Konzepte für den Certificate Authority Service
Auf dieser Seite werden einige der wichtigsten Konzepte von Certificate Authority Service (CA Service) erläutert.
Ressourcen
CA Service besteht aus den folgenden Ressourcen:
Zertifizierungsstellenpool
Ein Zertifizierungsstellenpool (CA-Pool) ist die primäre Ressource im CA Service. Ein CA-Pool ist der Container für Zertifizierungsstellen und Zertifikate. Identity and Access Management Bedingungen, Ausstellungsrichtlinien und andere Konfigurationen für den Zertifizierungsstellenpool festgelegt werden. Die Zertifikatsausstellung erfolgt auch über den CA-Pool, der das Zertifikat verteilt Anfragelast für die Zertifizierungsstellen im Zertifizierungsstellenpool an.
Zertifizierungsstelle
Die Ressource einer Zertifizierungsstelle steht für das individuelle Zertifikat. Zertifizierungsstelle, die zum Signieren von Zertifikaten verwendet wird. In CA Service können sowohl Stamm-CAs als auch untergeordnete Zertifizierungsstellen erstellen. Die Stamm-CA hat ein selbst signiertes Zertifikat und steht an der Spitze der Zertifikatskette. Bei einer untergeordneten Zertifizierungsstelle kann der Unterzeichner des CA-Zertifikats entweder eine andere in CA Service erstellte Zertifizierungsstelle oder eine externe Zertifizierungsstelle sein. Im letzteren Fall generiert der CA-Dienst eine Zertifikatsignierungsanfrage (Certificate Signing Request, CSR), die von der externen Zertifizierungsstelle signiert werden muss. Sie können die neue Zertifizierungsstelle entweder über die Google Cloud CLI oder die Google Cloud Console aktivieren, indem Sie die signierte PEM-codierte Zertifikatskette hochladen.
Zertifikat
Ein Zertifikat ist ein signiertes X.509-Zertifikat, das von dem Zertifikat ausgestellt wurde. Befugnis.
Zertifikatssperrliste
Eine Zertifikatssperrliste (Certificate Revocation List, CRL) enthält die Seriennummern von Zertifikaten. die widerrufen wurden und nicht mehr vertrauenswürdig sind. Zertifikatssperrlisten sind als Cloud verfügbar Ressource unter CAs verschachtelt, kann aber auch in PEM- oder DER-Codierungen in einem Cloud Storage-Bucket mit einer öffentlich zugänglichen HTTP-basierten URL.
Zertifikatsvorlage
Eine Zertifikatvorlage ist eine übergeordnete Ressource, die ein bestimmtes Zertifikatausstellungsszenario definiert. Von einer Zertifikatsvorlage ausgestellte Zertifikate übernehmen vorkonfigurierte X.509-Erweiterungen wie Einschränkungen für die Schlüsselverwendung und Pfadlänge von der Zertifikatsvorlage. Mit einer Zertifikatsvorlage können Sie festlegen, welche Erweiterungen aus einer Zertifikatsanfrage beibehalten und welche ignoriert werden sollen. Mit Zertifikatsvorlagen können Sie Identitätsbeschränkungen für Zertifikatsidentitäten einschränken. Eine Zertifikatsvorlage kann mit einem oder mehreren CA-Pools verwendet werden.
CA-Signaturschlüssel
CA Service wird automatisch für die Verwendung des Cloud Key Management Service konfiguriert zum Generieren, Speichern und Verwenden von CA-Signaturschlüsseln. Im CA Service wird eine Cloud KMS-Schlüsselversion zum Signieren von Zertifikaten und CRLs verwendet. Sie können Ihren eigenen Cloud KMS-Schlüssel erstellen und anschließend eine Zertifizierungsstelle erstellen, die diesen Schlüssel verwendet. Oder Sie den Algorithmus des Cloud KMS-Schlüssels angeben, den Sie für eine Zertifizierungsstelle verwenden möchten, Der Zertifizierungsstellendienst erstellt und konfiguriert diesen Schlüssel in Ihrem Namen. Cloud KMS-Schlüssel können entweder software- oder hardwaregestützt sein. Wenn der CA-Dienst den Schlüssel in Ihrem Namen erstellt, wird immer ein hardwaregestützter Schlüssel erstellt.
