Conceptos de Certificate Authority Service

En esta página, se explican algunos de los conceptos clave del servicio de la AC (Certificate Authority Service).

Recursos

CA Service consta de los siguientes recursos:

Grupo de autoridades certificadoras

Un grupo de autoridades certificadoras (grupo de AC) es el recurso principal en de Google Cloud. Un grupo de AC es el contenedor del certificado autoridades y certificados de Google Cloud. Las condiciones de Identity and Access Management, las políticas de emisión y otros parámetros de configuración se establecen en el grupo de AC. La emisión de certificados también se realiza a través del grupo de AC, que distribuye la carga de solicitudes de certificado entre las AC del grupo.

Autoridad certificadora

Un recurso de autoridad certificadora (AC) representa al certificado individual autoridad que se usa para firmar certificados. En el servicio de AC, puedes crear AC raíz y AC subordinadas. La AC raíz tiene un certificado autofirmado y se encuentra en la parte superior de la cadena de certificados. En el caso de una AC subordinada, el firmante del certificado de la AC puede ser otra AC creada en el servicio de AC o una AC externa. En el último caso, el servicio de AC genera una solicitud de firma de certificado (CSR) que debe firmar la AC externa. Puedes usar Google Cloud CLI o la consola de Google Cloud para activar la nueva AC subiendo la cadena de certificados con codificación PEM firmada.

Certificado

Un certificado es un certificado X.509 firmado que emite el certificado autoridad.

Lista de revocación de certificados

Una lista de revocación de certificados (CRL) contiene los números de serie de los certificados que se revocaron y en los que ya no se debe confiar. Las CRL existen como un recurso de la nube anidado en las AC, pero también se pueden publicar en codificaciones PEM o DER en un bucket de Cloud Storage con una URL basada en HTTP de acceso público.

Plantilla de certificado

Una plantilla de certificado es un recurso de nivel superior que define una situación distinta de emisión de certificados. Los certificados emitidos con una plantilla de certificado héritan las extensiones X.509 preconfiguradas, como las restricciones de uso de claves y de la ruta de acceso, de la plantilla de certificado. Una plantilla de certificado te permite definir qué extensiones conservar y cuáles ignorar de una solicitud de certificado. Puedes usar plantillas de certificados para definir restricciones de identidad y limitar las identidades de los certificados. Una plantilla de certificado se puede usar con uno o más grupos de AC.

Claves de firma de la AC

El servicio de AC se configura automáticamente para usar Cloud Key Management Service para generar, almacenar y usar claves de firma de AC. En el servicio de AC, se usa una versión de clave de Cloud KMS para firmar certificados y CRL. Puedes crear tu propia clave de Cloud KMS y, luego, crear una AC que use esta clave. También puedes especificar el algoritmo de la clave de Cloud KMS que deseas usar para una AC, y el servicio de AC creará y configurará esta clave en tu nombre. Las claves de Cloud KMS pueden estar respaldadas por software o hardware. Cuando el servicio de AC crea la clave en tu nombre, siempre crea una clave respaldada por hardware.

Buckets de Cloud Storage

Las AC creadas en el servicio de AC publican sus artefactos, como los certificados de AC y las CRL, en un bucket de Cloud Storage en la misma ubicación que la AC implementada. Al igual que las claves de Cloud KMS, los buckets de Cloud Storage pueden ser un recurso administrado por Google o un recurso administrado por el cliente.

Nivel de AC

El nivel de una autoridad certificadora indica sus funciones compatibles y de facturación de Google Cloud. CA Service proporciona los siguientes dos controles Niveles de servicio para cada grupo de AC creado:

  • DevOps: Proporciona la emisión de certificados a una tasa o capacidad de procesamiento más alta, lo que es útil en situaciones de gran volumen. No se realiza un seguimiento de los certificados emitidos por las AC de DevOps en la base de datos de la AC y, por lo tanto, no se pueden revocar. Las AC de DevOps solo admiten claves que son propiedad de Google y están administradas por Google. No admiten claves de Cloud KMS administradas por el cliente.
  • Empresarial: Proporciona una capacidad de procesamiento de emisión de certificados más baja, pero admite operaciones de AC, como el seguimiento y la revocación de certificados. Esto hace que las AC de este nivel es más adecuado para la emisión de certificados de larga duración. AC empresariales admiten claves de firma de Cloud KMS administradas por el cliente y claves de Google y de Google.

Controles de política

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir tu grupo de AC. Los controles de políticas son de uno de los siguientes dos tipos:

  • Controles de políticas de alto nivel, como las políticas de emisión Una emisión de certificados define los tipos de certificados que pueden emitir las AC en ese grupo de AC. Por ejemplo, un usuario podría restringir que su grupo de AC solo pueda emitir certificados. que tengan configurados los campos de uso de claves extendidos correctos para TLS del cliente y que no puede emitir certificados de la AC.
  • Controles de políticas detallados representados con plantillas que determinan la que un usuario específico puede realizar en un grupo de AC. Plantillas de certificado puede usarse junto con las condiciones de IAM para Crear diferentes controles de políticas para diferentes usuarios en el mismo grupo de AC.

Puedes aplicar controles de políticas en CA Service de las siguientes maneras:

  • Agregar un modelo de referencia para la emisión de certificados de un grupo de AC completo
  • Usar plantillas reutilizables y parametrizadas para situaciones de emisión comunes
  • Aplicar un control detallado sobre las vinculaciones de IAM con condiciones
  • Simplificar el aprovisionamiento de certificados de la carga de trabajo con reflexión sobre la identidad.

¿Qué sigue?