Konsep Certificate Authority Service

Halaman ini menjelaskan beberapa konsep utama dalam Certificate Authority Service (CA Service).

Referensi

CA Service terdiri dari resource berikut:

Kumpulan certificate authority

Kumpulan otoritas sertifikat (kumpulan CA) adalah resource utama dalam Layanan CA. Kumpulan CA adalah penampung untuk otoritas sertifikat dan sertifikat. Kondisi Identity and Access Management, kebijakan penerbitan, dan konfigurasi lainnya ditetapkan dalam kumpulan CA. Penerbitan sertifikat juga terjadi melalui kumpulan CA, yang mendistribusikan beban permintaan sertifikat ke seluruh CA dalam kumpulan CA.

Certificate authority

Resource certificate authority (CA) mewakili masing-masing certificate authority yang digunakan untuk menandatangani sertifikat. Di CA Service, Anda dapat membuat root CA dan subordinate CA. CA {i>root<i} memiliki sertifikat yang ditandatangani sendiri dan berada di bagian atas rantai sertifikat. Untuk CA subordinat, penandatangan sertifikat CA dapat berupa CA lain yang dibuat di Layanan CA atau CA eksternal. Untuk yang terakhir, Layanan CA akan membuat permintaan penandatanganan sertifikat (CSR) yang harus ditandatangani oleh CA eksternal. Anda dapat menggunakan Google Cloud CLI atau Google Cloud Console untuk mengaktifkan CA baru dengan mengupload rantai sertifikat berenkode PEM yang ditandatangani.

Certificate

Sertifikat adalah sertifikat X.509 yang ditandatangani dan diterbitkan oleh certificate authority.

Daftar pencabutan sertifikat

Daftar pencabutan sertifikat (CRL) berisi nomor seri sertifikat yang telah dicabut dan tidak lagi dipercaya. CRL ada sebagai resource cloud yang disusun bertingkat dalam CA, tetapi juga dapat dipublikasikan dalam encoding PEM atau DER ke bucket Cloud Storage dengan URL berbasis HTTP yang dapat diakses secara publik.

Template sertifikat

Template sertifikat adalah resource tingkat teratas yang menetapkan skenario penerbitan sertifikat yang berbeda. Sertifikat yang diterbitkan menggunakan template sertifikat mewarisi ekstensi X.509 yang telah dikonfigurasi sebelumnya, seperti penggunaan kunci dan pembatasan panjang jalur dari template sertifikat. Template sertifikat memungkinkan Anda menentukan ekstensi mana yang akan dipertahankan dan ekstensi mana yang akan diabaikan dari permintaan sertifikat. Anda dapat menggunakan template sertifikat untuk menentukan batasan identitas guna membatasi identitas sertifikat. Template sertifikat dapat digunakan dengan satu atau beberapa kumpulan CA.

Kunci penandatanganan CA

CA Service dikonfigurasi secara otomatis agar menggunakan Cloud Key Management Service untuk membuat, menyimpan, dan menggunakan kunci penandatanganan CA. Di CA Service, versi kunci Cloud KMS digunakan untuk menandatangani sertifikat dan CRL. Anda dapat membuat kunci Cloud KMS Anda sendiri, lalu membuat CA yang menggunakan kunci ini. Atau, Anda dapat menentukan algoritma kunci Cloud KMS yang ingin digunakan untuk CA, dan CA Service akan membuat serta mengonfigurasi kunci ini atas nama Anda. Kunci Cloud KMS dapat didukung oleh software atau hardware. Saat CA Service membuat kunci untuk Anda, CA Service akan selalu membuat kunci yang didukung hardware.

Bucket Cloud Storage

CA yang dibuat di CA Service memublikasikan artefaknya, seperti sertifikat CA dan CRL dalam bucket Cloud Storage di lokasi yang sama dengan CA yang di-deploy. Serupa dengan kunci Cloud KMS, bucket Cloud Storage dapat berupa resource yang dikelola Google atau resource yang dikelola pelanggan.

Tingkat CA

Tingkat certificate authority menunjukkan fitur dan SKU penagihan yang didukungnya. CA Service menyediakan dua tingkat layanan operasional berikut untuk setiap kumpulan CA yang dibuat:

  • DevOps: Menyediakan penerbitan sertifikat dengan throughput atau tingkat penerbitan sertifikat lebih tinggi, yang sangat membantu dalam skenario bervolume tinggi. Sertifikat yang dikeluarkan oleh DevOps CA tidak dilacak di database CA sehingga tidak dapat dicabut. CA DevOps hanya mendukung kunci yang dikelola Google. Kunci tersebut tidak mendukung kunci Cloud KMS yang dikelola pelanggan.
  • Perusahaan: Memberikan throughput penerbitan sertifikat yang lebih rendah, tetapi mendukung operasi CA seperti melacak sertifikat dan mencabut sertifikat. Hal ini membuat CA dalam tingkat ini lebih cocok untuk penerbitan sertifikat jangka panjang. CA Enterprise mendukung kunci penandatanganan Cloud KMS yang dikelola pelanggan dan kunci yang dikelola Google.

Kontrol kebijakan

Kontrol kebijakan memungkinkan Anda mengontrol jenis sertifikat yang dapat diterbitkan oleh kumpulan CA Anda. Kontrol kebijakan merupakan salah satu dari dua jenis berikut:

  • Kontrol kebijakan yang terperinci seperti kebijakan penerbitan. Kebijakan penerbitan sertifikat menentukan jenis sertifikat yang dapat diterbitkan oleh CA dalam kumpulan CA tersebut. Misalnya, pengguna dapat membatasi bahwa kumpulan CA mereka hanya dapat menerbitkan sertifikat dengan kolom penggunaan kunci tambahan yang benar yang telah ditetapkan untuk TLS klien, dan tidak dapat menerbitkan sertifikat CA.
  • Kontrol kebijakan terperinci yang direpresentasikan menggunakan template yang menentukan operasi yang dapat dilakukan pengguna tertentu di kumpulan CA. Template sertifikat dapat digunakan bersama dengan kondisi IAM untuk membuat kontrol kebijakan yang berbeda secara efektif bagi pengguna yang berbeda dalam kumpulan CA yang sama.

Anda dapat menerapkan kontrol kebijakan di CA Service dengan cara berikut:

  • Menambahkan baseline untuk penerbitan sertifikat dari seluruh kumpulan CA.
  • Menggunakan template yang dapat digunakan kembali dan berparameter untuk skenario penerbitan umum.
  • Menerapkan kontrol terperinci atas binding IAM dengan kondisi.
  • Menyederhanakan penyediaan sertifikat workload menggunakan refleksi identitas.

Langkah selanjutnya