Conceptos de Certificate Authority Service

En esta página, se explican algunos de los conceptos clave del Certificate Authority Service (Servicio de CA).

Recursos

CA Service consta de los siguientes recursos:

Grupo de autoridades certificadoras

Un grupo de autoridades certificadoras (grupo de AC) es el recurso principal en el servicio de CA. Un grupo de AC es el contenedor de las autoridades certificadoras y los certificados. Las condiciones de Identity and Access Management, las políticas de emisión y otros parámetros de configuración se establecen en el grupo de AC. La emisión de certificados también se realiza a través del grupo de AC, que distribuye la carga de solicitud de certificado en todas las AC del grupo de AC.

Autoridad certificadora

Un recurso de autoridad certificadora (AC) representa a la autoridad certificadora individual que se usa para firmar certificados. En CA Service, puedes crear AC raíz y AC subordinadas. La AC raíz tiene un certificado autofirmado y está en la parte superior de la cadena de certificados. En el caso de una AC subordinada, el firmante del certificado de la AC puede ser otra AC creada en el servicio de AC o una AC externa. En el último caso, el servicio de CA genera una solicitud de firma de certificado (CSR) que debe firmar la AC externa. Puedes usar Google Cloud CLI o la consola de Google Cloud para activar la AC nueva. Para ello, sube la cadena de certificados con codificación PEM firmada.

Certificado

Un certificado es un certificado X.509 firmado que emite la autoridad certificadora.

Lista de revocación de certificados

Una lista de revocación de certificados (CRL) contiene los números de serie de certificados que se revocaron y ya no son de confianza. Las CRL existen como un recurso en la nube anidado en las AC, pero también se pueden publicar con codificaciones PEM o DER en un bucket de Cloud Storage con una URL basada en HTTP de acceso público.

Plantilla de certificado

Una plantilla de certificado es un recurso de nivel superior que define una situación distinta de emisión de certificados. Los certificados emitidos con una plantilla de certificado heredan extensiones X.509 preconfiguradas, como el uso de la clave y las restricciones de ruta de acceso de la plantilla de certificado. Una plantilla de certificado te permite definir qué extensiones conservar y cuáles ignorar de una solicitud de certificado. Puedes usar plantillas de certificado para definir restricciones de identidad a fin de limitar las identidades de certificado. Se puede usar una plantilla de certificado con uno o más grupos de AC.

Claves de firma de la AC

CA Service se configura automáticamente para usar Cloud Key Management Service a fin de generar, almacenar y utilizar claves de firma de CA. En el servicio de CA, se usa una versión de clave de Cloud KMS para firmar certificados y CRL. Puedes crear tu propia clave de Cloud KMS y, luego, crear una AC que use esta clave. También puedes especificar el algoritmo de la clave de Cloud KMS que deseas usar para una AC, y el servicio de CA creará y configurará esta clave por ti. Las claves de Cloud KMS pueden estar respaldadas por software o hardware. Cuando CA Service crea la clave en tu nombre, siempre crea una clave guardada en hardware.

Buckets de Cloud Storage

Las AC creadas en el servicio de CA publican sus artefactos, como los certificados de la AC y las CRL, en un bucket de Cloud Storage en la misma ubicación que la AC implementada. Al igual que las claves de Cloud KMS, los buckets de Cloud Storage pueden ser un recurso administrado por Google o por el cliente.

Nivel de la AC

El nivel de una autoridad certificadora indica sus funciones compatibles y el SKU de facturación. CA Service proporciona los siguientes dos niveles de servicio operativo para cada grupo de AC creado:

  • DevOps: Proporciona la emisión de certificados a una tasa de emisión de certificados o una capacidad de procesamiento más altas, lo que es útil en situaciones de gran volumen. Los certificados emitidos por las AC de DevOps no se rastrean en la base de datos de AC y, por lo tanto, no se pueden revocar. Las AC de DevOps solo admiten claves que son propiedad de Google y que administra Google. No admiten claves de Cloud KMS administradas por el cliente.
  • Empresa: Proporciona una capacidad de procesamiento de emisión de certificados menor, pero admite operaciones de CA, como el seguimiento de certificados y la revocación de certificados. Esto hace que las AC de este nivel sean más adecuadas para la emisión de certificados de larga duración. Las AC empresariales admiten claves de firma de Cloud KMS administradas por el cliente, así como claves de Google y de Google.

Controles de política

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir tu grupo de AC. Los controles de políticas son de uno de estos dos tipos:

  • Controles de políticas poco detallados, como las políticas de emisión Una política de emisión de certificados define los tipos de certificados que pueden emitir las AC de ese grupo de AC. Por ejemplo, un usuario podría restringir que su grupo de AC solo pueda emitir certificados que tengan configurados los campos de uso de claves extendidos correctos para TLS del cliente, y que no pueda emitir certificados de la AC.
  • Controles de políticas detallados representados con plantillas que determinan las operaciones que un usuario en particular puede realizar en un grupo de AC. Las plantillas de certificado se pueden usar junto con las condiciones de IAM a fin de crear diferentes controles de políticas para diferentes usuarios en el mismo grupo de AC.

Puedes aplicar controles de políticas en CA Service de las siguientes maneras:

  • Agrega un modelo de referencia para la emisión de certificados desde un grupo de AC completo.
  • Usar plantillas reutilizables y parametrizadas para situaciones de emisión comunes
  • Aplicar un control detallado sobre las vinculaciones de IAM con condiciones
  • Simplificación del aprovisionamiento de certificados de carga de trabajo mediante la reflexión de identidad

¿Qué sigue?