Concetti di Certificate Authority Service

Questa pagina illustra alcuni dei concetti chiave di Certificate Authority Service (servizio CA).

Risorse

Il servizio CA è costituito dalle seguenti risorse:

Pool di autorità di certificazione

Un pool di autorità di certificazione (pool di CA) è la risorsa principale in Service CA. Un pool di CA è il contenitore per le autorità di certificazione e i certificati. Le condizioni di Identity and Access Management, i criteri di emissione e altre configurazioni sono impostati sul pool di CA. L'emissione dei certificati avviene anche tramite il pool di CA, che distribuisce il carico delle richieste di certificato tra le CA nel pool.

Autorità di certificazione

Una risorsa autorità di certificazione (CA) rappresenta la singola autorità di certificazione utilizzata per firmare i certificati. In CA Service, puoi creare sia CA radice che CA secondarie. La CA radice ha un certificato autofirmato e si trova nella parte superiore della catena di certificati. Per una CA subordinata, il firmatario del certificato CA potrebbe essere un'altra CA creata nel servizio CA o una CA esterna. In quest'ultimo caso, il servizio CA genera una richiesta di firma del certificato (CSR) che deve essere firmata dall'autorità di certificazione esterna. Puoi utilizzare Google Cloud CLI o la console Google Cloud per attivare la nuova CA caricando la catena di certificati con codifica PEM firmata.

Certificato

Un certificato è un certificato X.509 firmato emesso dall'autorità di certificazione.

Elenco revoche certificati

Un elenco revoche certificati (CRL) contiene i numeri di serie dei certificati che sono stati revocati e che non devono più essere considerati attendibili. Le CRL esistono come risorsa cloud nidificata sotto le CA, ma possono anche essere pubblicate in codifiche PEM o DER in un bucket Cloud Storage con un URL basato su HTTP accessibile pubblicamente.

Modello certificato

Un modello di certificato è una risorsa di primo livello che definisce uno scenario di emissione di certificati distinto. I certificati emessi utilizzando un modello di certificato ereditano dal modello le estensioni X.509 preconfigurate, come le limitazioni di utilizzo della chiave e della lunghezza del percorso. Un modello di certificato consente di definire quali estensioni conservare e quali ignorare da una richiesta di certificato. Puoi utilizzare i modelli di certificato per definire vincoli di identità al fine di limitare le identità dei certificati. Un modello di certificato può essere utilizzato con uno o più pool di CA.

Chiavi di firma CA

Il servizio CA viene configurato automaticamente per utilizzare Cloud Key Management Service per generare, memorizzare e utilizzare le chiavi di firma CA. In CA Service, viene utilizzata una versione della chiave Cloud KMS per firmare i certificati e le CRL. Puoi creare la tua chiave Cloud KMS e successivamente una CA che la utilizzi. In alternativa, puoi specificare l'algoritmo della chiave Cloud KMS che vuoi utilizzare per una CA e il servizio CA la creerà e la configurerà per tuo conto. Le chiavi Cloud KMS possono essere basate su software o hardware. Quando il servizio CA crea la chiave per tuo conto, crea sempre una chiave basata su hardware.

Bucket Cloud Storage

Le CA create nel servizio CA pubblicano i propri elementi, come i certificati CA e i CRL, in un bucket Cloud Storage nella stessa posizione della CA di cui è stato eseguito il deployment. Analogamente alle chiavi Cloud KMS, i bucket Cloud Storage possono essere una risorsa gestita da Google o una risorsa gestita dal cliente.

Livello CA

Il livello di un'autorità di certificazione indica le funzionalità supportate e lo SKU di fatturazione. CA Service fornisce i seguenti due livelli di servizio operativo per ogni pool di CA creato:

  • DevOps: consente di emettere certificati a una velocità effettiva o a un tasso di emissione più elevati, il che è utile in scenari con volumi elevati. I certificati emessi dalle CA DevOps non vengono monitorati nel database delle CA e di conseguenza non possono essere revocati. I CA DevOps supportano solo le chiavi di crittografia di proprietà di Google e gestite da Google. Non supportano le chiavi Cloud KMS gestite dal cliente.
  • Enterprise: offre un throughput di emissione dei certificati inferiore, ma supporta le operazioni CA come il monitoraggio e la revoca dei certificati. Ciò rende le CA di questo livello più adatte all'emissione di certificati a lungo termine. Le CA Enterprise supportano sia le chiavi di firma Cloud KMS gestite dal cliente sia le chiavi di crittografia di proprietà e gestite da Google.

Controlli dei criteri

I controlli dei criteri ti consentono di controllare il tipo di certificati che il tuo pool di CA può emettere. I controlli dei criteri sono di due tipi:

  • Controlli dei criteri a livello granulare, come i criteri di emissione. Un criterio di emissione dei certificati definisce i tipi di certificati che le CA nel pool di CA possono emettere. Ad esempio, un utente potrebbe limitare il pool di CA in modo che possa emettere solo certificati con i campi di utilizzo esteso della chiave corretti impostati per TLS client e che non possa emettere certificati CA.
  • Controlli dei criteri granulari rappresentati utilizzando modelli che determinano le operazioni che un determinato utente può eseguire su un pool di CA. I modelli di certificato possono essere utilizzati in combinazione con le condizioni IAM per creare in modo efficace controlli dei criteri diversi per utenti diversi nello stesso pool CA.

Puoi applicare i controlli dei criteri in CA Service nei seguenti modi:

  • Aggiunta di una linea di base per l'emissione di certificati da un intero pool di CA.
  • Utilizzo di modelli riutilizzabili e parametrizzati per scenari di emissione comuni.
  • Applicazione di un controllo granulare sulle associazioni IAM con condizioni.
  • Semplificazione del provisioning dei certificati dei carichi di lavoro tramite riflesso dell'identità.

Passaggi successivi