이 페이지는 Cloud Translation API를 통해 번역되었습니다.

트러스트 구성 관리

이 페이지에서는 상호 TLS 인증(mTLS) 시나리오에서 사용할 트러스트 구성을 만들고 관리하는 방법을 설명합니다.

mTLS에 관한 자세한 내용은 다음 리소스를 참고하세요.

트러스트 구성, 신뢰 앵커, 중간 인증서의 개념을 이해하려면 트러스트 구성을 참고하세요.
mTLS에 대한 자세한 내용은 Cloud Load Balancing 문서의 상호 TLS 개요를 참고하세요.
트러스트 구성을 사용하여 대상 프록시에서 mTLS를 구성하려면 Cloud Load Balancing 문서의 다음 페이지를 참고하세요.
- 사용자 제공 인증서로 상호 TLS 설정
- 비공개 CA로 상호 TLS 설정

트러스트 구성 만들기

신뢰 구성을 만들 때는 인증서를 검증하는 데 사용되는 신뢰 앵커를 지정해야 합니다.

이 태스크에 필요한 역할

이 작업을 수행하려면 대상 프로젝트에 다음 IAM 역할 중 하나가 있어야 합니다. Google Cloud

인증서 관리자 편집자 역할 (roles/certificatemanager.editor)
인증서 관리자 소유자 역할 (roles/certificatemanager.owner)

자세한 내용은 역할 및 권한을 참조하세요.

참고: 필요한 역할이 할당되지 않은 경우 프로젝트 IAM 관리자 역할(roles/resourcemanager.projectIamAdmin)이 있는 IAM 관리자에게 연락하여 누락된 역할을 부여받으세요.

트러스트 구성을 만들려면 다음 단계를 완료하세요.

콘솔

Google Cloud 콘솔에서 인증서 관리자 페이지의 신뢰 구성 탭으로 이동합니다.

인증서 관리자로 이동
트러스트 구성 추가를 클릭합니다. Create Trust Config 페이지가 표시됩니다.
이름 필드에 구성의 이름을 입력합니다.

이름은 프로젝트에서 고유해야 합니다. 또한 소문자로 시작해야 하며 이어서 최대 62자(영문 기준)의 소문자, 숫자 또는 하이픈이 와야 하며 하이픈으로 끝나면 안 됩니다.
선택사항: 설명 필드에 구성에 대한 설명을 입력합니다. 이 설명은 나중에 특정 구성을 식별하는 데 도움이 됩니다.
선택사항: 라벨 필드에서 트러스트 구성에 연결할 라벨을 지정합니다. 라벨을 추가하려면 라벨 추가를 클릭하고 라벨의 키와 값을 지정합니다.
위치에 전역 또는 리전을 선택합니다.

리전을 선택한 경우 리전을 선택합니다.
트러스트 저장소 섹션에서 신뢰 앵커와 중간 CA를 추가합니다.

인증서의 전체 PEM 페이로드의 여러 인스턴스(인스턴스당 하나의 인증서)를 사용하여 여러 신뢰 앵커 및 중간 인증서를 지정할 수 있습니다.
1. 신뢰 앵커 섹션에서 신뢰 앵커 추가를 클릭하고 PEM으로 인코딩된 인증서 파일을 업로드하거나 인증서 콘텐츠를 복사합니다. 완료되면 추가를 클릭합니다.
2. 선택사항: 중간 CA 섹션에서 중간 CA 추가를 클릭하고 PEM으로 인코딩된 중간 인증서 파일을 업로드하거나 중간 인증서의 콘텐츠를 복사합니다. 완료되면 추가를 클릭합니다.
  
  이 단계를 통해 루트 인증서와 서버 인증서 간에 신뢰 수준을 한 단계 더 높일 수 있습니다.
3. 선택사항: 허용 목록에 추가된 인증서 섹션에서 인증서 추가를 클릭하고 PEM으로 인코딩된 인증서 파일을 업로드하거나 인증서 내용을 복사합니다. 이렇게 하면 인증서가 허용 목록에 추가됩니다. 완료되면 추가를 클릭합니다.
트러스트 구성 리소스 사양 내에서 여러 신뢰 앵커 또는 중간 인증서를 지정하려면 pemCertificate 필드의 여러 인스턴스를 사용합니다. 필드의 각 인스턴스에는 단일 인증서가 포함됩니다.

