Concepts de Certificate Authority Service

Cette page décrit certains concepts clés de Certificate Authority Service (CA Service).

Ressources

CA Service comprend les ressources suivantes:

Pool d'autorités de certification

Un pool d'autorités de certification (pool d'autorités de certification) est la ressource principale du service d'autorité de certification. Un pool d'autorités de certification est le conteneur des autorités de certification et des certificats. Les conditions, stratégies d'émission et autres configurations Identity and Access Management sont définies sur le pool d'autorités de certification. L'émission des certificats s'effectue également via le pool d'autorités de certification, qui répartit la charge des demandes de certificat entre les autorités de certification du pool d'autorités de certification.

Autorité de certification

Une ressource d'autorité de certification (CA) représente l'autorité de certification individuelle utilisée pour signer les certificats. Dans CA Service, vous pouvez créer à la fois des CA racine et des CA subordonnées. L’AC racine a un certificat autosigné et se trouve en haut de la chaîne de certificats. Pour une autorité de certification subordonnée, le signataire du certificat CA peut être une autre autorité de certification créée dans le service de CA ou une autorité de certification externe. Dans ce dernier cas, CA Service génère une requête de signature de certificat (CSR) qui doit être signée par l'autorité de certification externe. Vous pouvez utiliser la Google Cloud CLI ou la console Google Cloud pour activer la nouvelle autorité de certification en important la chaîne de certificats signée encodée au format PEM.

Certificat

Un certificat est un certificat X.509 signé et émis par l'autorité de certification.

Liste de révocation de certificats

Une liste de révocation de certificats (LRC) contient les numéros de série des certificats qui ont été révoqués et ne doivent plus être approuvés. Les LRC sont une ressource cloud imbriquée sous des autorités de certification, mais elles peuvent également être publiées sous forme d'encodages PEM ou DER dans un bucket Cloud Storage avec une URL HTTP accessible au public.

Modèle de certificat

Un modèle de certificat est une ressource de niveau supérieur qui définit un scénario d'émission de certificats distinct. Les certificats émis à l'aide d'un modèle de certificat héritent des extensions X.509 préconfigurées telles que l'utilisation des clés et les restrictions de longueur de chemin du modèle de certificat. Un modèle de certificat vous permet de définir les extensions à conserver et celles à ignorer lors d'une demande de certificat. Vous pouvez utiliser des modèles de certificat pour définir des contraintes d'identité afin de limiter les identités de certificat. Un modèle de certificat peut être utilisé avec un ou plusieurs pools d'autorités de certification.

Clés de signature de l'autorité de certification

CA Service est automatiquement configuré pour utiliser Cloud Key Management Service afin de générer, de stocker et d'utiliser des clés de signature d'autorité de certification. Dans CA Service, une version de clé Cloud KMS permet de signer les certificats et les LRC. Vous pouvez créer votre propre clé Cloud KMS, puis créer une autorité de certification qui l'utilise. Vous pouvez également spécifier l'algorithme de la clé Cloud KMS que vous souhaitez utiliser pour une autorité de certification. CA Service créera et configurera cette clé en votre nom. Les clés Cloud KMS peuvent être reposant sur un logiciel ou un matériel. Lorsque CA Service crée la clé en votre nom, il crée toujours une clé matérielle.

Buckets Cloud Storage

Les autorités de certification créées dans le service d'autorité de certification publient leurs artefacts, tels que les certificats CA et les LRC dans un bucket Cloud Storage situé au même emplacement que l'autorité de certification déployée. Comme pour les clés Cloud KMS, les buckets Cloud Storage peuvent être des ressources gérées par Google ou par le client.

Niveau d'autorité de certification

Le niveau d'une autorité de certification indique ses fonctionnalités compatibles et son SKU de facturation. CA Service fournit les deux niveaux de service opérationnels suivants pour chaque pool d'autorités de certification créé:

  • DevOps: permet d'émettre des certificats à un taux ou à un débit d'émission de certificats plus élevés, ce qui est utile dans les scénarios liés à un volume important. Les certificats émis par les autorités de certification DevOps ne sont pas suivis dans la base de données des autorités de certification et ne peuvent pas être révoqués. Les autorités de certification DevOps n'acceptent que les clés gérées par Google. Ils ne sont pas compatibles avec les clés Cloud KMS gérées par le client.
  • Entreprise: offre un débit d'émission de certificats inférieur, mais accepte les opérations d'autorité de certification telles que le suivi et la révocation de certificats. De ce fait, les autorités de certification de ce niveau sont mieux adaptées à l'émission de certificats de longue durée. Les autorités de certification d'entreprise sont compatibles à la fois avec les clés de signature Cloud KMS gérées par le client et les clés gérées par Google.

Contrôles des règles

Les contrôles des règles vous permettent de contrôler le type de certificats que votre pool d'autorités de certification peut émettre. Il existe deux types de contrôles des règles:

  • Contrôles des règles sommaires tels que les règles d'émission. Une stratégie d'émission de certificats définit les types de certificats que les autorités de certification de ce pool peuvent émettre. Par exemple, un utilisateur peut empêcher son pool d'autorités de certification de délivrer uniquement des certificats dont les champs d'utilisation étendue des clés sont correctement définis pour le protocole TLS du client, et qu'il ne peut pas émettre de certificats CA.
  • Contrôles précis des règles représentés à l'aide de modèles qui déterminent les opérations qu'un utilisateur particulier peut effectuer sur un pool d'autorités de certification. Les modèles de certificat peuvent être utilisés conjointement avec des conditions IAM afin de créer efficacement différents contrôles de stratégie pour différents utilisateurs d'un même pool d'autorités de certification.

Vous pouvez appliquer des contrôles de stratégie dans CA Service de différentes manières:

  • Ajouter une référence pour l'émission de certificats à partir d'un pool d'autorités de certification complet
  • Utiliser des modèles réutilisables et paramétrés pour des scénarios d'émission courants
  • Appliquer un contrôle ultraprécis sur les liaisons IAM à l'aide de conditions
  • Simplifier le provisionnement des certificats de charge de travail à l'aide de la réflexion de l'identité

Étapes suivantes