Conceitos do Certificate Authority Service

Nesta página, explicamos alguns dos principais conceitos do serviço de autoridade certificadora (CA).

Recursos

O CA Service consiste nos seguintes recursos:

Pool de autoridades certificadoras

Um pool de autoridades certificadoras (pool de CAs) é o principal recurso em CA Service. Um pool de ACs é o contêiner para autoridades e certificados. As condições do Identity and Access Management, as políticas de emissão e outras configurações são definidas no pool de ACs. A emissão de certificados também ocorre pelo pool de ACs, que distribui a carga de solicitações de certificado entre as ACs no pool.

Autoridade certificadora

Um recurso de autoridade de certificação (CA) representa o certificado individual de segurança usada para assinar certificados. No CA Service, é possível criar CAs raiz e subordinadas. A AC raiz tem um endereço de e-mail e está no topo da cadeia de certificados. Para uma AC subordinada, o signatário do certificado da AC pode ser outra AC criada no serviço de AC ou uma AC externa. Nesse último caso, o serviço de AC gera uma solicitação de assinatura de certificado (CSR) que precisa ser assinada pela AC externa. É possível usar a CLI ou o console do Google Cloud para ativar a nova CA fazendo upload da cadeia de certificados codificado em PEM assinada.

Certificado

Um certificado é um certificado X.509 assinado emitido pelo autoridade.

Lista de revogação de certificados

Uma lista de revogação de certificados (CRL) contém os números de série dos certificados que foram revogados e não devem mais ser confiáveis. As CRLs existem como um recurso da nuvem aninhado em ACs, mas também podem ser publicadas em codificações PEM ou DER em um bucket do Cloud Storage com um URL baseado em HTTP acessível publicamente.

Modelo de certificado

Um modelo de certificado é um recurso de nível superior que define um cenário de emissão de certificado distinto. Certificados emitidos usando um modelo de certificado herdam extensões X.509 pré-configuradas, como uso de chave e tamanho do caminho. restrições do modelo de certificado. Com um modelo de certificado, definir quais extensões manter e quais ignorar em um certificado solicitação. É possível usar modelos de certificado para definir restrições de identidade e limitar identidades de certificado. Um modelo de certificado pode ser usado com um ou mais pools de AC.

Chaves de assinatura de CA

O CA Service é configurado automaticamente para usar o Cloud Key Management Service para gerar, armazenar e usar chaves de assinatura de AC. No serviço de AC, uma versão de chave do Cloud KMS é usada para assinar certificados e CRLs. Você pode criar sua própria chave do Cloud KMS e, em seguida, criar uma AC que a usa. Ou especifique o algoritmo da chave do Cloud KMS que você quer usar para uma AC. O serviço de AC vai criar e configurar essa chave para você. As chaves do Cloud KMS podem ser protegidas por software ou hardware. Quando o serviço de AC cria a chave em seu nome, ele sempre cria uma chave com suporte de hardware.

Buckets do Cloud Storage

As ACs criadas no serviço de AC publicam os artefatos, como certificados de AC e CRLs, em um bucket do Cloud Storage no mesmo local que a AC implantada. Assim como as chaves do Cloud KMS, os buckets do Cloud Storage podem ser um recurso gerenciado pelo Google ou pelo cliente.

Nível da AC

O nível de uma autoridade certificadora indica os recursos compatíveis e a SKU de faturamento. O serviço de AC oferece os dois níveis de serviço operacionais a seguir para cada pool de AC criado:

  • DevOps: emissão de certificados em um certificado superior taxa de emissão ou capacidade de processamento, o que é útil em cenários de alto volume. Certificados emitidos por CAs de DevOps não são rastreados no banco de dados de CA e, consequentemente, não pode ser revogado. As ACs de DevOps só são compatíveis com chaves de propriedade e gerenciadas pelo Google. Elas não são compatíveis com chaves do Cloud KMS gerenciadas pelo cliente.
  • Empresa: Fornece uma capacidade de emissão de certificados menor, mas aceita Operações de CA, como rastreamento e revogação de certificados. Isso faz com que as ACs nesse nível, mais adequada para a emissão de certificados de longa duração. As ACs corporativas são compatíveis com chaves de assinatura do Cloud KMS gerenciadas pelo cliente e chaves gerenciadas e pertencentes ao Google.

Controles da política

Os controles de política permitem controlar o tipo de certificados que o pool de ACs pode emitir. Há dois tipos de controles de política:

  • Controles de política gerais, como políticas de emissão. Uma emissão de certificado define os tipos de certificados que as ACs do pool podem emitir. Por exemplo, um usuário pode restringir que o pool de ACs só possa emitir certificados com os campos de uso estendido da chave corretos definidos para o TLS do cliente e que não possa emitir certificados de AC.
  • Controles de políticas detalhadas representados usando modelos que determinam as operações que um usuário específico pode realizar em um pool de ACs. Os modelos de certificado podem ser usados com as condições do IAM para criar controles de políticas diferentes para usuários diferentes no mesmo pool de AC.

É possível aplicar controles de políticas no serviço de CA das seguintes maneiras:

  • adicionar um valor de referência para a emissão de certificados de todo um pool de ACs.
  • Usar modelos reutilizáveis e parametrizados para cenários de emissão comuns.
  • Ativar o controle detalhado sobre as vinculações do IAM com condições.
  • Simplificação do provisionamento de certificados de carga de trabalho com o reflexão da identidade.

A seguir