Konzepte von Certificate Authority Service

Auf dieser Seite werden einige der Schlüsselkonzepte von Certificate Authority Service (CA Service) erläutert.

Ressourcen

CA Service besteht aus den folgenden Ressourcen:

Certificate Authority-Pool

Ein Zertifizierungsstellenpool (CA-Pool) ist die primäre Ressource im CA-Dienst. Ein CA-Pool ist der Container für Zertifizierungsstellen und Zertifikate. Bedingungen von Identity and Access Management, Ausstellungsrichtlinien und andere Konfigurationen werden im Zertifizierungsstellenpool festgelegt. Die Zertifikatsausstellung erfolgt auch über den CA-Pool, der die Last der Zertifikatsanfrage auf die CAs im CA-Pool verteilt.

Zertifizierungsstelle

Eine CA-Ressource stellt die einzelne Zertifizierungsstelle dar, die zum Signieren von Zertifikaten verwendet wird. In CA Service können Sie sowohl Stamm-CAs als auch untergeordnete CAs erstellen. Die Stammzertifizierungsstelle hat ein selbst signiertes Zertifikat und befindet sich an der Spitze der Zertifikatskette. Bei einer untergeordneten Zertifizierungsstelle kann der Unterzeichner des CA-Zertifikats entweder eine andere im CA-Dienst erstellte Zertifizierungsstelle oder eine externe Zertifizierungsstelle sein. In letzterem Fall generiert CA Service eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR), die von der externen Zertifizierungsstelle signiert werden muss. Sie können entweder die Google Cloud CLI oder die Google Cloud Console verwenden, um die neue Zertifizierungsstelle zu aktivieren. Laden Sie dazu die signierte PEM-codierte Zertifikatskette hoch.

Zertifikat

Ein Zertifikat ist ein signiertes X.509-Zertifikat, das von der Zertifizierungsstelle ausgestellt wurde.

Zertifikatssperrliste

Eine Zertifikatssperrliste (Certificate Revocation List, CRL) enthält die Seriennummern von aufgehobenen Zertifikaten, die nicht mehr vertrauenswürdig sind. CRLs existieren als Cloudressource, die unter Zertifizierungsstellen verschachtelt ist. Sie können aber auch in PEM- oder DER-Codierungen in einem Cloud Storage-Bucket mit einer öffentlich zugänglichen HTTP-basierten URL veröffentlicht werden.

Zertifikatsvorlage

Eine Zertifikatsvorlage ist eine übergeordnete Ressource, die ein spezielles Szenario der Zertifikatsausstellung definiert. Zertifikate, die mit einer Zertifikatsvorlage ausgestellt werden, übernehmen vorkonfigurierte X.509-Erweiterungen wie Schlüsselnutzungs- und Pfadlängenbeschränkungen aus der Zertifikatsvorlage. Mit einer Zertifikatsvorlage können Sie definieren, welche Erweiterungen beibehalten werden sollen und welche bei einer Zertifikatsanfrage ignoriert werden sollen. Mithilfe von Zertifikatsvorlagen können Sie Identitätseinschränkungen definieren und so die Zertifikatsidentitäten einschränken. Eine Zertifikatsvorlage kann mit einem oder mehreren Zertifizierungsstellenpools verwendet werden.

CA-Signaturschlüssel

CA Service wird automatisch so konfiguriert, dass der Cloud Key Management Service zum Generieren, Speichern und Verwenden von CA-Signaturschlüsseln verwendet wird. Im CA-Dienst wird eine Cloud KMS-Schlüsselversion verwendet, um Zertifikate und Zertifikatssperrlisten zu signieren. Sie können Ihren eigenen Cloud KMS-Schlüssel erstellen und anschließend eine Zertifizierungsstelle erstellen, die diesen Schlüssel verwendet. Sie können auch den Algorithmus des Cloud KMS-Schlüssels angeben, den Sie für eine Zertifizierungsstelle verwenden möchten. Der CA-Dienst erstellt und konfiguriert diesen Schlüssel dann in Ihrem Namen. Cloud KMS-Schlüssel können entweder software- oder hardwaregestützte Schlüssel sein. Wenn CA Service den Schlüssel für Sie erstellt, wird immer ein hardwaregestützter Schlüssel erstellt.

