le champ d'extension AIA des certificats, procédez comme suit :

1. Cliquez sur Ajouter un élément.
2. Dans le champ URL du serveur, ajoutez l'URL du serveur OCSP.
3. Cliquez sur OK.
4. Cliquez sur Suivant.

Le champ Options d'autorité de certification d'un modèle de certificat définit la manière dont le certificat obtenu peut être utilisé dans une hiérarchie d'autorités de certification. Les options d'autorité de certification déterminent si un certificat peut être utilisé pour signer d'autres certificats et, le cas échéant, les restrictions applicables aux certificats qu'il émet.

parmi les options suivantes :

1. Incluez les configurations pour décrire les extensions CA X.509 : spécifiez les paramètres d'un modèle de certificat qui contrôlent les extensions X.509.

2. Limitez l'utilisation des certificats émis aux autorités de certification : cette option n'apparaît que si vous cochez la case mentionnée à l'étape précédente. Cette valeur booléenne indique si le certificat est un certificat CA. Si la valeur est définie sur true, le certificat peut être utilisé pour signer d'autres certificats. Si la valeur est false, le certificat est un certificat d'entité finale et ne peut pas signer d'autres certificats. Si vous cliquez sur ce bouton, vous serez invité à définir des contraintes de nom pour l'extension des certificats d'autorité de certification.

3. Incluez les configurations pour décrire la restriction de longueur du chemin des extensions X.509 : Spécifiez les paramètres qui contrôlent la longueur d'une chaîne de certificats, à partir d'un certificat spécifique. Si la longueur maximale du chemin d'accès de l'émetteur est définie sur 0, l'autorité de certification ne peut émettre que des certificats d'entité de fin. Si la valeur est définie sur 1, la chaîne sous ce certificat CA ne peut inclure qu'une seule CA subordonnée. Si aucune valeur n'est déclarée, le nombre d'AC subordonnées dans la chaîne sous cette AC est illimité.

4. Cliquez sur Suivant.

Pour configurer des extensions personnalisées supplémentaires à inclure dans les certificats émis par le pool de CA, procédez comme suit :

1. Cliquez sur Ajouter un élément.
2. Dans le champ Identifiant d'objet, ajoutez un identifiant d'objet valide au format numérique séparé par des points.
3. Dans le champ Valeur, ajoutez la valeur encodée en base64 pour l'identifiant.
4. Si l'extension est essentielle, sélectionnez L'extension est essentielle.

Pour enregistrer toutes les configurations de valeurs de référence, cliquez sur OK.

Pour créer le pool d'autorités de certification, cliquez sur OK.

gcloud

Exécutez la commande ci-dessous.

gcloud privateca pools create POOL_NAME --location=LOCATION

Remplacez les éléments suivants :

• POOL_NAME : nom du pool d'autorités de certification.
• LOCATION : emplacement dans lequel vous souhaitez créer le pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez Emplacements.

Si vous ne spécifiez pas le niveau requis pour votre pool d'AC, le niveau Enterprise est sélectionné par défaut. Si vous souhaitez spécifier le niveau de votre pool d'AC, exécutez la commande gcloud suivante :

gcloud privateca pools create POOL_NAME --location=LOCATION --tier=TIER_NAME

Remplacez les éléments suivants :

• POOL_NAME : nom de votre pool d'autorités de certification.
• LOCATION : emplacement dans lequel vous souhaitez créer le pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez Emplacements.
• TIER_NAME : devops ou enterprise. Pour en savoir plus, consultez Sélectionner les niveaux d'opération.

Si vous ne spécifiez pas le format d'encodage des publications pour votre pool d'AC, le format d'encodage des publications PEM est sélectionné par défaut. Si vous souhaitez spécifier le format d'encodage de publication pour votre pool d'AC, exécutez la commande gcloud suivante :

gcloud privateca pools create POOL_NAME --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Remplacez les éléments suivants :

• POOL_NAME : nom de votre pool d'autorités de certification.
• LOCATION : emplacement dans lequel vous souhaitez créer le pool d'AC. Pour obtenir la liste complète des emplacements, consultez Emplacements.
• PUBLISHING_ENCODING_FORMAT : PEM ou DER.

Pour en savoir plus sur la commande gcloud privateca pools create, consultez gcloud privateca pools create.

Pour savoir comment limiter le type de certificats qu'un pool d'autorités de certification peut émettre, consultez Ajouter une règle d'émission de certificat à un pool d'autorités de certification.