Cloud Storage-Buckets
In CA Service erstellte Zertifizierungsstellen veröffentlichen ihre Artefakte, z. B. CA-Zertifikate und Zertifikatssperrlisten in einem Cloud Storage-Bucket, der sich am selben Standort wie die bereitgestellte Zertifizierungsstelle befindet. Ähnlich wie die Cloud KMS-Schlüssel können die Cloud Storage-Buckets entweder Eine von Google oder eine vom Kunden verwaltete Ressource.
Zertifizierungsstellenstufe
Die Stufe einer Zertifizierungsstelle gibt an, welche Funktionen und Abrechnungs-SKU. CA Service stellt die folgenden beiden operativen Dienststufen für jeden erstellten Zertifizierungsstellenpool:
- DevOps: Ermöglicht die Ausstellung von Zertifikaten mit einer höheren Ausstellungsrate oder einem höheren Durchsatz, was bei Szenarien mit hohem Volumen hilfreich ist. Von DevOps-CAs ausgestellte Zertifikate werden in der CA-Datenbank nicht verfolgt und können folglich nicht widerrufen werden. DevOps-Zertifizierungsstellen unterstützen nur von Google gehörende und von Google verwaltete Schlüssel. Sie unterstützen keine vom Kunden verwalteten Cloud KMS-Schlüssel.
- Enterprise: Bietet einen geringeren Durchsatz bei der Zertifikatausstellung, unterstützt aber CA-Vorgänge wie das Überwachen und Widerrufen von Zertifikaten. Dadurch werden die Zertifizierungsstellen dieser Stufe besser für die Ausstellung langlebiger Zertifikate geeignet. Enterprise-Zertifizierungsstellen unterstützen sowohl vom Kunden verwaltete Cloud KMS-Signaturschlüssel als auch von Google und von Google verwaltete Schlüssel.
Richtlinieneinstellungen
Mit Richtlinieneinstellungen können Sie festlegen, welche Arten von Zertifikaten der CA-Pool verwenden darf Problem. Es gibt zwei Arten von Richtlinienkontrollen:
- Undifferenzierte Richtlinienkontrollen wie Ausstellungsrichtlinien Eine Richtlinie für die Zertifikatsausstellung definiert die Arten von Zertifikaten, die die Zertifizierungsstellen in diesem CA-Pool ausstellen können. Beispielsweise könnte ein Nutzer einschränken, dass sein CA-Pool nur Zertifikate ausstellen kann. in denen die korrekten Felder für die erweiterte Schlüsselverwendung für Client-TLS festgelegt sind können keine CA-Zertifikate ausstellen.
- Detaillierte Richtlinienkontrollen mithilfe von Vorlagen, die die Vorgänge, die ein bestimmter Nutzer für einen Zertifizierungsstellenpool ausführen kann. Zertifikatvorlagen können in Verbindung mit IAM-Bedingungen verwendet werden, um effektiv unterschiedliche Richtliniensteuerungen für verschiedene Nutzer im selben Zertifizierungsstellenpool zu erstellen.
Sie können Richtliniensteuerungen in CA Service auf folgende Arten erzwingen:
- Hinzufügen einer Baseline für die Zertifikatsausstellung aus einem gesamten CA-Pool
- Wiederverwendbare und parametrisierte Vorlagen für gängige Ausstellungsszenarien verwenden.
- Detaillierte Steuerung von IAM-Bindungen mit Bedingungen erzwingen
- Vereinfachte Bereitstellung von Zertifikaten für Arbeitslasten mithilfe von Identitätsreflexion