Menerbitkan sertifikat yang membuktikan identitas pihak ketiga

Tutorial ini menunjukkan cara menerbitkan sertifikat yang membuktikan identitas pihak ketiga menggunakan refleksi identitas dan workload identity pool.

Anda dapat menggunakan refleksi identitas untuk membuat sertifikat yang cocok dengan identitas terverifikasi dari pemohon sertifikat. Dengan menggunakan refleksi identitas, Anda dapat membatasi pemohon sertifikat yang tidak memiliki hak istimewa untuk hanya meminta sertifikat dengan nama alternatif subjek (SAN) yang sesuai dengan identitas dalam kredensialnya.

Tujuan

Tutorial ini memberikan informasi tentang cara menggunakan CA Service dengan workload identity pool untuk memfederasikan identitas pihak ketiga dan mendapatkan sertifikat yang membuktikan identitas ini.

Sebelum memulai

Sebelum memulai, pastikan Anda memahami konsep berikut:

  • Workload identity pool: Workload identity pool memungkinkan Anda mengelola penyedia identitas pihak ketiga. Untuk mengetahui informasi selengkapnya, lihat Mengelola workload identity pool dan penyedia.
  • Workload identity federation: Workload identity federation memanfaatkan workload identity pool untuk memberikan akses identitas pihak ketiga ke Google Cloud layanan. Untuk mengetahui informasi selengkapnya, lihat Workload identity federation.
  • Security Token Service (STS): Security Token Service memungkinkan Anda menukar kredensial pihak ketiga dengan token pihak pertama (Google Cloud). Untuk mengetahui informasi selengkapnya, lihat Security Token Service.
  • Refleksi identitas: Fitur refleksi identitas memungkinkan identitas terverifikasi dari pemohon sertifikat masuk ke sertifikat yang diminta. Untuk mengetahui informasi selengkapnya, lihat Refleksi identitas.

Pastikan Anda memiliki peran IAM berikut:

  • Untuk mengelola certificate authority (CA) dan CA pool, serta meminta sertifikat, Anda harus memiliki peran CA Service Operation Manager (privateca.caManager). Untuk mengetahui informasi selengkapnya tentang peran IAM untuk CA Service, lihat Kontrol akses dengan IAM.
  • Untuk mengelola workload identity pool dan penyedia, Anda harus memiliki peran Workload Identity Pool Admin (iam.workloadIdentityPoolAdmin).
  • Untuk membuat akun layanan, Anda harus memiliki peran Service Account Admin (iam.serviceAccountAdmin).

Untuk mengetahui informasi tentang cara memberikan peran IAM, lihat Mengelola akses ke project, folder, dan organisasi. Anda dapat memberikan peran IAM yang diperlukan ke Akun Google, akun layanan, grup Google, akun Google Workspace, atau domain Cloud Identity.

Menyiapkan workload identity pool dan penyedia

Tutorial ini menjelaskan cara menggunakan penyedia Google OpenID Connect (OIDC) yang dikombinasikan dengan akun layanan untuk bertindak sebagai identitas pihak ketiga. Penyedia OIDC Akun Google bertindak sebagai penyedia identitas (IDP) pihak ketiga dan akun layanan adalah contoh identitas pihak ketiga yang ditegaskan oleh IDP ini. Google Cloud

Workload identity pool mendukung berbagai penyedia identitas, termasuk Microsoft Azure/Active Directory Lokal, AWS, dan penyedia identitas berbasis SAML.

Untuk menyiapkan workload identity pool dan penyedia, lakukan hal berikut:

  1. Untuk mewakili kumpulan identitas gabungan yang tepercaya, buat workload identity pool:

    gcloud iam workload-identity-pools create IDENTITY_POOL_ID --location global --display-name "tutorial-wip"

    Ganti kode berikut:

    • IDENTITY_POOL_ID: ID unik workload identity pool baru.

  2. Buat penyedia workload identity pool untuk penyedia identitas pihak ketiga Anda:

    gcloud iam workload-identity-pools providers create-oidc PROVIDER_ID --location global --workload-identity-pool IDENTITY_POOL_ID --display-name "tutorial-oidc" --attribute-mapping "google.subject=assertion.sub" --issuer-uri="https://accounts.google.com"

    Ganti kode berikut:

    • PROVIDER_ID: ID unik penyedia identitas yang ingin Anda buat di workload identity pool.

    Anda dapat menyesuaikan flag berikut dengan kasus penggunaan Anda:

    • attribute-mapping: Flag ini menetapkan pemetaan antara klaim pihak ketiga ke klaim utama Google, google.subject. google.subject adalah pemetaan yang diperlukan yang dapat Anda tetapkan ke klaim atau kombinasi klaim apa pun menggunakan ekspresi CEL. Untuk mengetahui informasi selengkapnya, lihat Menentukan pemetaan dan kondisi atribut.
    • issuer-uri: Untuk penyedia OIDC, flag ini adalah endpoint yang dapat diakses secara publik yang dijangkau Google untuk verifikasi token pihak ketiga. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan penyedia identitas eksternal.

