Konsep Certificate Authority Service

Halaman ini menjelaskan beberapa konsep utama dalam Certificate Authority Service (Layanan CA).

Resource

Layanan CA terdiri dari resource berikut:

Kumpulan certificate authority

Kumpulan certificate authority (kumpulan CA) adalah resource utama di Layanan CA. Kumpulan CA adalah penampung untuk certificate authority dan sertifikat. Kondisi Identity and Access Management, kebijakan penerbitan, dan konfigurasi lainnya ditetapkan di kumpulan CA. Penerbitan sertifikat juga dilakukan melalui kumpulan CA, yang mendistribusikan beban permintaan sertifikat ke seluruh CA dalam kumpulan CA.

Certificate authority

Resource certificate authority (CA) mewakili setiap certificate authority yang digunakan untuk menandatangani sertifikat. Di CA Service, Anda dapat membuat root CA dan subordinate CA. Root CA memiliki sertifikat yang ditandatangani sendiri dan berada di bagian atas rantai sertifikat. Untuk CA subordinat, penanda tangan sertifikat CA dapat berupa CA lain yang dibuat di Layanan CA atau CA eksternal. Dalam kasus terakhir, Layanan CA akan membuat permintaan penandatanganan sertifikat (CSR) yang harus ditandatangani oleh CA eksternal. Anda dapat menggunakan Google Cloud CLI atau Konsol Google Cloud untuk mengaktifkan CA baru dengan mengupload rantai sertifikat yang dienkode PEM dan ditandatangani.

Certificate

Sertifikat adalah sertifikat X.509 yang ditandatangani dan dikeluarkan oleh otoritas sertifikat.

Daftar pencabutan sertifikat

Daftar pencabutan sertifikat (CRL) berisi nomor seri sertifikat yang telah dicabut dan tidak boleh lagi dipercaya. CRL ada sebagai resource cloud yang disusun bertingkat di bawah CA, tetapi juga dapat dipublikasikan dalam encoding PEM atau DER ke bucket Cloud Storage dengan URL berbasis HTTP yang dapat diakses publik.

Template sertifikat

Template sertifikat adalah resource tingkat teratas yang menentukan skenario pemberian sertifikat yang berbeda. Sertifikat yang dikeluarkan menggunakan template sertifikat mewarisi ekstensi X.509 yang telah dikonfigurasi sebelumnya seperti penggunaan kunci dan batasan panjang jalur dari template sertifikat. Template sertifikat memungkinkan Anda menentukan ekstensi yang akan disimpan dan yang akan diabaikan dari permintaan sertifikat. Anda dapat menggunakan template sertifikat untuk menentukan batasan identitas guna membatasi identitas sertifikat. Template sertifikat dapat digunakan dengan satu atau beberapa kumpulan CA.

Kunci penandatanganan CA

CA Service dikonfigurasi secara otomatis untuk menggunakan Cloud Key Management Service untuk membuat, menyimpan, dan menggunakan kunci penandatanganan CA. Di Layanan CA, versi kunci Cloud KMS digunakan untuk menandatangani sertifikat dan CRL. Anda dapat membuat kunci Cloud KMS sendiri, lalu membuat CA yang menggunakan kunci ini. Atau, Anda dapat menentukan algoritma kunci Cloud KMS yang ingin digunakan untuk CA, dan Layanan CA akan membuat dan mengonfigurasi kunci ini untuk Anda. Kunci Cloud KMS dapat didukung software atau hardware. Saat Layanan CA membuat kunci atas nama Anda, kunci tersebut akan selalu dibuat dengan dukungan hardware.

Bucket Cloud Storage

CA yang dibuat di Layanan CA memublikasikan artefaknya seperti sertifikat CA dan CRL di bucket Cloud Storage di lokasi yang sama dengan CA yang di-deploy. Serupa dengan kunci Cloud KMS, bucket Cloud Storage dapat berupa resource yang dikelola Google atau resource yang dikelola pelanggan.

Tingkat CA

Tingkat certificate authority menunjukkan fitur yang didukung dan SKU penagihan. CA Service menyediakan dua tingkat layanan operasional berikut untuk setiap kumpulan CA yang dibuat:

  • DevOps: Menyediakan penerbitan sertifikat dengan throughput atau tingkat penerbitan sertifikat yang lebih tinggi, yang berguna dalam skenario bervolume tinggi. Sertifikat yang diterbitkan oleh CA DevOps tidak dilacak dalam database CA dan selanjutnya tidak dapat dicabut. CA DevOps hanya mendukung kunci enkripsi dan yang dimiliki dan dikelola Google. Kunci tersebut tidak mendukung kunci Cloud KMS yang dikelola pelanggan.
  • Enterprise: Memberikan throughput penerbitan sertifikat yang lebih rendah, tetapi mendukung operasi CA seperti melacak sertifikat dan mencabut sertifikat. Hal ini membuat CA di tingkat ini lebih cocok untuk penerbitan sertifikat jangka panjang. CA perusahaan mendukung kunci penandatanganan Cloud KMS yang dikelola pelanggan dan kunci enkripsi milik Google dan dikelola Google .

Kontrol kebijakan

Kontrol kebijakan memungkinkan Anda mengontrol jenis sertifikat yang dapat dikeluarkan oleh kumpulan CA Anda. Kontrol kebijakan terdiri dari salah satu dari dua jenis berikut:

  • Kontrol kebijakan yang kasar seperti kebijakan penerbitan. Kebijakan penerbitan sertifikat menentukan jenis sertifikat yang dapat diterbitkan CA dalam kumpulan CA tersebut. Misalnya, pengguna dapat membatasi bahwa kumpulan CA-nya hanya dapat menerbitkan sertifikat yang memiliki kolom penggunaan kunci yang diperluas yang benar untuk TLS klien, dan bahwa kumpulan CA tersebut tidak dapat menerbitkan sertifikat CA.
  • Kontrol kebijakan terperinci yang direpresentasikan menggunakan template yang menentukan operasi yang dapat dilakukan pengguna tertentu pada kumpulan CA. Template sertifikat dapat digunakan bersama dengan kondisi IAM untuk membuat kontrol kebijakan yang berbeda secara efektif untuk pengguna yang berbeda di kumpulan CA yang sama.

Anda dapat menerapkan kontrol kebijakan di Layanan CA dengan cara berikut:

  • Menambahkan dasar pengukuran untuk penerbitan sertifikat dari seluruh kumpulan CA.
  • Menggunakan template yang dapat digunakan kembali dan berparameter untuk skenario penerbitan umum.
  • Menerapkan kontrol terperinci atas binding IAM dengan kondisi.
  • Menyederhanakan penyediaan sertifikat workload menggunakan refleksi identitas.

Langkah selanjutnya