Conceptos del Servicio de Autoridades de Certificación

En esta página se explican algunos de los conceptos clave del Servicio de Autoridades de Certificación (CA Service).

Recursos

El Servicio de Autoridades de Certificación consta de los siguientes recursos:

Grupo de autoridades de certificación

Un grupo de autoridades de certificación (grupo de AC) es el recurso principal del Servicio de Autoridades de Certificación. Un grupo de ACs es el contenedor de autoridades de certificación y certificados. Las condiciones de Gestión de Identidades y Accesos, las políticas de emisión y otras configuraciones se definen en el grupo de CAs. La emisión de certificados también se realiza a través del grupo de autoridades de certificación, que distribuye la carga de solicitudes de certificados entre las autoridades de certificación del grupo.

Autoridad de certificación

Un recurso de autoridad de certificación (CA) representa la autoridad de certificación individual que se usa para firmar certificados. En el Servicio de Autoridades de Certificación, puedes crear tanto ACs raíz como ACs subordinadas. La CA raíz tiene un certificado autofirmado y se encuentra en la parte superior de la cadena de certificados. En el caso de una CA subordinada, la entidad que firma el certificado de la CA puede ser otra CA creada en el servicio de CA o una CA externa. En este último caso, el servicio de AC genera una solicitud de firma de certificado (CSR) que debe firmar la AC externa. Para activar la nueva AC, puedes usar la CLI de Google Cloud o la Google Cloud consola subiendo la cadena de certificados firmada y codificada en PEM.

Certificado

Un certificado es un certificado X.509 firmado emitido por la autoridad de certificación.

Lista de revocación de certificados

Una lista de revocación de certificados (CRL) contiene los números de serie de los certificados que se han revocado y en los que ya no se debe confiar. Las CRLs son recursos en la nube anidados en las CAs, pero también se pueden publicar en codificaciones PEM o DER en un segmento de Cloud Storage con una URL basada en HTTP de acceso público.

Plantilla de certificado

Una plantilla de certificado es un recurso de nivel superior que define un escenario de emisión de certificados distinto. Los certificados emitidos con una plantilla de certificado heredan extensiones X.509 preconfiguradas, como las restricciones de uso de claves y de longitud de ruta, de la plantilla de certificado. Una plantilla de certificado te permite definir qué extensiones quieres conservar y cuáles quieres ignorar de una solicitud de certificado. Puede usar plantillas de certificado para definir restricciones de identidad y limitar las identidades de los certificados. Una plantilla de certificado se puede usar con uno o varios grupos de ACs.

Claves de firma de autoridad de certificación

El servicio de AC se configura automáticamente para usar Cloud Key Management Service con el fin de generar, almacenar y utilizar claves de firma de AC. En el servicio de AC, se usa una versión de clave de Cloud KMS para firmar certificados y CRLs. Puedes crear tu propia clave de Cloud KMS y, después, una AC que use esta clave. También puedes especificar el algoritmo de la clave de Cloud KMS que quieras usar para una AC. CA Service creará y configurará esta clave en tu nombre. Las claves de Cloud KMS pueden estar respaldadas por software o por hardware. Cuando el servicio de AC crea la clave en tu nombre, siempre crea una clave protegida por hardware.

Segmentos de Cloud Storage

Las autoridades de certificación creadas en el servicio de AC publican sus artefactos, como los certificados de AC y las listas de revocación de certificados, en un segmento de Cloud Storage en la misma ubicación que la AC implementada. Al igual que las claves de Cloud KMS, los segmentos de Cloud Storage pueden ser recursos gestionados por Google o por el cliente.

Nivel de CA

El nivel de una autoridad de certificación indica las funciones que admite y el SKU de facturación. El Servicio de Autoridades de Certificación ofrece los dos siguientes niveles de servicio operativos para cada grupo de autoridades de certificación creado:

  • DevOps: proporciona la emisión de certificados a una tasa o un rendimiento de emisión de certificados más altos, lo que resulta útil en situaciones de gran volumen. Los certificados emitidos por las AC de DevOps no se registran en la base de datos de AC y, por lo tanto, no se pueden revocar. Las autoridades de certificación de DevOps solo admiten claves de cifrado gestionadas y propiedad de Google. No admiten claves de Cloud KMS gestionadas por el cliente.
  • Empresa: proporciona un rendimiento de emisión de certificados más bajo, pero admite operaciones de CA, como el seguimiento y la revocación de certificados. De esta forma, las CAs de este nivel son más adecuadas para emitir certificados de larga duración. Las CAs empresariales admiten tanto las claves de firma de Cloud KMS gestionadas por el cliente como las claves de encriptado .

Controles de políticas

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir tu grupo de autoridades de certificación. Los controles de políticas son de dos tipos:

  • Controles de políticas generales, como las políticas de emisión. Una política de emisión de certificados define los tipos de certificados que pueden emitir las CAs del grupo de CAs. Por ejemplo, un usuario puede restringir que su grupo de ACs solo pueda emitir certificados que tengan los campos de uso de clave extendida correctos definidos para TLS de cliente y que no pueda emitir certificados de AC.
  • Controles de políticas detallados representados mediante plantillas que determinan las operaciones que puede realizar un usuario concreto en un grupo de ACs. Las plantillas de certificados se pueden usar junto con las condiciones de IAM para crear de forma eficaz diferentes controles de políticas para distintos usuarios en el mismo grupo de ACs.

Puede aplicar controles de políticas en el Servicio de Autoridades de Certificación de las siguientes formas:

  • Se añade una base para la emisión de certificados de todo un grupo de autoridades de certificación.
  • Usa plantillas reutilizables y parametrizadas para los casos habituales de emisión.
  • Aplicar un control pormenorizado sobre las vinculaciones de gestión de identidades y accesos con condiciones.
  • Simplificar el aprovisionamiento de certificados de carga de trabajo mediante el reflejo de la identidad.

Siguientes pasos