트러스트 구성은 항상 허용 목록의 인증서를 유효한 것으로 간주합니다. 허용 목록에 여러 인증서를 캡슐화하려면 pemCertificate 필드의 여러 인스턴스, 즉 인스턴스당 인증서를 하나씩 사용합니다. 허용 목록에 추가된 인증서를 사용하는 동안에는 트러스트 저장소가 필요하지 않습니다.

신뢰 구성은 허용 목록에 있는 인증서가 특정 조건을 충족하는 경우 항상 유효한 것으로 간주합니다. 인증서를 파싱할 수 있어야 하고, 비공개 키 소유 증명이 있어야 하며, 인증서의 SAN 필드에 대한 제약조건을 준수해야 합니다. 만료된 인증서가 허용 목록에 추가되어도 유효한 것으로 간주됩니다. PEM 인코딩 형식에 대한 자세한 내용은 RFC 7468을 참고하세요.
만들기를 클릭합니다.

새 트러스트 구성이 구성 목록에 표시되는지 확인합니다.

gcloud

트러스트 구성 매개변수를 지정하는 트러스트 구성 YAML 파일을 만듭니다.

파일 형식은 다음과 같습니다.
```
name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"
```
다음을 바꿉니다.
- TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
- CERTIFICATE_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.
- INTER_CERT_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다.
- ALLOWLISTED_CERT1 및 ALLOWLISTED_CERT2: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가되는 인증서입니다.
트러스트 구성 리소스 사양 내에서 여러 신뢰 앵커 또는 중간 인증서를 지정하려면 pemCertificate 필드의 여러 인스턴스를 사용합니다. 필드의 각 인스턴스에는 단일 인증서가 포함됩니다.

트러스트 구성은 항상 허용 목록의 인증서를 유효한 것으로 간주합니다. 허용 목록에 여러 인증서를 캡슐화하려면 pemCertificate 필드의 여러 인스턴스, 즉 인스턴스당 인증서를 하나씩 사용합니다. 허용 목록에 추가된 인증서를 사용하는 동안에는 트러스트 저장소가 필요하지 않습니다.

