Determinar as configurações da autoridade certificadora
Esta página contém informações sobre as várias configurações de uma autoridade certificadora (AC).
Configurações permanentes
Não é possível mudar as configurações mencionadas nesta seção depois de criar a CA.
Configurações específicas dos serviços
Tipo de AC
O CA Service permite criar ACs raiz e subordinadas.
| CA raiz | CA subordinada |
|---|---|
| Uma AC raiz é autoassinada.
As partes que precisam autenticar
certificados criados por uma AC raiz
(uma parte confiável) precisam conhecer o certificado
da AC com antecedência. O certificado de AC
raiz é frequentemente chamado de
âncora de confiança. Muitas vezes, é difícil mudar uma AC raiz. Para mudar a AC raiz, primeiro é necessário atualizar todas as partes confiáveis sobre a nova âncora de confiança. Caso contrário, não será possível autenticar certificados da nova AC raiz. As ACs raiz não podem ser revogadas usando as CRLs da AC emissora porque são autoassinhadas. Para revogar uma AC raiz, ela precisa ser removida da loja de confiança de cada cliente que confia nela. Esse processo pode ser longo e tedioso. Portanto, recomendamos proteger as ACs raiz. |
Uma AC subordinada é uma AC que é
assinada por uma AC raiz ou outra
AC subordinada. Seguindo uma cadeia de
ACs subordinadas, a cadeia sempre
termina com uma AC raiz. Uma parte confiável que conhece apenas uma AC raiz também pode confiar implicitamente em uma AC subordinada que cria uma cadeia para o certificado da AC raiz explicitamente confiável. A AC subordinada só pode ser confiável se a parte confiável for capaz de validar criptograficamente a cadeia de certificados que forma um caminho para o certificado da AC raiz. Uma cadeia que contém uma AC raiz e uma ou mais ACs subordinadas pode incluir ACs gerenciadas no serviço de AC e ACs que não são. |
Chave do Cloud KMS
Por padrão, as novas ACs usam uma chave do Cloud Key Management Service (Cloud KMS) gerenciada pelo Google. É possível escolher um algoritmo de chave específico para a chave do Cloud KMS gerenciada pelo Google. Como alternativa, você pode conceder acesso do serviço de AC a uma chave que já existe. Para mais informações, consulte Escolher um algoritmo de chave.
Para mais informações sobre os modelos de gerenciamento de chaves do Cloud KMS e buckets do Cloud Storage, consulte Gerenciar recursos.
Bucket do Cloud Storage
Por padrão, o CA Service cria um novo bucket do Cloud Storage gerenciado pelo Google no mesmo local que a AC. Você também pode usar um bucket autogerenciado ou criar um novo. Para minimizar a latência ao publicar CRLs, recomendamos criar o bucket do Cloud Storage no mesmo local que a AC. Para mais informações, consulte Gerenciar recursos.
Configurações do certificado de CA
As configurações a seguir são refletidas diretamente no certificado da AC:
| Configuração | Descrição |
|---|---|
| Ciclo de vida | Especifica a vida útil de uma AC. A validade é o período de validade da AC, a partir da criação dela. |
| Assunto | Uma AC pode especificar um nome distinto e nomes alternativos do
assunto. Em muitos casos, esses campos são puramente informativos.
No entanto, uma parte confiável pode tratar os certificados emitidos
por uma AC com atributos de assunto específicos de maneira diferente. Se você quiser especificar um nome alternativo do assunto para o certificado da AC, use a Google Cloud CLI. |
Configurações opcionais da AC
As configurações de AC a seguir são opcionais. É possível mudar a seguinte configuração depois de criar a AC.
| Configuração | Descrição |
|---|---|
| Rótulo | Uma AC pode ter um ou mais rótulos de usuário associados a ela. Os rótulos não têm significado semântico para o serviço de CA. |
A seguir
- Saiba como criar uma AC raiz.
- Saiba como criar uma AC subordinada.
- Saiba como criar uma AC subordinada a partir de uma AC externa.