    Untuk mengetahui informasi selengkapnya tentang cara menyiapkan penyedia workload identity, lihat Mengonfigurasi workload identity federation.

Membuat CA pool dan CA penerbit

Bagian ini menjelaskan cara membuat CA pool dan menambahkan CA root ke CA pool tersebut. Anda dapat menggunakan CA pool ini untuk menerbitkan sertifikat yang mencerminkan identitas. Jika ingin menggunakan CA pool dan CA yang ada, Anda dapat melewati bagian ini.

Selain CA root, Anda juga dapat memilih untuk membuat CA subordinat. Membuat CA root akan membantu mempersingkat prosedur.

  1. Buat CA pool di tingkat DevOps:

    gcloud privateca pools create CA_POOL_ID --location LOCATION --tier devops

    Ganti kode berikut:

    • CA_POOL_ID - ID CA pool CA Service yang menerbitkan sertifikat.
    • LOCATION - Lokasi CA pool.

    Untuk mengetahui informasi selengkapnya tentang cara membuat CA pool, lihat Membuat CA pool.

  2. Buat CA root:

    gcloud privateca roots create CA_ID --pool CA_POOL_ID  --location LOCATION --subject "CN=test,O=test-org"

    Ganti kode berikut:

    • CA_ID - ID certificate authority yang menerbitkan sertifikat.
    • CA_POOL_ID - ID CA pool CA Service yang menerbitkan sertifikat.
    • LOCATION - Lokasi CA pool.

    Untuk mengetahui informasi selengkapnya tentang cara membuat CA root, lihat Membuat CA root.

  3. Aktifkan identitas yang digabungkan dari workload identity pool untuk menerbitkan sertifikat dari CA Pool. Refleksi identitas memerlukan peran IAM CA Service Workload Certificate Requester (roles/privateca.workloadCertificateRequester) untuk pemohon CreateCertificate.

    Anda dapat mewakili principal workload identity pool dalam berbagai granularitas, mulai dari satu subjek hingga semua identitas di pool di seluruh penyedia. Untuk mengetahui informasi selengkapnya, lihat principal atau kumpulan principal yang tersedia (gunakan tab Google Cloud CLI) agar sesuai dengan kasus penggunaan Anda.

    gcloud privateca pools add-iam-policy-binding CA_POOL_ID --location LOCATION --role roles/privateca.workloadCertificateRequester --member "principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/*"

    Ganti kode berikut:

    • CA_POOL_ID: ID CA pool CA Service yang menerbitkan sertifikat.
    • LOCATION: Lokasi CA pool.
    • PROJECT_NUMBER: Nomor project dari project tempat Anda membuat workload identity pool.
    • IDENTITY_POOL_ID: ID unik workload identity pool baru.

Membuat akun layanan yang mewakili identitas pihak ketiga

Prosedur berikut mengasumsikan bahwa akun layanan mewakili pihak ketiga. Bagian ini menunjukkan cara menggunakan GenerateIdToken endpoint IAM untuk mengambil identitas pihak ketiga dalam bentuk token OIDC. Bergantung pada kasus penggunaan Anda, Anda mungkin memerlukan langkah-langkah yang berbeda untuk mendapatkan token identitas pihak ketiga yang Anda pilih.

gcloud iam service-accounts create SERVICE_ACCOUNT

Ganti kode berikut:

  • SERVICE_ACCOUNT - ID akun layanan yang mewakili identitas pihak ketiga.

Menerbitkan sertifikat yang membuktikan identitas pihak ketiga

Sebelum memulai, pastikan Anda memiliki peran IAM Service Account Token Creator (roles/iam.serviceAccountTokenCreator). Anda memerlukan peran IAM ini untuk memanggil GenerateIdToken API.

Untuk mendapatkan sertifikat yang membuktikan identitas pihak ketiga, lakukan hal berikut:

  1. Dapatkan token identitas pihak ketiga dari penyedia identitas pihak ketiga Anda.

    curl

    export ID_TOKEN=`curl -d '{"audience":"//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID"}' -H 'Content-Type: application/json' -H "Authorization: Bearer $(gcloud auth print-access-token)" https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com:generateIdToken | python3 -c "import sys;import json;print(json.load(sys.stdin)['token'])"`

    Ganti kode berikut:

    • PROJECT_ID - ID project untuk project tempat Anda ingin membuat resource. Google Cloud

    Library klien

    Untuk mengakses token pihak ketiga secara terprogram, Anda dapat memperoleh token dari kredensial yang bersumber dari file atau kredensial yang bersumber dari URL. Untuk mengetahui informasi selengkapnya, lihat Autentikasi menggunakan library klien, gcloud CLI, atau Terraform. Dalam tutorial ini, kita akan mengikuti alur kerja kredensial sumber file.

