Conceptos de Certificate Authority Service

En esta página, se explican algunos de los conceptos clave del servicio de la AC (servicio de AC).

Recursos

El servicio de AC consta de los siguientes recursos:

Grupo de autoridades certificadoras

Un grupo de autoridades certificadoras (grupo de AC) es el recurso principal en el servicio de AC. Un grupo de AC es el contenedor de las autoridades certificadoras y los certificados. Las condiciones, las políticas de emisión y otros parámetros de configuración de Identity and Access Management se establecen en el grupo de AC. La emisión de certificados también se realiza a través del grupo de AC, que distribuye la carga de solicitudes de certificado entre las AC del grupo.

Autoridad certificadora

Un recurso de autoridad certificadora (AC) representa la autoridad certificadora individual que se usa para firmar certificados. En el servicio de AC, puedes crear AC raíz y AC subordinadas. La AC raíz tiene un certificado autofirmado y se encuentra en la parte superior de la cadena de certificados. En el caso de una AC subordinada, el firmante del certificado de la AC puede ser otra AC creada en el servicio de AC o una AC externa. En el último caso, el servicio de AC genera una solicitud de firma de certificado (CSR) que debe firmar la AC externa. Puedes usar la CLI de Google Cloud o la consola de Google Cloud para activar la AC nueva. Para ello, sube la cadena de certificados firmada con codificación PEM.

Certificado

Un certificado es un certificado X.509 firmado que emite la autoridad certificadora.

Lista de revocación de certificados

Una lista de revocación de certificados (CRL) contiene los números de serie de los certificados que se revocaron y en los que ya no se debe confiar. Las CRL existen como un recurso de la nube anidado en las AC, pero también se pueden publicar en codificaciones PEM o DER en un bucket de Cloud Storage con una URL basada en HTTP de acceso público.

Plantilla de certificado

Una plantilla de certificado es un recurso de nivel superior que define una situación distinta de emisión de certificados. Los certificados emitidos con una plantilla de certificado héritan las extensiones X.509 preconfiguradas, como las restricciones de uso de claves y de la ruta de acceso, de la plantilla de certificado. Una plantilla de certificado te permite definir qué extensiones conservar y cuáles ignorar de una solicitud de certificado. Puedes usar plantillas de certificados para definir restricciones de identidad y limitar las identidades de los certificados. Una plantilla de certificado se puede usar con uno o más grupos de AC.

Claves de firma de la AC

El servicio de AC se configura automáticamente para usar Cloud Key Management Service para generar, almacenar y usar claves de firma de AC. En el servicio de AC, se usa una versión de clave de Cloud KMS para firmar certificados y CRL. Puedes crear tu propia clave de Cloud KMS y, luego, crear una AC que use esta clave. También puedes especificar el algoritmo de la clave de Cloud KMS que deseas usar para una AC, y el servicio de AC creará y configurará esta clave en tu nombre. Las claves de Cloud KMS pueden estar respaldadas por software o hardware. Cuando el servicio de AC crea la clave en tu nombre, siempre crea una clave respaldada por hardware.

Depósitos de Cloud Storage

Las AC creadas en el servicio de AC publican sus artefactos, como los certificados de AC y las CRL, en un bucket de Cloud Storage en la misma ubicación que la AC implementada. Al igual que las claves de Cloud KMS, los buckets de Cloud Storage pueden ser un recurso administrado por Google o un recurso administrado por el cliente.

Nivel de AC

El nivel de una AC indica sus funciones compatibles y el SKU de facturación. El servicio de AC proporciona los siguientes dos niveles de servicio operativo para cada grupo de AC creado:

  • DevOps: Proporciona la emisión de certificados a una tasa o capacidad de procesamiento de emisión de certificados más alta, lo que es útil en situaciones de gran volumen. No se realiza un seguimiento de los certificados emitidos por las AC de DevOps en la base de datos de la AC y, por lo tanto, no se pueden revocar. Las AC de DevOps solo admiten propiedad de Google y administradas por Google potenciadas por Google Cloud. No admiten claves de Cloud KMS administradas por el cliente.
  • Empresarial: Proporciona una capacidad de procesamiento de emisión de certificados más baja, pero admite operaciones de AC, como el seguimiento y la revocación de certificados. Esto hace que las AC de este nivel sean más adecuadas para la emisión de certificados de larga duración. Las AC empresariales admiten las claves de firma de Cloud KMS administradas por el cliente y las claves de encriptación propiedad de Google y administradas por Google .

Controles de política

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir tu grupo de AC. Los controles de políticas son de uno de los siguientes dos tipos:

  • Controles de políticas de alto nivel, como las políticas de emisión Una política de emisión de certificados define los tipos de certificados que pueden emitir las AC de ese grupo de AC. Por ejemplo, un usuario podría restringir que su grupo de AC solo pueda emitir certificados que tengan los campos de uso de claves extendidos correctos configurados para el TLS del cliente y que no pueda emitir certificados de AC.
  • Controles de políticas detallados representados con plantillas que determinan las operaciones que un usuario en particular puede realizar en un grupo de AC. Las plantillas de certificados se pueden usar junto con las condiciones de IAM para crear de manera eficaz diferentes controles de políticas para diferentes usuarios en el mismo grupo de AC.

Puedes aplicar los controles de políticas en el servicio de CA de las siguientes maneras:

  • Agregar un modelo de referencia para la emisión de certificados de un grupo de AC completo
  • Usar plantillas reutilizables y parametrizadas para situaciones de emisión comunes
  • Aplicar un control detallado sobre las vinculaciones de IAM con condiciones
  • Simplificar el aprovisionamiento de certificados de cargas de trabajo con la reflexión de identidad

¿Qué sigue?