Concetti di Certificate Authority Service

In questa pagina vengono spiegati alcuni dei concetti chiave di Certificate Authority Service (CA Service).

Risorse

CA Service è costituito dalle seguenti risorse:

Pool di autorità di certificazione

Un pool di autorità di certificazione (pool di CA) è la risorsa principale in CA Service. Un pool di CA è il container per le autorità di certificazione e i certificati. Nel pool di CA vengono impostate le condizioni di Identity and Access Management, i criteri di emissione e altre configurazioni. L'emissione dei certificati avviene anche attraverso il pool di CA, che distribuisce il carico della richiesta di certificato tra le CA del pool di CA.

Autorità di certificazione

Una risorsa autorità di certificazione (CA) rappresenta la singola autorità di certificazione utilizzata per firmare i certificati. In CA Service, puoi creare sia CA radice che CA subordinate. La CA radice ha un certificato autofirmato e si trova in cima alla catena di certificati. Per una CA subordinata, il firmatario del certificato CA può essere un'altra CA creata in CA Service o una CA esterna. Nel secondo caso, CA Service genera una richiesta di firma del certificato (CSR) che deve essere firmata dalla CA esterna. Puoi utilizzare Google Cloud CLI o la console Google Cloud per attivare la nuova CA caricando la catena di certificati firmata con codifica PEM.

Certificato

Un certificato è un certificato X.509 firmato emesso dall'autorità di certificazione.

Elenco revoche certificati

Un elenco revoche certificati (CRL) contiene i numeri di serie dei certificati che sono stati revocati e che non dovrebbero più essere attendibili. I CRL esistono come risorse cloud nidificate all'interno delle CA, ma possono anche essere pubblicati con codifiche PEM o DER in un bucket Cloud Storage con un URL basato su HTTP accessibile pubblicamente.

Modello di certificato

Un modello di certificato è una risorsa di primo livello che definisce uno scenario di emissione dei certificati distinto. I certificati emessi utilizzando un modello di certificato ereditano le estensioni X.509 preconfigurate, come l'utilizzo della chiave e le limitazioni di lunghezza del percorso dal modello di certificato. Un modello di certificato consente di definire le estensioni da conservare e quelle da ignorare da una richiesta di certificato. Puoi utilizzare i modelli di certificato per definire i vincoli di identità e limitare le identità dei certificati. Un modello di certificato può essere usato con uno o più pool di CA.

Chiavi di firma CA

CA Service è configurato automaticamente per utilizzare Cloud Key Management Service per generare, archiviare e utilizzare le chiavi di firma CA. Nel servizio CA, viene utilizzata una versione della chiave Cloud KMS per firmare certificati e CRL. Puoi creare la tua chiave Cloud KMS e successivamente creare una CA che la utilizzi. In alternativa, puoi specificare l'algoritmo della chiave Cloud KMS che vuoi utilizzare per una CA e CA Service creerà e configurerà questa chiave per tuo conto. Le chiavi Cloud KMS possono essere di tipo software o hardware. Quando CA Service crea la chiave per tuo conto, crea sempre una chiave basata su hardware.

Bucket Cloud Storage

Le CA create nel servizio CA pubblicano i propri artefatti, come certificati CA e CRL, in un bucket Cloud Storage nella stessa località della CA di cui è stato eseguito il deployment. Analogamente alle chiavi Cloud KMS, i bucket Cloud Storage possono essere una risorsa gestita da Google o dal cliente.

Livello CA

Il livello di un'autorità di certificazione indica le funzionalità supportate e lo SKU di fatturazione. CA Service fornisce i seguenti due livelli di servizio operativi per ogni pool di CA creato:

  • DevOps: fornisce l'emissione di certificati a una velocità di emissione o una velocità effettiva più elevata, utile in scenari con volumi elevati. I certificati emessi dalle CA DevOps non vengono tracciati nel database CA e successivamente non possono essere revocati. Le DevOps CA supportano solo le chiavi di proprietà di Google e gestite da Google. Non supportano le chiavi Cloud KMS gestite dal cliente.
  • Aziende: fornisce una velocità effettiva di emissione dei certificati inferiore, ma supporta le operazioni delle CA come il monitoraggio dei certificati e la revoca dei certificati. Ciò rende le CA di questo livello più adatte all'emissione di certificati a lunga durata. Le CA aziendali supportano sia le chiavi di firma Cloud KMS gestite dal cliente sia le chiavi di proprietà di Google e gestite da Google.

Controlli dei criteri

I controlli dei criteri consentono di controllare il tipo di certificati che il pool di CA può emettere. I controlli dei criteri sono di due tipi:

  • Controlli dei criteri granulari come i criteri di emissione. Un criterio di emissione dei certificati definisce i tipi di certificati che le CA nel pool di CA possono emettere. Ad esempio, un utente potrebbe limitare il pool di CA in modo che possa emettere solo certificati con i campi di utilizzo esteso della chiave corretti impostati per TLS del client e che non possa emettere certificati CA.
  • Controlli granulari dei criteri rappresentati mediante modelli che determinano le operazioni che un determinato utente può eseguire su un pool di CA. I modelli di certificato possono essere utilizzati in combinazione con condizioni IAM per creare in modo efficace controlli dei criteri diversi per utenti diversi nello stesso pool di CA.

Puoi applicare i controlli dei criteri in CA Service nei seguenti modi:

  • Aggiunta di una base di riferimento per l'emissione dei certificati da un intero pool di CA.
  • Utilizzo di modelli riutilizzabili e con parametri per scenari di emissione comuni.
  • Applicazione di un controllo granulare sulle associazioni IAM con condizioni.
  • Semplificare il provisioning dei certificati dei carichi di lavoro utilizzando la riflessione delle identità.

Passaggi successivi