신뢰 구성은 허용 목록에 있는 인증서가 특정 조건을 충족하는 경우 항상 유효한 것으로 간주합니다. 인증서를 파싱할 수 있어야 하고, 비공개 키 소유 증명이 있어야 하며, 인증서의 SAN 필드에 대한 제약조건을 준수해야 합니다. 만료된 인증서가 허용 목록에 추가되어도 유효한 것으로 간주됩니다. PEM 인코딩 형식에 대한 자세한 내용은 RFC 7468을 참고하세요.
트러스트 구성 YAML 파일을 가져오려면 gcloud certificate-manager trust-configs import 명령어를 사용합니다.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
  --project=PROJECT_ID \
  --source=TRUST_CONFIG_FILE \
  --location=LOCATION
```
다음을 바꿉니다.
- TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
- PROJECT_ID: Google Cloud 프로젝트 ID입니다.
- TRUST_CONFIG_FILE: 1단계에서 만든 트러스트 구성 YAML 파일의 전체 경로 및 이름입니다.
- LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.

API

trustConfigs.create 메서드에 대해 POST 요청을 실행합니다.

POST /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?trust_config_id=TRUST_CONFIG_ID
{
  "description": "DESCRIPTION",
  "trust_stores": [{
    "trust_anchors": [{
      "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
    }],
    "intermediate_cas": [{
      "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
    }],
  }],
  "allowlistedCertificates": [{
    "pem_certificate": "ALLOWLISTED_CERT"
  }],
}

다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.
TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
DESCRIPTION: 이 트러스트 구성 리소스에 대한 의미 있는 설명입니다. 이 값은 선택사항입니다.
CERTIFICATE_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.
INTER_CERT_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.
ALLOWLISTED_CERT: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가되는 인증서입니다. 이 값은 선택사항입니다.

트러스트 구성 업데이트

트러스트 구성을 업데이트하려면 새 트러스트 구성 매개변수를 지정하는 다른 트러스트 구성 YAML 파일을 만들고 이 파일을 인증서 관리자로 가져옵니다.

이 태스크에 필요한 역할

이 작업을 수행하려면 대상 프로젝트에 다음 IAM 역할 중 하나가 있어야 합니다. Google Cloud

인증서 관리자 편집자 역할 (roles/certificatemanager.editor)
인증서 관리자 소유자 역할 (roles/certificatemanager.owner)

자세한 내용은 역할 및 권한을 참조하세요.

콘솔

Google Cloud 콘솔에서 인증서 관리자 페이지의 신뢰 구성 탭으로 이동합니다.

인증서 관리자로 이동
업데이트할 트러스트 구성을 찾아 선택합니다.
옵션 더보기 열에서 업데이트하려는 구성의 작업 더보기를 클릭한 다음 수정을 선택합니다.
필요한 변경사항을 적용합니다.
저장을 클릭합니다.

구성 변경사항이 업데이트되었는지 확인합니다.

gcloud

트러스트 구성 YAML 파일을 내보냅니다.
```
gcloud certificate-manager trust-configs export TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --destination=TRUST_CONFIG_FILE \
    --location=LOCATION
```
다음을 바꿉니다.
- TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
- PROJECT_ID: Google Cloud 프로젝트 ID입니다.
- TRUST_CONFIG_FILE: 트러스트 구성 YAML 파일의 전체 경로 및 이름입니다.
- LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.
트러스트 구성 YAML 파일을 수정합니다.

파일 형식은 다음과 같습니다.
```
name: "TRUST_CONFIG_ID"
trustStores:
- trustAnchors:
  - pemCertificate: "CERTIFICATE_PEM_PAYLOAD"
  intermediateCas:
  - pemCertificate: "INTER_CERT_PEM_PAYLOAD"
allowlistedCertificates:
- pemCertificate: "ALLOWLISTED_CERT1"
- pemCertificate: "ALLOWLISTED_CERT2"
```
다음을 바꿉니다.
- TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
- CERTIFICATE_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.
- INTER_CERT_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.
- ALLOWLISTED_CERT1 및 ALLOWLISTED_CERT2: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가되는 인증서입니다. 이 값은 선택사항입니다.
새 트러스트 구성 파일을 기존 트러스트 구성 리소스 이름에 대한 인증서 관리자로 가져옵니다.
```
gcloud certificate-manager trust-configs import TRUST_CONFIG_ID \
    --project=PROJECT_ID \
    --source=TRUST_CONFIG_FILE \
    --location=LOCATION
```
다음을 바꿉니다.
- TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
- PROJECT_ID: Google Cloud 프로젝트 ID입니다.
- TRUST_CONFIG_FILE: 트러스트 구성 YAML 파일의 전체 경로 및 이름입니다.
- LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.

API

trustConfigs.update 메서드에 대해 PATCH 요청을 실행합니다.

PATCH /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID?update_mask=*
  {
    "description": "DESCRIPTION",
    "trust_stores": [{
      "trust_anchors": [{
        "pem_certificate": "CERTIFICATE_PEM_PAYLOAD"
      }],
      "intermediate_cas": [{
        "pem_certificate": "INTER_CERT_PEM_PAYLOAD"
      }],
    }],
