Certificate Authority Service – Übersicht

Certificate Authority Service (CA Service) ist ein hoch skalierbarer Google Cloud-Dienst, mit dem Sie die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen und automatisieren können. Private CAs stellen digitale Zertifikate aus, die die Entitätsidentität, die Ausstelleridentität und kryptografische Signaturen enthalten. Private Zertifikate sind eine der gängigsten Methoden zur Authentifizierung von Nutzern, Computern oder Diensten über Netzwerke. Private Zertifikate werden häufig in DevOps-Umgebungen verwendet, um Container, Mikrodienste, virtuelle Maschinen und Dienstkonten zu schützen.

Mit CA Service können Sie Folgendes tun:

  • Erstellen Sie benutzerdefinierte Stamm- und untergeordnete Zertifizierungsstellen.
  • Definieren Sie das Thema, den Schlüsselalgorithmus und den Speicherort der Zertifizierungsstelle.
  • Wählen Sie die Region einer untergeordneten Zertifizierungsstelle unabhängig von der Region der Stammzertifizierungsstelle aus.
  • Wiederverwendbare und parametrisierte Vorlagen für gängige Szenarien der Zertifikatsausstellung erstellen
  • Sie können Ihre eigene Root-Zertifizierungsstelle verwenden und andere Zertifizierungsstellen so konfigurieren, dass sie mit der vorhandenen lokal oder außerhalb von Google Cloud ausgeführten Stammzertifizierungsstelle verknüpft werden.
  • Speichern Sie Ihre privaten CA-Schlüssel mit Cloud HSM. Dieser Dienst erfüllt die Anforderungen von FIPS 140-2 Level 3 und ist in mehreren Regionen in Amerika, Europa und im asiatisch-pazifischen Raum verfügbar.
  • Mit Cloud-Audit-Logs können Sie Logs abrufen und sehen, wer was wann und wo getan hat.
  • Definieren Sie mit Identity and Access Management (IAM) detaillierte Zugriffssteuerungen und mit VPC Service Controls virtuelle Sicherheitsperimeter.
  • Sie können eine große Anzahl von Zertifikaten verwalten, denn CA Service unterstützt das Ausstellen von bis zu 25 Zertifikaten pro Sekunde und Zertifizierungsstelle (DevOps-Stufe). Das bedeutet, dass jede Zertifizierungsstelle Millionen von Zertifikaten ausstellen kann. Sie können mehrere Zertifizierungsstellen hinter einem Ausstellungsendpunkt, einem sogenannten CA-Pool, erstellen und die eingehenden Zertifikatsanfragen auf alle Zertifizierungsstellen verteilen. Mit dieser Funktion können Sie effektiv bis zu 100 Zertifikate pro Sekunde ausstellen.
  • Sie können private Zertifizierungsstellen auf die für Sie am besten geeignete Weise verwalten, automatisieren und einbinden: mit APIs, der Google Cloud CLI, der Google Cloud Console oder Terraform.

Anwendungsfälle für Zertifikate

Sie können Ihre privaten Zertifizierungsstellen verwenden, um Zertifikate für die folgenden Anwendungsfälle auszustellen:

  • Integrität der Softwarelieferkette und Codeidentität: Codesignatur, Artefaktauthentifizierung und Zertifikate zur Anwendungsidentität
  • Nutzeridentität: Clientauthentifizierungszertifikate, die als Nutzeridentität für Zero-Trust-Netzwerke, VPN, Dokumentsignatur, E-Mail, Smartcard und mehr verwendet werden.
  • IoT- und Mobilgeräteidentität: Clientzertifikate, die für die Geräteidentität und -authentifizierung verwendet werden, z. B. für den WLAN-Zugriff.
  • Intradienstidentität: Von Mikrodiensten verwendete mTLS-Zertifikate.
  • Kanäle für Continuous Integration und Continuous Delivery (CI/CD): Codesignaturzertifikate, die im gesamten CI/CD-Build verwendet werden, um die Codeintegrität und Sicherheit zu verbessern.
  • Kubernetes und Istio: Zertifikate zum Sichern von Verbindungen zwischen den Kubernetes- und Istio-Komponenten.

Vorteile einer privaten PKI

In einer typischen Web Public Key Infrastructure (PKI) vertrauen Millionen von Clients weltweit einer Reihe unabhängiger Zertifizierungsstellen (Certificate Authorities, CAs), um Identitäten (z. B. Domainnamen) in Zertifikaten zu bestätigen. Als Teil ihrer Aufgaben verpflichten CAs, Zertifikate nur dann auszustellen, wenn sie die Identität in diesem Zertifikat unabhängig überprüft haben. Beispielsweise muss eine Zertifizierungsstelle in der Regel überprüfen, ob ein Nutzer, der ein Zertifikat für den Domainnamen example.com anfordert, auch die besagte Domain kontrolliert, bevor er ein Zertifikat für sie ausstellt. Da diese Zertifizierungsstellen Zertifikate für Millionen von Kunden ausstellen können, wenn sie möglicherweise keine direkte Beziehung haben, sind sie auf die Bestätigung von Identitäten beschränkt, die öffentlich überprüfbar sind. Diese Zertifizierungsstellen sind auf bestimmte genau definierte Verifizierungsprozesse beschränkt, die einheitlich auf die gesamte Web-PKI angewendet werden.

Im Gegensatz zu einer Web-PKI umfasst eine private PKI häufig eine kleinere CA-Hierarchie, die direkt von einer Organisation verwaltet wird. Eine private PKI sendet Zertifikate nur an Clients, die der Organisation grundsätzlich vertrauen, die entsprechenden Kontrollen zu haben (z. B. Computer, die dieser Organisation gehören). Da die CA-Administratoren häufig ihre eigenen Methoden zur Validierung von Identitäten haben, für die sie Zertifikate ausstellen (z. B. die Ausstellung von Zertifikaten an eigene Mitarbeiter), sind sie nicht durch dieselben Anforderungen wie für Web-PKI eingeschränkt. Diese Flexibilität ist einer der Hauptvorteile einer privaten PKI gegenüber Web-PKI. Eine private PKI ermöglicht neue Anwendungsfälle wie das Sichern interner Websites mit kurzen Domainnamen, ohne dass eindeutige Eigentumsrechte für diese Namen erforderlich sind, oder die Codierung alternativer Identitätsformate (z. B. SPIFFE-IDs) in einem Zertifikat.

Darüber hinaus erfordert die Web-PKI, dass alle Zertifizierungsstellen jedes ausgestellte Zertifikat in öffentlichen Zertifikatstransparenz-Logs protokollieren. Dies ist für Organisationen, die Zertifikate für ihre internen Dienste ausstellen, möglicherweise nicht erforderlich. Mit einer privaten PKI können Organisationen ihre interne Infrastrukturtopologie, z. B. die Namen ihrer Netzwerkdienste oder Anwendungen, vor dem Rest der Welt privat halten.

Nächste Schritte