Certificate Authority Service-Konzepte

Auf dieser Seite werden einige der wichtigsten Konzepte von Certificate Authority Service (CA Service) erläutert.

Ressourcen

CA Service besteht aus den folgenden Ressourcen:

Zertifizierungsstellenpool

Ein Zertifizierungsstellenpool (CA-Pool) ist die primäre Ressource im CA-Dienst. Ein CA-Pool ist der Container für Zertifizierungsstellen und Zertifikate. Für den Zertifizierungsstellenpool werden Bedingungen von Identity and Access Management, Ausstellungsrichtlinien und andere Konfigurationen festgelegt. Die Zertifikatsausstellung erfolgt auch über den CA-Pool, der die Last der Zertifikatsanfrage auf die Zertifizierungsstellen im CA-Pool verteilt.

Zertifizierungsstelle

Die Ressource einer Zertifizierungsstelle steht für eine individuelle Zertifizierungsstelle, die zum Signieren von Zertifikaten verwendet wird. In CA Service können Sie sowohl Stamm-CAs als auch untergeordnete Zertifizierungsstellen erstellen. Die Stammzertifizierungsstelle hat ein selbst signiertes Zertifikat und befindet sich an der Spitze der Zertifikatskette. Bei einer untergeordneten Zertifizierungsstelle kann der Unterzeichner des Zertifikats der Zertifizierungsstelle entweder eine andere Zertifizierungsstelle sein, die im CA-Dienst oder eine externe Zertifizierungsstelle erstellt wurde. In letzterem Fall generiert CA Service eine Anfrage zur Signierung des Zertifikats (Certificate Signing Request, CSR), die von der externen Zertifizierungsstelle signiert werden muss. Sie können entweder die Google Cloud CLI oder die Google Cloud Console verwenden, um die neue Zertifizierungsstelle zu aktivieren. Laden Sie dazu die signierte PEM-codierte Zertifikatskette hoch.

Zertifikat

Ein Zertifikat ist ein signiertes X.509-Zertifikat, das von der Zertifizierungsstelle ausgestellt wurde.

Zertifikatssperrliste

Eine Zertifikatssperrliste (Certificate Revocation List, CRL) enthält die Seriennummern von Zertifikaten, die widerrufen wurden und nicht mehr vertrauenswürdig sind. CRLs sind eine unter CAs verschachtelt Cloudressource. Sie können sie aber auch in PEM- oder DER-Codierungen in einem Cloud Storage-Bucket mit einer öffentlich zugänglichen HTTP-basierten URL veröffentlichen.

Zertifikatsvorlage

Eine Zertifikatsvorlage ist eine Ressource der obersten Ebene, die ein bestimmtes Szenario für die Zertifikatsausstellung definiert. Zertifikate, die mit einer Zertifikatsvorlage ausgestellt werden, übernehmen vorkonfigurierte X.509-Erweiterungen wie Schlüsselnutzung und Einschränkungen der Pfadlänge aus der Zertifikatsvorlage. Mit einer Zertifikatsvorlage können Sie definieren, welche Erweiterungen beibehalten und welche bei einer Zertifikatsanfrage ignoriert werden sollen. Sie können Zertifikatsvorlagen verwenden, um Identitätsbeschränkungen zu definieren, um Zertifikatsidentitäten einzuschränken. Eine Zertifikatsvorlage kann mit einem oder mehreren CA-Pools verwendet werden.

CA-Signaturschlüssel

CA Service ist automatisch so konfiguriert, dass Cloud Key Management Service zum Generieren, Speichern und Verwenden von CA-Signaturschlüsseln verwendet wird. In CA Service wird eine Cloud KMS-Schlüsselversion zum Signieren von Zertifikaten und Zertifikatssperrlisten verwendet. Sie können Ihren eigenen Cloud KMS-Schlüssel erstellen und anschließend eine Zertifizierungsstelle erstellen, die diesen Schlüssel verwendet. Alternativ können Sie den Algorithmus des Cloud KMS-Schlüssels angeben, den Sie für eine Zertifizierungsstelle verwenden möchten. Der Zertifizierungsstellendienst erstellt und konfiguriert diesen Schlüssel dann für Sie. Cloud KMS-Schlüssel können entweder software- oder hardwaregestützt sein. Wenn CA Service den Schlüssel für Sie erstellt, wird immer ein hardwarebasierter Schlüssel erstellt.