Terraform

resource "google_privateca_ca_pool" "default" {
  name     = "ca-pool"
  location = "us-central1"
  tier     = "ENTERPRISE"
  publishing_options {
    publish_ca_cert = true
    publish_crl     = true
  }
  labels = {
    foo = "bar"
  }
}

Go

import (
	"context"
	"fmt"
	"io"

	privateca "cloud.google.com/go/security/privateca/apiv1"
	"cloud.google.com/go/security/privateca/apiv1/privatecapb"
)

// Create a Certificate Authority pool. All certificates created under this CA pool will
// follow the same issuance policy, IAM policies, etc.
func createCaPool(w io.Writer, projectId string, location string, caPoolId string) error {
	// projectId := "your_project_id"
	// location := "us-central1"	// For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
	// caPoolId := "ca-pool-id"		// A unique id/name for the ca pool.

	ctx := context.Background()
	caClient, err := privateca.NewCertificateAuthorityClient(ctx)
	if err != nil {
		return fmt.Errorf("NewCertificateAuthorityClient creation failed: %w", err)
	}
	defer caClient.Close()

	caPool := &privatecapb.CaPool{
		// Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
		Tier: privatecapb.CaPool_ENTERPRISE,
	}

	locationPath := fmt.Sprintf("projects/%s/locations/%s", projectId, location)

	// See https://pkg.go.dev/cloud.google.com/go/security/privateca/apiv1/privatecapb#CreateCaPoolRequest.
	req := &privatecapb.CreateCaPoolRequest{
		Parent:   locationPath,
		CaPoolId: caPoolId,
		CaPool:   caPool,
	}

	op, err := caClient.CreateCaPool(ctx, req)
	if err != nil {
		return fmt.Errorf("CreateCaPool failed: %w", err)
	}

	if _, err = op.Wait(ctx); err != nil {
		return fmt.Errorf("CreateCaPool failed during wait: %w", err)
	}

	fmt.Fprintf(w, "CA Pool created")

	return nil
}

Java

import com.google.api.core.ApiFuture;
import com.google.cloud.security.privateca.v1.CaPool;
import com.google.cloud.security.privateca.v1.CaPool.IssuancePolicy;
import com.google.cloud.security.privateca.v1.CaPool.Tier;
import com.google.cloud.security.privateca.v1.CertificateAuthorityServiceClient;
import com.google.cloud.security.privateca.v1.CertificateIdentityConstraints;
import com.google.cloud.security.privateca.v1.CreateCaPoolRequest;
import com.google.cloud.security.privateca.v1.LocationName;
import com.google.longrunning.Operation;
import java.io.IOException;
import java.util.concurrent.ExecutionException;

public class CreateCaPool {

  public static void main(String[] args)
      throws InterruptedException, ExecutionException, IOException {
    // TODO(developer): Replace these variables before running the sample.
    // location: For a list of locations, see:
    // https://cloud.google.com/certificate-authority-service/docs/locations
    // poolId: Set a unique poolId for the CA pool.
    String project = "your-project-id";
    String location = "ca-location";
    String poolId = "ca-pool-id";
    createCaPool(project, location, poolId);
  }

  // Create a Certificate Authority Pool. All certificates created under this CA pool will
  // follow the same issuance policy, IAM policies,etc.,
  public static void createCaPool(String project, String location, String poolId)
      throws InterruptedException, ExecutionException, IOException {
    // Initialize client that will be used to send requests. This client only needs to be created
    // once, and can be reused for multiple requests. After completing all of your requests, call
    // the `certificateAuthorityServiceClient.close()` method on the client to safely
    // clean up any remaining background resources.
    try (CertificateAuthorityServiceClient certificateAuthorityServiceClient =
        CertificateAuthorityServiceClient.create()) {

      IssuancePolicy issuancePolicy = IssuancePolicy.newBuilder()
          .setIdentityConstraints(CertificateIdentityConstraints.newBuilder()
              .setAllowSubjectPassthrough(true)
              .setAllowSubjectAltNamesPassthrough(true)
              .build())
          .build();

      /* Create the pool request
        Set Parent which denotes the project id and location.
        Set the Tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
      */
      CreateCaPoolRequest caPoolRequest =
          CreateCaPoolRequest.newBuilder()
              .setParent(LocationName.of(project, location).toString())
              .setCaPoolId(poolId)
              .setCaPool(
                  CaPool.newBuilder()
                      .setIssuancePolicy(issuancePolicy)
                      .setTier(Tier.ENTERPRISE)
                      .build())
              .build();

