Conceitos do Certificate Authority Service

Nesta página, explicamos alguns dos principais conceitos do Certificate Authority Service (CA Service).

Recursos

O serviço de CA consiste nos seguintes recursos:

Pool de autoridade de certificação

Um pool de autoridades de certificação (pool de CAs) é o principal recurso no serviço de CA. Um pool de CAs é o contêiner de autoridades de certificação e certificados. Condições do Identity and Access Management, políticas de emissão e outras configurações são definidas no pool de ACs. A emissão de certificados também ocorre por meio do pool de ACs, que distribui a carga de solicitação de certificado entre as CAs no pool de ACs.

Autoridade certificadora

Um recurso de autoridade de certificação (CA) representa a autoridade de certificação individual usada para assinar certificados. No serviço de CA, é possível criar CAs raiz e subordinadas. A CA raiz tem um certificado autoassinado e está no topo da cadeia de certificados. Para uma CA subordinada, o signatário do certificado de CA pode ser outra CA criada no serviço de CA ou uma CA externa. No último caso, o serviço de CA gera uma solicitação de assinatura de certificado (CSR, na sigla em inglês) que precisa ser assinada pela CA externa. Use a Google Cloud CLI ou o console do Google Cloud para ativar a nova CA fazendo o upload da cadeia de certificados codificada em PEM assinada.

Certificado

Um certificado é um certificado X.509 assinado emitido pela autoridade de certificação.

Lista de revogação de certificados

Uma lista de revogação de certificado (CRL) contém os números de série dos certificados que foram revogados e não devem mais ser confiáveis. As CRLs são um recurso de nuvem aninhado em CAs, mas também podem ser publicadas em codificações PEM ou DER em um bucket do Cloud Storage com um URL baseado em HTTP de acesso público.

Modelo de certificado

Um modelo de certificado é um recurso de nível superior que define um cenário distinto de emissão de certificado. Os certificados emitidos usando um modelo de certificado herdam extensões X.509 pré-configuradas, como uso de chaves e restrições de tamanho do caminho do modelo de certificado. Um modelo de certificado permite definir quais extensões manter e quais ignorar de uma solicitação de certificado. É possível usar modelos de certificado para definir restrições de identidade e limitar as identidades de certificados. Um modelo de certificado pode ser usado com um ou mais pools de CAs.

Chaves de assinatura de CA

O CA Service é configurado automaticamente para usar o Cloud Key Management Service a fim de gerar, armazenar e usar chaves de assinatura de CA. No serviço de CA, uma versão da chave do Cloud KMS é usada para assinar certificados e CRLs. É possível criar sua própria chave do Cloud KMS e, em seguida, gerar uma CA que use essa chave. Também é possível especificar o algoritmo da chave do Cloud KMS que você quer usar para uma CA, e o serviço de CA vai criar e configurar essa chave para você. As chaves do Cloud KMS podem ter suporte de software ou hardware. Ao criar a chave em seu nome, o serviço de CA sempre cria uma chave protegida por hardware.

Buckets do Cloud Storage

As CAs criadas no serviço de CA publicam artefatos, como certificados de CA e CRLs, em um bucket do Cloud Storage no mesmo local da CA implantada. Semelhante às chaves do Cloud KMS, os buckets do Cloud Storage podem ser um recurso gerenciado pelo Google ou pelo cliente.

Nível da CA

O nível de uma autoridade de certificação indica os recursos suportados e a SKU de faturamento. O CA Service fornece os dois níveis de serviço operacionais a seguir para cada pool de ACs criado:

  • DevOps: fornece a emissão de certificados a uma taxa de emissão ou capacidade mais alta, o que é útil em cenários de alto volume. Os certificados emitidos pelas CAs de DevOps não são rastreados no banco de dados da CA e, posteriormente, não podem ser revogados. As CAs de DevOps dão suporte apenas a chaves gerenciadas pelo Google. Ele não oferece suporte a chaves do Cloud KMS gerenciadas pelo cliente.
  • Empresarial: fornece uma capacidade de emissão de certificado menor, mas aceita operações de CA, como rastreamento de certificados e revogação de certificados. Isso torna as CAs nesse nível mais adequadas para a emissão de certificados de longa duração. As CAs empresariais oferecem suporte às chaves de assinatura do Cloud KMS gerenciadas pelo cliente e às chaves gerenciadas pelo Google.

Controles da política

Com os controles de políticas, você controla o tipo de certificados que o pool de CAs pode emitir. Há dois tipos de controles de política:

  • Controles de política gerais, como políticas de emissão. Uma política de emissão de certificados define os tipos de certificados que as CAs nesse pool podem emitir. Por exemplo, um usuário pode restringir que o pool de CAs só pode emitir certificados que tenham os campos corretos de uso de chave estendida definidos para o TLS do cliente e que ele não possa emitir certificados de CA.
  • Controles de política refinados representados por modelos que determinam as operações que um determinado usuário pode executar em um pool de ACs. Os modelos de certificado podem ser usados em conjunto com as condições do IAM para criar diferentes controles de política para diferentes usuários no mesmo pool de CAs.

É possível aplicar controles de política no serviço de CA das seguintes maneiras:

  • Adicionar um valor de referência para a emissão de certificados de um pool de ACs inteiro.
  • Como usar modelos reutilizáveis e parametrizados em cenários de emissão comuns.
  • Como aplicar controle detalhado sobre as vinculações do IAM com condições.
  • Simplificar o provisionamento de certificados de carga de trabalho usando a reflexão de identidade.

A seguir