    "allowlistedCertificates": [{
      "pem_certificate": "ALLOWLISTED_CERT"
  }],
  }

다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.
TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
DESCRIPTION: 이 트러스트 구성 리소스에 대한 의미 있는 설명입니다. 이 설명은 선택사항입니다.
CERTIFICATE_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 인증서의 전체 PEM 페이로드입니다.
INTER_CERT_PEM_PAYLOAD: 트러스트 구성 리소스에 사용할 중간 인증서의 전체 PEM 페이로드입니다. 이 값은 선택사항입니다.
ALLOWLISTED_CERT: 이 트러스트 구성 리소스에 사용할 허용 목록에 추가되는 인증서입니다. 이 값은 선택사항입니다.

트러스트 구성 나열

프로젝트의 구성된 모든 신뢰 구성을 볼 수 있습니다.

이 태스크에 필요한 역할

이 작업을 수행하려면 대상 프로젝트에 다음 IAM 역할 중 하나가 있어야 합니다. Google Cloud

인증서 관리자 편집자 역할 (roles/certificatemanager.editor)
인증서 관리자 소유자 역할 (roles/certificatemanager.owner)
인증서 관리자 뷰어 역할 (roles/certificatemanager.viewer)

자세한 내용은 역할 및 권한을 참조하세요.

콘솔

Google Cloud 콘솔에서 인증서 관리자 페이지의 신뢰 구성 탭으로 이동합니다.

인증서 관리자로 이동
신뢰 구성 탭에서 선택한 프로젝트에 구성된 모든 신뢰 구성 리소스의 목록을 볼 수 있습니다.

gcloud

gcloud certificate-manager trust-configs list 명령어를 사용합니다.

gcloud certificate-manager trust-configs list \
    --filter="FILTER" \
    --page-size="PAGE_SIZE" \
    --limit="LIMIT" \
    --sort-by="SORT_BY" \
    --location=LOCATION

다음을 바꿉니다.

FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.

예를 들어 라벨 및 생성 시간별로 결과를 필터링하려면 다음을 지정하면 됩니다. --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참고하세요.
PAGE_SIZE: 페이지당 반환할 결과 수입니다.
LIMIT: 반환할 최대 결과 수입니다.
SORT_BY: 쉼표로 구분된 name 필드의 목록으로, 반환된 결과가 정렬됩니다. 기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 필드 앞에 물결(~)로 프리픽스를 붙입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 모든 리전의 신뢰 구성을 나열하려면 -를 값으로 사용합니다. 기본값은 -입니다. 이 플래그는 선택사항입니다.

API

trustConfigs.list 메서드에 대해 GET 요청을 실행합니다.

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs?filter=FILTER&pageSize=PAGE_SIZE&sortBy=SORT_BY

다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 모든 위치의 모든 신뢰 구성을 보려면 하이픈 (-) 하나를 지정합니다.
FILTER: 반환된 결과를 특정 값으로 제한하는 표현식입니다.

예를 들어 라벨 및 생성 시간별로 결과를 필터링하려면 다음을 지정하면 됩니다. --filter='labels.key:value AND create_time > "2021-09-01T00:00:00Z"'

인증서 관리자에서 사용할 수 있는 필터링 예시는 Cloud Key Management Service 문서의 목록 결과 정렬 및 필터링을 참고하세요.
PAGE_SIZE: 페이지당 반환할 결과 수입니다.
SORT_BY: 쉼표로 구분된 name 필드의 목록으로, 반환된 결과가 정렬됩니다. 기본 정렬 순서는 오름차순입니다. 내림차순 정렬 순서의 경우 필드 앞에 물결(~)로 프리픽스를 붙입니다.

트러스트 구성 보기

특정 신뢰 구성의 세부정보를 볼 수 있습니다.

이 태스크에 필요한 역할

이 작업을 수행하려면 대상 프로젝트에 다음 IAM 역할 중 하나가 있어야 합니다. Google Cloud

인증서 관리자 편집자 역할 (roles/certificatemanager.editor)
인증서 관리자 소유자 역할 (roles/certificatemanager.owner)
인증서 관리자 뷰어 역할 (roles/certificatemanager.viewer)

자세한 내용은 역할 및 권한을 참조하세요.

콘솔

Google Cloud 콘솔에서 인증서 관리자 페이지의 신뢰 구성 탭으로 이동합니다.

인증서 관리자로 이동
보려는 트러스트 구성 리소스를 클릭합니다. 트러스트 구성 세부정보 페이지에 선택한 트러스트 구성 리소스에 관한 자세한 정보가 표시됩니다.

gcloud

gcloud certificate-manager trust-configs describe 명령어를 사용합니다.

gcloud certificate-manager trust-configs describe TRUST_CONFIG_ID \
    --location=LOCATION

다음을 바꿉니다.

TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.

API

trustConfigs.get 메서드에 대해 GET 요청을 실행합니다.

GET /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.
TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.

트러스트 구성 삭제

트러스트 구성을 삭제하기 전에 클라이언트 인증 (ServerTlsPolicy) 리소스에서 트러스트 구성을 분리합니다.

이 태스크에 필요한 역할

이 작업을 수행하려면 대상 프로젝트에 다음 IAM 역할 중 하나가 있어야 합니다. Google Cloud

인증서 관리자 소유자 역할 (roles/certificatemanager.owner)

자세한 내용은 역할 및 권한을 참조하세요.

콘솔

Google Cloud 콘솔에서 인증서 관리자 페이지의 신뢰 구성 탭으로 이동합니다.

인증서 관리자로 이동
삭제할 트러스트 구성의 체크박스를 선택합니다.
삭제를 클릭합니다.
표시되는 대화상자에서 삭제를 클릭하여 확인합니다.

gcloud

gcloud certificate-manager trust-configs delete 명령어를 사용합니다.

gcloud certificate-manager trust-configs delete TRUST_CONFIG_ID \
    --location=LOCATION

다음을 바꿉니다.

TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.

API

trustConfigs.delete 메서드에 대해 DELETE 요청을 실행합니다.

DELETE /v1/projects/PROJECT_ID/locations/LOCATION/trustConfigs/TRUST_CONFIG_ID

다음을 바꿉니다.

PROJECT_ID: Google Cloud 프로젝트 ID입니다.
LOCATION: 트러스트 구성 리소스가 저장되는 리전입니다. 기본 위치는 global입니다.
TRUST_CONFIG_ID: 트러스트 구성 리소스의 ID입니다.