Cloud Storage-Buckets

In CA Service erstellte CAs veröffentlichen ihre Artefakte wie CA-Zertifikate und Zertifikatssperrlisten in einem Cloud Storage-Bucket am selben Standort wie die bereitgestellte Zertifizierungsstelle. Ähnlich wie die Cloud KMS-Schlüssel können die Cloud Storage-Buckets entweder eine von Google oder vom Kunden verwaltete Ressource sein.

Zertifizierungsstufe

Die Stufe einer Zertifizierungsstelle gibt die unterstützten Funktionen und die Artikelnummer für die Abrechnung an. CA Service bietet für jeden erstellten CA-Pool die folgenden zwei operativen Dienststufen:

  • DevOps: Ermöglicht die Ausstellung von Zertifikaten mit einer höheren Rate oder einem höheren Durchsatz, was bei großen Datenmengen hilfreich ist. Von DevOps-CAs ausgestellte Zertifikate werden in der CA-Datenbank nicht verfolgt und können daher nicht widerrufen werden. DevOps-CAs unterstützen nur von Google verwaltete Schlüssel. Sie unterstützen keine vom Kunden verwalteten Cloud KMS-Schlüssel.
  • Enterprise: Bietet einen geringeren Durchsatz bei der Zertifikatsausstellung, unterstützt aber CA-Vorgänge wie das Verfolgen von Zertifikaten und das Widerrufen von Zertifikaten. Dadurch eignen sich die Zertifizierungsstellen in dieser Stufe besser für die langlebige Zertifikatsausstellung. Unternehmens-CAs unterstützen sowohl vom Kunden verwaltete Cloud KMS-Signaturschlüssel als auch von Google verwaltete Schlüssel.

Richtlinieneinstellungen

Mit Richtliniensteuerelementen können Sie steuern, welche Art von Zertifikaten Ihr CA-Pool ausstellen kann. Es gibt zwei Arten von Richtlinien:

  • Grob detaillierte Richtlinienkontrollen wie Ausstellungsrichtlinien In einer Richtlinie zur Zertifikatsausstellung werden die Zertifikatstypen definiert, die die Zertifizierungsstellen in diesem CA-Pool ausstellen können. Beispielsweise kann ein Nutzer einschränken, dass sein CA-Pool nur Zertifikate ausstellen kann, bei denen die richtigen Felder für die erweiterte Schlüsselverwendung für Client-TLS festgelegt sind, und dass er keine CA-Zertifikate ausstellen kann.
  • Detaillierte Richtliniensteuerungen, die mithilfe von Vorlagen dargestellt werden, die die Vorgänge bestimmen, die ein bestimmter Nutzer für einen Zertifizierungsstellenpool ausführen kann. Zertifikatsvorlagen können in Verbindung mit IAM-Bedingungen verwendet werden, um effektiv verschiedene Richtlinienkontrollen für verschiedene Nutzer im selben Zertifizierungsstellenpool zu erstellen.

Sie können Richtlinienkontrollen in CA Service auf folgende Arten erzwingen:

  • Referenz für die Zertifikatsausstellung aus einem gesamten Zertifizierungsstellenpool hinzufügen.
  • Wiederverwendbare und parametrisierte Vorlagen für gängige Ausstellungsszenarien verwenden
  • Detaillierte Kontrolle über IAM-Bindungen mit Bedingungen erzwingen.
  • Bereitstellung von Arbeitslastzertifikaten durch Identitätsreflexion vereinfachen

Nächste Schritte