Konzepte für den Certificate Authority Service

Auf dieser Seite werden einige der wichtigsten Konzepte des Certificate Authority Service (CA-Dienstes) erläutert.

Ressourcen

CA Service besteht aus den folgenden Ressourcen:

Zertifizierungsstellenpool

Ein Zertifizierungsstellenpool (CA-Pool) ist die primäre Ressource im CA Service. Ein CA-Pool ist der Container für Zertifizierungsstellen und Zertifikate. Bedingungen für die Identitäts- und Zugriffsverwaltung, Richtlinien für die Ausstellung und andere Konfigurationen werden für den Zertifizierungsstellenpool festgelegt. Die Zertifikatsausstellung erfolgt auch über den CA-Pool, der die Auslastung der Zertifikatsanfragen auf die CAs im CA-Pool verteilt.

Zertifizierungsstelle

Eine Zertifizierungsstelle (Certificate Authority, CA) ist eine Ressource, die die einzelne Zertifizierungsstelle darstellt, die zum Signieren von Zertifikaten verwendet wird. In CA Service können Sie sowohl Stamm-CAs als auch untergeordnete CAs erstellen. Die Stamm-CA hat ein selbst signiertes Zertifikat und steht an der Spitze der Zertifikatskette. Bei einer untergeordneten Zertifizierungsstelle kann der Unterzeichner des CA-Zertifikats entweder eine andere in CA Service erstellte Zertifizierungsstelle oder eine externe Zertifizierungsstelle sein. Im letzteren Fall generiert der CA-Dienst eine Zertifikatsignierungsanfrage (Certificate Signing Request, CSR), die von der externen Zertifizierungsstelle signiert werden muss. Sie können die neue Zertifizierungsstelle entweder über die Google Cloud CLI oder die Google Cloud Console aktivieren, indem Sie die signierte PEM-codierte Zertifikatskette hochladen.

Zertifikat

Ein Zertifikat ist ein signiertes X.509-Zertifikat, das von der Zertifizierungsstelle ausgestellt wurde.

Zertifikatssperrliste

Eine Zertifikatssperrliste (Certificate Revocation List, CRL) enthält die Seriennummern von Zertifikaten, die widerrufen wurden und nicht mehr als vertrauenswürdig eingestuft werden sollten. CRLs sind als Cloud-Ressourcen vorhanden, die unter Zertifizierungsstellen verschachtelt sind. Sie können aber auch in PEM- oder DER-Codierungen in einem Cloud Storage-Bucket mit einer öffentlich zugänglichen HTTP-basierten URL veröffentlicht werden.

Zertifikatsvorlage

Eine Zertifikatsvorlage ist eine übergeordnete Ressource, die ein bestimmtes Zertifikatsausstellungsszenario definiert. Von einer Zertifikatsvorlage ausgestellte Zertifikate übernehmen vorkonfigurierte X.509-Erweiterungen wie Einschränkungen für die Schlüsselverwendung und Pfadlänge von der Zertifikatsvorlage. Mit einer Zertifikatsvorlage können Sie festlegen, welche Erweiterungen aus einer Zertifikatsanfrage beibehalten und welche ignoriert werden sollen. Mit Zertifikatsvorlagen können Sie Identitätseinschränkungen definieren, um Zertifikatsidentitäten einzuschränken. Eine Zertifikatsvorlage kann mit einem oder mehreren CA-Pools verwendet werden.

CA-Signaturschlüssel

Der Zertifizierungsstellendienst ist automatisch so konfiguriert, dass der Cloud Key Management Service zum Generieren, Speichern und Verwenden von Signaturschlüsseln der Zertifizierungsstelle verwendet wird. Im CA Service wird eine Cloud KMS-Schlüsselversion zum Signieren von Zertifikaten und CRLs verwendet. Sie können Ihren eigenen Cloud KMS-Schlüssel erstellen und anschließend eine Zertifizierungsstelle erstellen, die diesen Schlüssel verwendet. Sie können auch den Algorithmus des Cloud KMS-Schlüssels angeben, den Sie für eine Zertifizierungsstelle verwenden möchten. Der CA-Dienst erstellt und konfiguriert diesen Schlüssel dann in Ihrem Namen. Cloud KMS-Schlüssel können entweder software- oder hardwaregestützt sein. Wenn der CA-Dienst den Schlüssel in Ihrem Namen erstellt, wird immer ein hardwaregestützter Schlüssel erstellt.

