Conceitos do Certificate Authority Service
Esta página explica alguns dos principais conceitos do serviço de autoridade de certificação (serviço de AC).
Recursos
O serviço de CA consiste nos seguintes recursos:
Conjunto de autoridades de certificação
Um conjunto de autoridades de certificação (conjunto de ACs) é o recurso principal no serviço de AC. Um conjunto de ACs é o contentor para autoridades de certificação e certificados. As condições, as políticas de emissão e outras configurações da gestão de identidade e de acesso são definidas no conjunto de ACs. A emissão de certificados também ocorre através do conjunto de ACs, que distribui a carga de pedidos de certificados pelas ACs no conjunto de ACs.
Autoridade de certificação
Um recurso de autoridade de certificação (AC) representa a autoridade de certificação individual que é usada para assinar certificados. No serviço de AC, pode criar ACs de raiz e ACs subordinadas. A CA de raiz tem um certificado autoassinado e está no topo da cadeia de certificados. Para uma AC subordinada, o signatário do certificado da AC pode ser outra AC criada no serviço de AC ou uma AC externa. Neste último caso, o serviço de CA gera um pedido de assinatura de certificado (CSR) que tem de ser assinado pela CA externa. Pode usar a CLI do Google Cloud ou a Google Cloud consola para ativar a nova AC carregando a cadeia de certificados codificada em PEM assinada.
Certificado
Um certificado é um certificado X.509 assinado emitido pela autoridade de certificação.
Lista de revogação de certificados
Uma lista de revogação de certificados (LRC) contém os números de série dos certificados que foram revogados e nos quais já não se deve confiar. As CRLs existem como um recurso na nuvem aninhado em ACs, mas também podem ser publicadas em codificações PEM ou DER num contentor do Cloud Storage com um URL baseado em HTTP acessível publicamente.
Modelo de certificado
Um modelo de certificado é um recurso de nível superior que define um cenário de emissão de certificados distinto. Os certificados emitidos através de um modelo de certificado herdam extensões X.509 pré-configuradas, como a utilização de chaves e as restrições de comprimento do caminho, do modelo de certificado. Um modelo de certificado permite-lhe definir que extensões manter e quais ignorar de um pedido de certificado. Pode usar modelos de certificados para definir restrições de identidade para limitar as identidades dos certificados. Um modelo de certificado pode ser usado com um ou mais conjuntos de ACs.
Chaves de assinatura da AC
O serviço de AC é configurado automaticamente para usar o Cloud Key Management Service para gerar, armazenar e usar chaves de assinatura de AC. No serviço de AC, é usada uma versão da chave do Cloud KMS para assinar certificados e CRLs. Pode criar a sua própria chave do Cloud KMS e, posteriormente, criar uma AC que use esta chave. Em alternativa, pode especificar o algoritmo da chave do Cloud KMS que quer usar para uma AC e o CA Service cria e configura esta chave em seu nome. As chaves do Cloud KMS podem ser suportadas por software ou hardware. Quando o serviço de CA cria a chave em seu nome, cria sempre uma chave suportada por hardware.
Contentores do Cloud Storage
As ACs criadas no serviço de AC publicam os respetivos artefactos, como certificados de AC e CRLs, num contentor do Cloud Storage na mesma localização que a AC implementada. Semelhante às chaves do Cloud KMS, os contentores do Cloud Storage podem ser um recurso gerido pela Google ou um recurso gerido pelo cliente.
Nível da CA
O nível de uma autoridade de certificação indica as respetivas funcionalidades suportadas e SKU de faturação. O serviço de AC oferece os seguintes dois níveis de serviço operacionais para cada conjunto de AC criado:
- DevOps: fornece a emissão de certificados a uma taxa de emissão ou débito de certificados mais elevada, o que é útil em cenários de grande volume. Os certificados emitidos por ACs de DevOps não são monitorizados na base de dados de ACs e, consequentemente, não podem ser revogados. As ACs de DevOps só suportam chaves de encriptação pertencentes e geridas pela Google . Não suportam chaves do Cloud KMS geridas pelo cliente.
- Empresarial: oferece um débito de emissão de certificados inferior, mas suporta operações da AC, como o acompanhamento e a revogação de certificados. Isto torna as ACs neste nível mais adequadas para a emissão de certificados de longa duração. As ACs empresariais suportam chaves de assinatura do Cloud KMS geridas pelo cliente e chaves de encriptação pertencentes e geridas pela Google .
Controlos de políticas
Os controlos de políticas permitem-lhe controlar o tipo de certificados que o conjunto de ACs pode emitir. Os controlos de políticas são de um de dois tipos:
- Controlos de políticas detalhados, como políticas de emissão. Uma política de emissão de certificados define os tipos de certificados que as ACs nesse conjunto de ACs podem emitir. Por exemplo, um utilizador pode restringir que o respetivo conjunto de ACs só possa emitir certificados que tenham os campos de utilização da chave alargada corretos definidos para o TLS do cliente e que não possa emitir certificados de AC.
- Controlos de políticas detalhados representados através de modelos que determinam as operações que um utilizador específico pode realizar num conjunto de ACs. Os modelos de certificados podem ser usados em conjunto com as condições do IAM para criar eficazmente diferentes controlos de políticas para diferentes utilizadores no mesmo conjunto de ACs.
Pode aplicar controlos de políticas no serviço de CA das seguintes formas:
- Adicionar uma base para a emissão de certificados a partir de um conjunto de ACs completo.
- Usar modelos reutilizáveis e parametrizados para cenários de emissão comuns.
- Impor um controlo detalhado sobre as associações de IAM com condições.
- Simplificar o aprovisionamento de certificados de carga de trabalho através da reflexão de identidade.