Concepts de Certificate Authority Service

Cette page décrit certains des concepts clés de Certificate Authority Service (Service d'autorité de certification).

Ressources

Certificate Authority Service comprend les ressources suivantes:

Pool d'autorités de certification

Un pool d'autorités de certification (pool CA) est la ressource principale de CA Service. Un pool d'autorités de certification est le conteneur des autorités de certification et des certificats. Les conditions de Identity and Access Management, les règles d'émission et d'autres configurations sont définies sur le pool d'autorités de certification. L'émission de certificats s'effectue également via le pool d'autorités de certification, qui répartit la charge des demandes de certificat entre les autorités de certification du pool.

Autorité de certification

Une ressource autorité de certification (CA) représente l'autorité de certification individuelle utilisée pour signer les certificats. Dans CA Service, vous pouvez créer à la fois des autorités de certification racine et des autorités de certification subordonnées. L'autorité de certification racine dispose d'un certificat autosigné et se trouve en haut de la chaîne de certificats. Pour une autorité de certification subordonnée, le signataire du certificat de l'autorité de certification peut être une autre autorité de certification créée dans CA Service ou une autorité de certification externe. Dans ce dernier cas, le service d'autorité de certification génère une demande de signature de certificat (CSR) qui doit être signée par l'autorité de certification externe. Vous pouvez utiliser la Google Cloud CLI ou la console Google Cloud pour activer la nouvelle autorité de certification en important la chaîne de certificats signée encodée PEM.

Certificat

Un certificat est un certificat X.509 signé émis par l'autorité de certification.

Liste de révocation de certificats

Une liste de révocation de certificats (LRC) contient les numéros de série des certificats révoqués et qui ne doivent plus être approuvés. Les CRL existent en tant que ressource cloud imbriquée sous les autorités de certification, mais peuvent également être publiées en codage PEM ou DER dans un bucket Cloud Storage avec une URL basée sur HTTP accessible au public.

Modèle de certificat

Un modèle de certificat est une ressource de niveau supérieur qui définit un scénario d'émission de certificat distinct. Les certificats émis à l'aide d'un modèle de certificat héritent des extensions X.509 préconfigurées, telles que les restrictions d'utilisation des clés et de longueur de chemin d'accès, du modèle de certificat. Un modèle de certificat vous permet de définir les extensions à conserver et celles à ignorer d'une demande de certificat. Vous pouvez utiliser des modèles de certificats pour définir des contraintes d'identité afin de limiter les identités de certificat. Un modèle de certificat peut être utilisé avec un ou plusieurs pools d'autorités de certification.

Clés de signature de l'autorité de certification

Le service d'autorité de certification est automatiquement configuré pour utiliser Cloud Key Management Service pour générer, stocker et utiliser des clés de signature d'autorité de certification. Dans le service d'autorité de certification, une version de clé Cloud KMS est utilisée pour signer les certificats et les listes de révocation de certificats. Vous pouvez créer votre propre clé Cloud KMS, puis créer une autorité de certification qui utilise cette clé. Vous pouvez également spécifier l'algorithme de la clé Cloud KMS que vous souhaitez utiliser pour une autorité de certification. Le service d'autorité de certification créera et configurera cette clé en votre nom. Les clés Cloud KMS peuvent être basées sur du matériel ou sur des logiciels. Lorsque le service d'autorité de certification crée la clé en votre nom, il crée toujours une clé basée sur du matériel.

Buckets Cloud Storage

Les autorités de certification créées dans le service d'autorité de certification publient leurs artefacts, tels que les certificats d'autorité de certification et les listes de révocation de certificats, dans un bucket Cloud Storage situé au même emplacement que l'autorité de certification déployée. Comme les clés Cloud KMS, les buckets Cloud Storage peuvent être des ressources gérées par Google ou gérées par le client.

Niveau de l'autorité de certification

Le niveau d'une autorité de certification indique les fonctionnalités compatibles et le SKU de facturation. CA Service fournit les deux niveaux de service opérationnels suivants pour chaque pool d'autorités de certification créé:

  • DevOps: permet d'émettre des certificats à un débit ou à un taux d'émission de certificats plus élevé, ce qui est utile dans les scénarios à fort volume. Les certificats émis par les autorités de certification DevOps ne sont pas suivis dans la base de données de l'autorité de certification et ne peuvent donc pas être révoqués. Les autorités de certification DevOps n'acceptent que les clés appartenant à Google et gérées par Google. Elles ne sont pas compatibles avec les clés Cloud KMS gérées par le client.
  • Enterprise: offre un débit d'émission de certificats inférieur, mais prend en charge les opérations d'autorité de certification telles que le suivi et la révocation des certificats. Les autorités de certification de ce niveau sont donc plus adaptées à l'émission de certificats de longue durée. Les autorités de certification d'entreprise sont compatibles avec les clés de signature Cloud KMS gérées par le client et les clés détenues et gérées par Google.

Contrôles des règles

Les commandes de stratégie vous permettent de contrôler le type de certificats que votre pool d'autorités de certification peut émettre. Il existe deux types de contrôles de règles:

  • Contrôles des règles à grande échelle, tels que les règles d'émission. Une stratégie d'émission de certificats définit les types de certificats que les autorités de certification de ce pool peuvent émettre. Par exemple, un utilisateur peut limiter son pool d'autorités de certification à l'émission de certificats dont les champs d'utilisation étendue des clés sont correctement définis pour le TLS client, et à l'émission de certificats d'autorité de certification.
  • Contrôles de stratégie précis représentés à l'aide de modèles qui déterminent les opérations qu'un utilisateur particulier peut effectuer sur un pool d'autorités de certification. Les modèles de certificats peuvent être utilisés avec les conditions IAM pour créer efficacement différents contrôles de stratégie pour différents utilisateurs du même pool d'autorités de certification.

Vous pouvez appliquer des contrôles de règles dans le service CA de différentes manières:

  • Ajout d'une référence pour l'émission de certificats à partir de l'ensemble d'un pool d'autorités de certification.
  • Utilisation de modèles réutilisables et paramétrés pour les scénarios d'émission courants.
  • Application d'un contrôle précis des liaisons IAM avec des conditions.
  • Simplifier le provisionnement de certificats de charge de travail à l'aide de la réflexion d'identité

Étape suivante