Cloud Storage-Buckets

Im CA Service erstellte Zertifizierungsstellen veröffentlichen ihre Artefakte wie CA-Zertifikate und CRLs in einem Cloud Storage-Bucket am selben Speicherort wie die bereitgestellte Zertifizierungsstelle. Ähnlich wie bei Cloud KMS-Schlüsseln können Cloud Storage-Buckets entweder eine von Google verwaltete oder eine vom Kunden verwaltete Ressource sein.

Zertifizierungsstelle

Die Stufe einer Zertifizierungsstelle gibt Aufschluss über die unterstützten Funktionen und die Abrechnungs-SKU. Der CA Service bietet für jeden erstellten CA-Pool die folgenden zwei Betriebsstufen:

  • DevOps: Ermöglicht die Ausstellung von Zertifikaten mit einer höheren Ausstellungsrate oder einem höheren Durchsatz, was bei Szenarien mit hohem Volumen hilfreich ist. Von DevOps-Zertifizierungsstellen ausgestellte Zertifikate werden nicht in der CA-Datenbank erfasst und können daher nicht widerrufen werden. DevOps-Zertifizierungsstellen unterstützen nur Verschlüsselungsschlüssel, die von Google verwaltet werden und auf Google Cloud basieren. Sie unterstützen keine vom Kunden verwalteten Cloud KMS-Schlüssel.
  • Enterprise: Bietet einen geringeren Durchsatz bei der Zertifikatsausstellung, unterstützt aber CA-Vorgänge wie das Überwachen und Widerrufen von Zertifikaten. Dadurch sind die Zertifizierungsstellen in dieser Ebene besser für die Ausstellung langlebiger Zertifikate geeignet. Enterprise-Zertifizierungsstellen unterstützen sowohl kundenseitig verwaltete Cloud KMS-Signaturschlüssel als auch Verschlüsselungsschlüssel, die von Google verwaltet werden und auf Google Cloud basieren.

Richtlinieneinstellungen

Mit Richtliniensteuerungen können Sie die Art der Zertifikate steuern, die Ihr CA-Pool ausstellen kann. Es gibt zwei Arten von Richtlinienkontrollen:

  • Grobkörnige Richtliniensteuerungen wie Richtlinien zur Ausstellung Eine Richtlinie für die Zertifikatsausstellung definiert die Arten von Zertifikaten, die die Zertifizierungsstellen in diesem CA-Pool ausstellen können. Ein Nutzer kann beispielsweise festlegen, dass sein CA-Pool nur Zertifikate ausstellen darf, für die die richtigen Felder für die erweiterte Schlüsselverwendung für Client-TLS festgelegt sind, und dass keine CA-Zertifikate ausgestellt werden dürfen.
  • Detaillierte Richtliniensteuerungen, die mithilfe von Vorlagen dargestellt werden und die Aktionen bestimmen, die ein bestimmter Nutzer auf einem CA-Pool ausführen kann. Zertifikatvorlagen können in Verbindung mit IAM-Bedingungen verwendet werden, um effektiv unterschiedliche Richtliniensteuerungen für verschiedene Nutzer im selben Zertifizierungsstellenpool zu erstellen.

Sie können Richtliniensteuerungen in CA Service auf folgende Weise erzwingen:

  • Hinzufügen einer Baseline für die Zertifikatsausstellung aus einem gesamten CA-Pool
  • Wiederverwendbare und parametrisierte Vorlagen für gängige Ausstellungsszenarien verwenden
  • Detaillierte Steuerung von IAM-Bindungen mit Bedingungen erzwingen
  • Vereinfachte Bereitstellung von Arbeitslastzertifikaten mithilfe der Identitätsreflexion

Nächste Schritte