    Muat kredensial Anda ke jalur yang dapat dibaca oleh pemohon sertifikat Anda:

    curl -d '{"audience":"//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID"}' -H 'Content-Type: application/json' -H "Authorization: Bearer $(gcloud auth print-access-token)" https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com:generateIdToken | python3 -c "import sys;import json;       print(json.load(sys.stdin)['token']) > /tmp/oidc_token.txt

    Ganti kode berikut:

    • PROJECT_ID: ID project dari project tempat Anda ingin membuat resource.

  2. Tukar token pihak ketiga Anda dengan token OAuth gabungan menggunakan endpoint STS token:

    curl

    export STS_TOKEN=`curl -L -X POST 'https://sts.googleapis.com/v1/token' -H 'Content-Type: application/json' \
-d '{
    "grant_type": "urn:ietf:params:oauth:grant-type:token-exchange",
    "audience": "//iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID/providers/PROVIDER_ID",
    "requested_token_type": "urn:ietf:params:oauth:token-type:access_token",
    "scope": "https://www.googleapis.com/auth/cloud-platform",
    "subject_token": "'$ID_TOKEN'",
    "subject_token_type": "urn:ietf:params:oauth:token-type:jwt"
}' | python3 -c "import sys;import json; print(json.load(sys.stdin)['access_token'])"`

    Library klien

    1. Buat file konfigurasi kredensial bernama oidc_token.txt yang dapat dibaca oleh kode permintaan sertifikat untuk melakukan pertukaran token.
    gcloud iam workload-identity-pools create-cred-config projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/IDENTITY_POOL_ID --output-file=/tmp/cred_config.json --credential-source-file=/tmp/oidc_token.txt
    1. Baca file oidc_token.txt untuk menetapkan mekanisme otorisasi di library klien:

    python

    import json

from google.auth import identity_pool

with open('/tmp/cred_config.json', 'r') as f:
  json_config_info = json.loads(f.read())
credentials = identity_pool.Credentials.from_info(json_config_info)
scoped_credentials = credentials.with_scopes(
    ['https://www.googleapis.com/auth/cloud-platform'])

  3. Buat permintaan ke CA Service dengan mode permintaan subjek REFLECTED_SPIFFE:

    curl

    1. Opsional: Jika Anda tidak memiliki CSR, buat CSR dengan menjalankan perintah berikut.

      export TUTORIAL_CSR=$(openssl req -newkey rsa:2048 -nodes -subj / -keyout tutorial_do_not_use.key)

    2. Minta sertifikat dengan CSR, masa berlaku, dan mode permintaan subjek yang tercermin:

      curl -H "Authorization: Bearer $(echo $STS_TOKEN)" https://privateca.googleapis.com/v1/projects/PROJECT_NUMBER/locations/LOCATION/caPools/CA_POOL_ID/certificates\?alt\=json  -X POST -H "Content-Type: application/json" -H 'Accept: application/json' --data '{"lifetime": "100s", "pemCsr": "'$TUTORIAL_CSR'", "subjectMode": "REFLECTED_SPIFFE"}'

    Library klien

    Untuk meneruskan token pihak pertama ke CA Service, Anda harus membuat klien dengan kredensial. Kemudian, Anda dapat menggunakan klien dengan kredensial ini untuk membuat permintaan sertifikat:

    1. Mulai klien CA Service dengan kredensial:

      python

      caServiceClient = privateca_v1.CertificateAuthorityServiceClient(credentials=scoped_credentials)

    2. Minta sertifikat.

      Python

      Untuk melakukan autentikasi ke CA Service, siapkan Kredensial Default Aplikasi. Untuk mengetahui informasi selengkapnya, lihat Menyiapkan autentikasi untuk lingkungan pengembangan lokal. 

      import google.cloud.security.privateca_v1 as privateca_v1
from google.protobuf import duration_pb2


def create_certificate(
    project_id: str,
    location: str,
    ca_pool_name: str,
    ca_name: str,
    certificate_name: str,
    common_name: str,
    domain_name: str,
    certificate_lifetime: int,
    public_key_bytes: bytes,
) -> None:
    """
    Create a Certificate which is issued by the Certificate Authority present in the CA Pool.
    The key used to sign the certificate is created by the Cloud KMS.