      // Create the CA pool.
      ApiFuture<Operation> futureCall =
          certificateAuthorityServiceClient.createCaPoolCallable().futureCall(caPoolRequest);
      Operation response = futureCall.get();

      if (response.hasError()) {
        System.out.println("Error while creating CA pool !" + response.getError());
        return;
      }

      System.out.println("CA pool created successfully: " + poolId);
    }
  }
}

Python

import google.cloud.security.privateca_v1 as privateca_v1


def create_ca_pool(project_id: str, location: str, ca_pool_name: str) -> None:
    """
    Create a Certificate Authority pool. All certificates created under this CA pool will
    follow the same issuance policy, IAM policies,etc.,

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: a unique name for the ca pool.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    ca_pool = privateca_v1.CaPool(
        # Set the tier (see: https://cloud.google.com/certificate-authority-service/docs/tiers).
        tier=privateca_v1.CaPool.Tier.ENTERPRISE,
    )
    location_path = caServiceClient.common_location_path(project_id, location)

    # Create the pool request.
    request = privateca_v1.CreateCaPoolRequest(
        parent=location_path,
        ca_pool_id=ca_pool_name,
        ca_pool=ca_pool,
    )

    # Create the CA pool.
    operation = caServiceClient.create_ca_pool(request=request)

    print("Operation result:", operation.result())

API REST

1. Créez un pool d'autorités de certification.

   Méthode HTTP et URL :

   POST https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID

   Corps JSON de la requête :

   {
     "tier": "ENTERPRISE"
   }
   

   Pour envoyer votre requête, développez l'une des options suivantes :

   curl (Linux, macOS ou Cloud Shell)

   Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

   curl -X POST \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        -H "Content-Type: application/json; charset=utf-8" \
        -d @request.json \
        "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID"

   PowerShell (Windows)

   Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante :

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method POST `
       -Headers $headers `
       -ContentType: "application/json; charset=utf-8" `
       -InFile request.json `
       -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/caPools\?ca_pool_id=POOL_ID" | Select-Object -Expand Content

   Vous devriez recevoir une réponse JSON de ce type :

   {
       "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
       "metadata": {...},
       "done": false
   }
   

2. Interrogez l'opération jusqu'à ce qu'elle soit terminée.

   L'opération est terminée lorsque la propriété done de l'opération de longue durée est définie sur true.

   Méthode HTTP et URL :

   GET https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID

   Pour envoyer votre requête, développez l'une des options suivantes :

   curl (Linux, macOS ou Cloud Shell)

   Exécutez la commande suivante :

   curl -X GET \
        -H "Authorization: Bearer $(gcloud auth print-access-token)" \
        "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID"

   PowerShell (Windows)

   Exécutez la commande suivante :

   $cred = gcloud auth print-access-token
   $headers = @{ "Authorization" = "Bearer $cred" }
   
   Invoke-WebRequest `
       -Method GET `
       -Headers $headers `
       -Uri "https://privateca.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID" | Select-Object -Expand Content

   Vous devriez recevoir une réponse JSON de ce type :

   {
       "name": "projects/PROJECT_ID/locations/LOCATION/operations/operation-UUID",
       "metadata": {...},
       "done": true,
       "response": {
         "@type": "type.googleapis.com/google.cloud.security.privateca.v1.CaPool",
         "name": "...",
         "tier": "ENTERPRISE"
       }
   }
   

Console

Pour ajouter un libellé :

1. Accédez à la page Certificate Authority Service.

   Accéder à Certificate Authority Service

2. Dans l'onglet Gestionnaire de pool d'autorités de certification, sélectionnez le pool d'autorités de certification.

3. Cliquez sur Libellés.

4. Cliquez sur addAjouter un libellé.

5. Ajoutez une paire clé-valeur.

6. Cliquez sur Enregistrer.

   

Pour modifier un libellé existant :

1. Accédez à la page Certificate Authority Service.

   Accéder à Certificate Authority Service

2. Dans l'onglet Gestionnaire de pool d'autorités de certification, sélectionnez le pool d'autorités de certification.

3. Cliquez sur Libellés.

4. Modifiez la valeur du libellé.

5. Cliquez sur Enregistrer.

gcloud

Exécutez la commande ci-dessous.

gcloud privateca pools update POOL_ID --location=LOCATION --update-labels foo=bar

Remplacez les éléments suivants :

• POOL_ID : nom du pool d'autorités de certification.
• LOCATION : emplacement du pool d'autorités de certification. Pour obtenir la liste complète des emplacements, consultez Emplacements.