Concetti di Certificate Authority Service

In questa pagina vengono spiegati alcuni dei concetti chiave di Certificate Authority Service (CA Service).

Risorse

CA Service è costituito dalle seguenti risorse:

Pool di autorità di certificazione

Un pool di autorità di certificazione (pool di CA) è la risorsa principale in CA Service. Un pool di CA è il container per il certificato autorità e certificati. Le condizioni di Identity and Access Management, i criteri di emissione e altre configurazioni sono impostati sul pool di CA. L'emissione dei certificati avviene anche tramite il pool di CA, che distribuisce il carico delle richieste di certificato tra le CA nel pool.

Autorità di certificazione

Una risorsa autorità di certificazione (CA) rappresenta la singola autorità di certificazione utilizzata per firmare i certificati. In CA Service, puoi creare sia CA radice che CA secondarie. La CA radice ha un modello autofirmato certificato e si trova in cima alla catena di certificati. Per una CA subordinata, il firmatario del certificato CA può essere un'altra CA creata in CA Service o un'autorità di certificazione esterna. In quest'ultimo caso, CA Service genera una richiesta di firma del certificato (CSR) che deve essere firmata dal Canada. Puoi utilizzare Google Cloud CLI o la console Google Cloud per attivare la nuova CA caricando la catena di certificati con codifica PEM firmata.

Certificato

Un certificato è un certificato X.509 firmato emesso dall'autorità di certificazione.

Elenco revoche certificati

Un elenco revoche certificati (CRL) contiene i numeri di serie dei certificati che sono stati revocati e che non devono più essere considerati attendibili. I CRL esistono come cloud nidificata sotto le CA, ma può essere pubblicata anche nelle codifiche PEM o DER in un Bucket Cloud Storage con un URL basato su HTTP accessibile pubblicamente.

Modello certificato

Un modello di certificato è una risorsa di primo livello che definisce uno scenario di emissione di certificati distinto. Certificati emessi utilizzando un modello di certificato ereditare le estensioni X.509 preconfigurate, come l'utilizzo della chiave e la lunghezza del percorso limitazioni del modello di certificato. Un modello di certificato consente di definire quali estensioni conservare e quali ignorare da una richiesta di certificato. Puoi utilizzare i modelli di certificato per definire i vincoli di identità per limitare le identità dei certificati. Un modello di certificato può essere utilizzato con uno o più pool di CA.

Chiavi di firma CA

CA Service viene configurato automaticamente per utilizzare Cloud Key Management Service per la generazione, l'archiviazione e l'utilizzo delle chiavi di firma CA. In CA Service, viene utilizzata una versione della chiave Cloud KMS per firmare i certificati e le CRL. Puoi creare la tua chiave Cloud KMS e, successivamente, creare una CA che la utilizzi. In alternativa, puoi specificare l'algoritmo della chiave Cloud KMS che vuoi utilizzare per una CA e il servizio CA la creerà e configurerà per tuo conto. Le chiavi Cloud KMS possono essere di tipo software o hardware. Quando il servizio CA crea la chiave per tuo conto, crea sempre una chiave basata su hardware.

Bucket Cloud Storage

Le CA create nel servizio CA pubblicano i propri artefatti come i certificati CA e CRL in un bucket Cloud Storage nella stessa località della CA di cui è stato eseguito il deployment. Analogamente alle chiavi Cloud KMS, i bucket Cloud Storage possono essere una risorsa gestita da Google o una risorsa gestita dal cliente.

Livello CA

Il livello di un'autorità di certificazione indica le funzionalità supportate e lo SKU di fatturazione. Certificate Authority Service fornisce i seguenti due livelli di servizio operativo per ogni pool di CA creato:

  • DevOps: fornisce l'emissione di certificati a un certificato di livello superiore la velocità di emissione (velocità effettiva), utile in scenari con volumi elevati. I certificati emessi dalle CA DevOps non vengono monitorati nel database CA e successivamente non possono essere revocati. Le DevOps CA supportano solo le chiavi di proprietà di Google e gestite da Google. Non supportano le chiavi Cloud KMS gestite dal cliente.
  • Enterprise: offre un throughput di emissione dei certificati inferiore, ma supporta le operazioni CA come il monitoraggio e la revoca dei certificati. Ciò rende le CA di questo livello più adatte all'emissione di certificati a lungo termine. Le CA aziendali supportano sia le chiavi di firma Cloud KMS gestite dal cliente sia le chiavi di proprietà e gestite da Google.

Controlli dei criteri

I controlli dei criteri ti consentono di controllare il tipo di certificati che il tuo pool di CA può emettere. I controlli dei criteri sono di due tipi:

  • Controlli dei criteri a livello granulare, come i criteri di emissione. Rilascio di un certificato definisce i tipi di certificati che le CA nel pool di CA possono emettere. Ad esempio, un utente potrebbe limitare il pool di CA in modo che possa emettere solo certificati con i campi di utilizzo esteso della chiave corretti impostati per TLS client e che non possa emettere certificati CA.
  • Controlli granulari dei criteri rappresentati mediante modelli che determinano che un determinato utente può eseguire su un pool di CA. Modelli di certificato può essere utilizzata in combinazione con le condizioni IAM per per creare controlli dei criteri diversi per utenti diversi nello stesso pool di CA.

Puoi applicare i controlli dei criteri in CA Service nei seguenti modi:

  • Aggiunta di una linea di base per l'emissione di certificati da un intero pool di CA.
  • Utilizzo di modelli parametrici e riutilizzabili per scenari di emissione comuni.
  • Applicazione di un controllo granulare sulle associazioni IAM con condizioni.
  • Semplificazione del provisioning dei certificati dei carichi di lavoro riflesso dell'identità.

Passaggi successivi