    Args:
        project_id: project ID or project number of the Cloud project you want to use.
        location: location you want to use. For a list of locations, see: https://cloud.google.com/certificate-authority-service/docs/locations.
        ca_pool_name: set a unique name for the CA pool.
        ca_name: the name of the certificate authority which issues the certificate.
        certificate_name: set a unique name for the certificate.
        common_name: a title for your certificate.
        domain_name: fully qualified domain name for your certificate.
        certificate_lifetime: the validity of the certificate in seconds.
        public_key_bytes: public key used in signing the certificates.
    """

    caServiceClient = privateca_v1.CertificateAuthorityServiceClient()

    # The public key used to sign the certificate can be generated using any crypto library/framework.
    # Also you can use Cloud KMS to retrieve an already created public key.
    # For more info, see: https://cloud.google.com/kms/docs/retrieve-public-key.

    # Set the Public Key and its format.
    public_key = privateca_v1.PublicKey(
        key=public_key_bytes,
        format_=privateca_v1.PublicKey.KeyFormat.PEM,
    )

    subject_config = privateca_v1.CertificateConfig.SubjectConfig(
        subject=privateca_v1.Subject(common_name=common_name),
        subject_alt_name=privateca_v1.SubjectAltNames(dns_names=[domain_name]),
    )

    # Set the X.509 fields required for the certificate.
    x509_parameters = privateca_v1.X509Parameters(
        key_usage=privateca_v1.KeyUsage(
            base_key_usage=privateca_v1.KeyUsage.KeyUsageOptions(
                digital_signature=True,
                key_encipherment=True,
            ),
            extended_key_usage=privateca_v1.KeyUsage.ExtendedKeyUsageOptions(
                server_auth=True,
                client_auth=True,
            ),
        ),
    )

    # Create certificate.
    certificate = privateca_v1.Certificate(
        config=privateca_v1.CertificateConfig(
            public_key=public_key,
            subject_config=subject_config,
            x509_config=x509_parameters,
        ),
        lifetime=duration_pb2.Duration(seconds=certificate_lifetime),
    )

    # Create the Certificate Request.
    request = privateca_v1.CreateCertificateRequest(
        parent=caServiceClient.ca_pool_path(project_id, location, ca_pool_name),
        certificate_id=certificate_name,
        certificate=certificate,
        issuing_certificate_authority_id=ca_name,
    )
    result = caServiceClient.create_certificate(request=request)

    print("Certificate creation result:", result)

    3. Verifikasi sertifikat. Sertifikat Anda harus memiliki subjek yang berisi satu SAN URI. SAN yang membuktikan identitas memiliki format berikut:

      spiffe://IDENTITY_POOL_ID.PROJECT_NUMBER.global.workload.id.goog/subject/<oidc_subject_number>

      Ganti:

      • IDENTITY_POOL_ID: ID unik workload identity pool.
      • PROJECT_NUMBER - Nomor project dari project tempat Anda membuat workload identity pool.

Pembersihan

Agar tidak menimbulkan biaya pada Google Cloud akun Anda untuk resource CA Service yang Anda buat setelah mengikuti dokumen ini, lakukan operasi berikut menggunakan Google Cloud CLI:

  1. Hapus CA yang Anda buat.

    1. Nonaktifkan CA:

      gcloud privateca roots disable CA_ID --pool CA_POOL_ID  --location LOCATION

      Ganti:

      • CA_ID: ID unik CA.
      • CA_POOL_ID: ID unik CA pool.
      • LOCATION: Lokasi CA pool.

    2. Hapus CA:

      gcloud privateca roots delete CA_ID --pool CA_POOL_ID  --location LOCATION --ignore-active-certificates

      Ganti:

      • CA_ID: ID unik CA.
      • CA_POOL_ID: ID unik CA pool.
      • LOCATION: Lokasi CA pool.

  2. Hapus CA pool yang Anda buat.

    gcloud privateca pools delete CA_POOL_ID --location LOCATION

    Ganti:

    • CA_POOL_ID: ID unik CA pool.
    • LOCATION: Lokasi CA pool.

    Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools delete, lihat gcloud privateca pools delete.

  3. Hapus workload identity pool yang Anda buat:

    gcloud iam workload-identity-pools delete IDENTITY_POOL_ID --location global

    Ganti:

    • IDENTITY_POOL_ID: ID unik workload identity pool.

  4. Hapus akun layanan yang Anda buat:

    gcloud iam service-accounts delete SERVICE_ACCOUNT@PROJECT_ID.iam.gserviceaccount.com

    Ganti:

    • SERVICE_ACCOUNT: ID unik workload identity pool.
    • PROJECT_ID: Project yang memiliki akun layanan.

Peran IAM CA Service Workload Certificate Requester (privateca.workloadCertificateRequester) membatasi subjek sertifikat yang diterbitkan hanya untuk identitas pemohon. Pastikan pengguna atau workload yang menggunakan fitur refleksi identitas hanya diberi peran IAM CA Service Workload Certificate Requester (privateca.workloadCertificateRequester). Untuk mematuhi prinsip hak istimewa terendah, Anda dapat menghindari pemberian peran IAM CA Service Certificate Requester (privateca.certificateRequester).

Langkah berikutnya