Certificate Authority Service 개념
이 페이지에서는 Certificate Authority Service(CA Service)의 주요 개념을 설명합니다.
리소스
CA Service는 다음 리소스로 구성됩니다.
인증 기관 풀
인증 기관 풀(CA 풀)은 CA 서비스의 기본 리소스입니다. CA 풀은 인증 기관 및 인증서를 위한 컨테이너입니다. Identity and Access Management 조건, 발급 정책, 기타 구성이 CA 풀에 설정됩니다. 인증서 발급은 CA 풀을 통해서도 발생하며, 이는 CA 풀의 CA 전체에 인증서 요청 부하를 분산시킵니다.
인증 기관
인증 기관(CA) 리소스는 인증서에 서명하는 데 사용되는 개별 인증 기관을 나타냅니다. CA Service에서 루트 CA와 하위 CA를 모두 만들 수 있습니다. 루트 CA는 자체 서명 인증서가 있으며 인증서 체인의 맨 위에 있습니다. 하위 CA의 경우 CA 인증서의 서명자는 CA Service에서 생성된 다른 CA이거나 외부 CA일 수 있습니다. 후자의 경우 CA Service는 외부 CA에서 서명해야 하는 인증서 서명 요청(CSR)을 생성합니다. Google Cloud CLI 또는 Google Cloud 콘솔을 사용하여 서명된 PEM 인코딩 인증서 체인을 업로드하여 새 CA를 활성화할 수 있습니다.
인증서
인증서는 인증 기관에서 발급한 서명된 X.509 인증서입니다.
해지 인증서 목록
해지 인증서 목록(CRL)에는 취소되었으며 더 이상 신뢰할 수 없는 인증서의 일련번호가 포함되어 있습니다. CRL은 CA에 중첩된 클라우드 리소스로 존재하지만 공개적으로 액세스 가능한 HTTP 기반 URL을 사용하여 Cloud Storage 버킷에 PEM 또는 DER 인코딩으로 게시될 수도 있습니다.
인증서 템플릿
인증서 템플릿은 고유한 인증서 발급 시나리오를 정의하는 최상위 리소스입니다. 인증서 템플릿을 사용하여 발급된 인증서는 인증서 템플릿의 키 사용 및 경로 길이 제한과 같이 사전 구성된 X.509 확장 프로그램을 상속합니다. 인증서 템플릿을 사용하면 유지할 확장 프로그램 및 인증서 요청에서 무시할 확장 프로그램을 정의할 수 있습니다. 인증서 템플릿을 사용하여 ID 제약조건을 정의하여 인증서 ID를 제한할 수 있습니다. 인증서 템플릿은 하나 이상의 CA 풀과 함께 사용할 수 있습니다.
CA 서명 키
CA Service는 Cloud Key Management Service를 사용하여 CA 서명 키를 생성, 저장, 활용하도록 자동으로 구성됩니다. CA Service에서 Cloud KMS 키 버전은 인증서와 CRL에 서명하는 데 사용됩니다. 자체 Cloud KMS 키를 만든 다음 이 키를 사용하는 CA를 만들 수 있습니다. 또는 CA에 사용할 Cloud KMS 키의 알고리즘을 지정하면 CA Service가 사용자를 대신하여 이 키를 만들고 구성합니다. Cloud KMS 키는 소프트웨어 또는 하드웨어 지원일 수 있습니다. CA Service가 사용자를 대신하여 키를 만들 때는 항상 하드웨어 지원 키를 만듭니다.
Cloud Storage 버킷
CA Service에서 만든 CA는 CA 인증서 및 CRL과 같은 아티팩트를 배포된 CA와 동일한 위치의 Cloud Storage 버킷에 게시합니다. Cloud KMS 키와 마찬가지로 Cloud Storage 버킷은 Google 관리 리소스 또는 고객 관리 리소스일 수 있습니다.
CA 등급
인증 기관의 등급은 지원되는 기능과 결제 SKU를 나타냅니다. CA Service는 생성된 각 CA 풀에 대해 다음 두 가지 운영 서비스 등급을 제공합니다.
- DevOps: 대용량 시나리오에서 유용한 높은 인증서 발급 속도 또는 처리량으로 인증서 발급을 제공합니다. DevOps CA에서 발급한 인증서는 CA 데이터베이스에서 추적되지 않으며 취소할 수 없습니다. DevOps CA는 Google 관리 키만 지원합니다. 고객 관리 Cloud KMS 키는 지원하지 않습니다.
- Enterprise: 낮은 인증서 발급 처리량을 제공하지만 인증서 추적 및 인증서 취소와 같은 CA 작업을 지원합니다. 따라서 이 등급의 CA는 장기 인증서 발급에 더 적합합니다. Enterprise CA는 고객 관리 Cloud KMS 서명 키와 Google 관리 키를 모두 지원합니다.
정책 제어
정책 제어를 사용하면 CA 풀이 발급할 수 있는 인증서 유형을 제어할 수 있습니다. 정책 제어는 두 가지 유형 중 하나입니다.
- 발급 정책과 같은 대략적인 정책 제어. 인증서 발급 정책은 해당 CA 풀의 CA가 발급할 수 있는 인증서 유형을 정의합니다. 예를 들어 사용자는 CA 풀이 클라이언트 TLS에 대해 올바른 확장 키 사용 필드가 설정된 인증서만 발급할 수 있으며 CA 인증서를 발급할 수 없도록 제한할 수 있습니다.
- 특정 사용자가 CA 풀에서 수행할 수 있는 작업을 결정하는 템플릿을 사용하여 나타내는 세분화된 정책 제어입니다. 인증서 템플릿을 IAM 조건과 함께 사용하여 동일한 CA 풀의 사용자마다 서로 다른 정책 제어를 효과적으로 만들 수 있습니다.
다음과 같은 방법으로 CA Service에서 정책 제어를 적용할 수 있습니다.
- 전체 CA 풀에서 인증서 발급 기준을 추가합니다.
- 일반적인 발급 시나리오에 재사용 가능하고 매개변수화된 템플릿을 사용합니다.
- 조건을 사용하여 IAM 바인딩을 세밀하게 제어하도록 합니다.
- ID 리플렉션을 사용하여 워크로드 인증서 프로비저닝을 간소화합니다.