Cloud Storage-Buckets

In CA Service erstellte Zertifizierungsstellen veröffentlichen ihre Artefakte wie CA-Zertifikate und CRLs in einem Cloud Storage-Bucket am selben Speicherort wie die bereitgestellte Zertifizierungsstelle. Ähnlich wie die Cloud KMS-Schlüssel können die Cloud Storage-Buckets entweder eine von Google oder eine vom Kunden verwaltete Ressource sein.

Zertifizierungsstellenstufe

Die Stufe einer Zertifizierungsstelle gibt die unterstützten Funktionen und die Abrechnungs-SKU an. CA Service bietet die folgenden zwei operativen Dienststufen für jeden erstellten Zertifizierungsstellenpool:

  • DevOps: Bietet die Ausstellung von Zertifikaten mit einer höheren Zertifikatsausstellungsrate oder einem höheren Durchsatz, was in Szenarien mit hohem Volumen hilfreich ist. Von DevOps-CAs ausgestellte Zertifikate werden in der CA-Datenbank nicht verfolgt und können daher nicht widerrufen werden. DevOps-CAs unterstützen nur Google-eigene und von Google verwaltete Schlüssel. Sie unterstützen keine vom Kunden verwalteten Cloud KMS-Schlüssel.
  • Enterprise: Bietet einen niedrigeren Durchsatz für die Zertifikatsausstellung, unterstützt aber CA-Vorgänge wie das Verfolgen von Zertifikaten und das Widerrufen von Zertifikaten. Dadurch sind die Zertifizierungsstellen in dieser Stufe besser für die Ausstellung langlebiger Zertifikate geeignet. Enterprise-Zertifizierungsstellen unterstützen sowohl vom Kunden verwaltete Cloud KMS-Signaturschlüssel als auch von Google selbst verwaltete Schlüssel.

Richtlinieneinstellungen

Mit Richtliniensteuerungen können Sie die Art der Zertifikate steuern, die Ihr CA-Pool ausstellen kann. Es gibt zwei Arten von Richtlinienkontrollen:

  • Undifferenzierte Richtlinienkontrollen wie Ausstellungsrichtlinien In einer Richtlinie für die Zertifikatsausstellung sind die Arten von Zertifikaten definiert, die die Zertifizierungsstellen in diesem CA-Pool ausstellen können. Ein Nutzer könnte beispielsweise einschränken, dass sein CA-Pool nur Zertifikate ausstellen kann, in denen die korrekten Felder für die erweiterte Schlüsselverwendung für Client-TLS festgelegt sind, und dass er keine CA-Zertifikate ausstellen kann.
  • Detaillierte Richtliniensteuerung mithilfe von Vorlagen, die die Vorgänge festlegen, die ein bestimmter Nutzer in einem Zertifizierungsstellenpool ausführen kann. Zertifikatsvorlagen können in Verbindung mit IAM-Bedingungen verwendet werden, um effektiv unterschiedliche Richtlinieneinstellungen für verschiedene Nutzer im selben Zertifizierungsstellenpool zu erstellen.

Sie können Richtlinienkontrollen in CA Service auf folgende Arten erzwingen:

  • Referenz für die Zertifikatsausstellung aus einem gesamten CA-Pool hinzufügen.
  • Wiederverwendbare und parametrisierte Vorlagen für gängige Ausstellungsszenarien verwenden.
  • Detaillierte Kontrolle über IAM-Bindungen mit Bedingungen erzwingen.
  • Bereitstellung von Arbeitslastzertifikaten durch Identitätsreflexion vereinfachen

Nächste Schritte