Esta página foi traduzida pela API Cloud Translation.

Solicitar um certificado usando um Public CA e um cliente ACME

Neste tutorial, explicamos como solicitar um certificado TLS com um Public Certificate Authority usando a Google Cloud CLI. Para informações sobre as CAs raiz e intermediárias usadas pelo Public Certificate Authority, consulte Google Trust Services. Não há cobrança para solicitar certificados da CA pública.

Antes de começar

After installing the Google Cloud CLI, initialize it by running the following command:
```
gcloud init
```
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

Note: You can run the gcloud CLI in the Google Cloud console without installing the Google Cloud CLI. To run the gcloud CLI in the Google Cloud console, use Cloud Shell.
Create or select a Google Cloud project.

Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.
- Create a Google Cloud project:
```
gcloud projects create PROJECT_ID
```
  Replace PROJECT_ID with a name for the Google Cloud project you are creating.
- Select the Google Cloud project that you created:
```
gcloud config set project PROJECT_ID
```
  Replace PROJECT_ID with your Google Cloud project name.

Verifique se você tem o papel do IAM de criador de chave de conta externa da CA pública (roles/publicca.externalAccountKeyCreator).

Para conceder esse papel, execute o seguinte comando:
```
gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=user:USER \
  --role=roles/publicca.externalAccountKeyCreator
```
Substitua:
- PROJECT_ID: o ID do seu Google Cloud projeto
- USER: o identificador exclusivo do usuário a quem você quer atribuir o papel do IAM.
Para saber como conceder um papel do IAM, consulte Gerenciar o acesso a projetos, pastas e organizações.
Enable the Public CA API:
```
gcloud services enable publicca.googleapis.com
```

Instalar um cliente

Para começar a usar o Public CA, instale um cliente ACME. As instruções a seguir usam o Certbot como cliente ACME. Você pode usar qualquer outro cliente ACME se ele for compatível com a vinculação de conta externa (EAB, na sigla em inglês).

Para instalar o Certbot, consulte as instruções do Certbot.

Não se esqueça de direcionar o cliente para o servidor do Public CA. Na primeira vez que o cliente ACME interage com o Public CA, ele gera um novo par de chaves e envia a chave pública para a CA pública.

Solicitar um ID de chave EAB e um HMAC

Depois de instalar um cliente ACME, registre sua conta ACME com o Public CA para solicitar certificados dela. Um segredo EAB pode ajudar você a registrar sua conta do ACME com uma CA pública. Um segredo de EAB consiste em um ID de chave e um código de autenticação de mensagem baseado em hash (HMAC).

Use a API de CA pública ou a Google Cloud CLI para solicitar um secret de EAB.

Para solicitar um ID de chave EAB e um HMAC, execute o seguinte comando:

gcloud publicca external-account-keys create

Esse comando retorna um secret de EAB válido no ambiente de produção da CA pública. No corpo da resposta, o campo keyId contém o ID da chave EAB, e o campo b64MacKey contém o HMAC EAB.

Você precisa usar um secret do EAB em até sete dias após a obtenção. O segredo da EAB será invalidado se não for usado em até 7 dias. A conta do ACME registrada usando um secret de EAB não tem expiração.

Registrar uma conta do ACME

Esta seção explica como registrar uma conta ACME com a Public CA fornecendo o segredo EAB que você acabou de receber.

Use um cliente ACME comum para registrar uma conta e forneça o ID da chave EAB e o HMAC durante o registro.

Para registrar uma conta do ACME com um Public CA e vincular a conta do ACME ao projeto Google Cloud que você usou para solicitar o secret do EAB, execute o seguinte comando:

certbot register \
    --email "EMAIL_ADDRESS" \
    --no-eff-email \
    --server "SERVER" \
    --eab-kid "EAB_KID" \
    --eab-hmac-key "EAB_HMAC_KEY"

Substitua:

EMAIL_ADDRESS: seu endereço de email
SERVER: o URL do diretório ACME para o ambiente de produção ou de teste.
EAB_KID: o ID da chave EAB
EAB_HMAC_KEY: a chave HMAC EAB.

A tabela a seguir fornece a descrição e o URL do diretório ACME para os ambientes de produção e de pré-produção:

Ambiente	Descrição	URL do diretório da ACME
Production	O ambiente de produção permite obter certificados confiáveis publicamente.	`https://dv.acme-v02.api.pki.goog/directory`
Preparo	O ambiente de teste retorna certificados que não são confiáveis publicamente. O ambiente de teste realiza as mesmas verificações de validação que o ambiente de produção. Você pode usar o ambiente de preparo para integração ou qualquer outro tipo de teste.	`https://dv.acme-v02.test-api.pki.goog/directory`

Só é possível registrar uma conta ACME com um segredo EAB. Depois de registrar uma conta ACME usando um segredo EAB, ele fica inválido e não pode ser reutilizado. Se quiser registrar várias contas ACME, solicite um segredo EAB exclusivo para cada uma delas.

Solicitar certificados

Depois que a CA pública validar seu controle do destino do certificado e reconhecer que o cliente ACME funciona como esperado para realizar operações de gerenciamento de certificados, você poderá usar os fluxos de trabalho normais do ACME para solicitar, renovar e revogar certificados. É possível realizar essas operações usando seu cliente ACME. Para solicitar e renovar um certificado, conclua um desafio ACME, como o desafio manual de DNS.

Para usar o desafio manual de DNS e solicitar um certificado, execute o seguinte comando:

certbot certonly \
    --manual \
    --preferred-challenges "dns-01" \
    --server "SERVER" \
    --domains "DOMAINS"

Substitua:

SERVER: o URL do diretório ACME para o ambiente de produção ou de teste
DOMAINS: uma lista separada por vírgulas de domínios para os quais você está solicitando certificados

Limpar

Se você não precisar mais de certificados para seus domínios, exclua o projeto criado.

Preparo

É possível usar o ambiente de teste do Public CA para solicitar certificados para fins de teste. Os certificados emitidos pelo ambiente de teste em cadeia até uma CA raiz de teste. Os certificados do ambiente de teste não serão confiáveis para navegadores ou outros clientes que não foram configurados para confiar no certificado raiz de teste. Para receber um segredo de EAB válido no ambiente de teste, substitua o endpoint de API pelo endpoint do ambiente de teste:

gcloud config set api_endpoint_overrides/publicca https://preprod-publicca.googleapis.com/

Em seguida, execute o comando de criação de chave da conta para criar uma chave de teste:

gcloud publicca external-account-keys create

Para reverter ao endpoint do ambiente de produção, execute o seguinte comando:

gcloud config unset api_endpoint_overrides/publicca

Cuidado: excluir um projeto tem os seguintes efeitos:

Tudo no projeto é excluído. Se você tiver usado um projeto existente para as tarefas neste documento, a exclusão dele incluirá a exclusão de quaisquer outros trabalhos feitos no projeto.
Os IDs do projeto personalizados são perdidos. Ao criar o projeto, você pode ter criado um código do projeto personalizado para ser usado no futuro. Para preservar os URLs que usam o ID do projeto, como um URL appspot.com, exclua recursos específicos do projeto, em vez de excluir o projeto inteiro.

Se você planeja passar por várias arquiteturas, tutoriais ou guias de início rápido, a reutilização de projetos pode evitar que você exceda os limites da cota do projeto.

Delete a Google Cloud project:

gcloud projects delete PROJECT_ID

A seguir

Public Certificate Authority