Déterminer les paramètres de l'autorité de certification

Cette page fournit des informations sur les différents paramètres d'une autorité de certification.

Paramètres permanents

Vous ne pouvez pas modifier les paramètres mentionnés dans cette section une fois l'autorité de certification créée.

Paramètres spécifiques des services

Type d'autorité de certification

CA Service vous permet de créer à la fois des CA racine et des CA subordonnées.

Certificat émanant d'une autorité de certification racine	Autorité de certification subordonnée
Une autorité de certification racine est une autorité de certification autosignée. Les parties qui doivent authentifier les certificats créés à partir d'une autorité de certification racine (une partie de confiance) doivent connaître leur certificat d'autorité à l'avance. Le certificat CA racine est souvent appelé ancre de confiance. Il est difficile de modifier fréquemment une CA racine. Pour modifier l'autorité de certification racine, vous devez d'abord informer tous les tiers de confiance de la nouvelle ancre de confiance. Sinon, elles ne pourront pas authentifier les certificats de la nouvelle autorité de certification racine. Les autorités de certification racine ne peuvent pas être révoquées à l'aide des LRC de l'autorité de certification émettrice, car elles sont autosignées. Pour révoquer une autorité de certification racine, vous devez la supprimer du magasin de confiance de chaque client qui lui fait confiance. Ce processus peut être long et fastidieux. Par conséquent, nous recommandons de protéger les AC racine.	Une autorité de certification subordonnée est une autorité de certification signée par une autorité de certification racine ou une autre autorité de certification subordonnée. Après une chaîne de CA subordonnée, la chaîne se termine toujours par une CA racine. Une partie de confiance qui ne connaît que l'autorité de certification racine peut également approuver implicitement une CA subordonnée qui se connecte au certificat CA racine explicitement approuvé. L'autorité de certification subordonnée ne peut être approuvée que si la partie de confiance est en mesure de valider de manière cryptographique la chaîne de certificat qui constitue un chemin d'accès au certificat CA racine. Une chaîne contenant une racine et une ou plusieurs CA subordonnées peuvent inclure des autorités de certification gérées dans le service de CA et des autorités de certification qui ne le sont pas.

Certificat émanant d'une autorité de certification racine

Autorité de certification subordonnée

Une autorité de certification racine est une autorité de certification autosignée. Les parties qui doivent authentifier les certificats créés à partir d'une autorité de certification racine (une partie de confiance) doivent connaître leur certificat d'autorité à l'avance. Le certificat CA racine est souvent appelé ancre de confiance.

Il est difficile de modifier fréquemment une CA racine. Pour modifier l'autorité de certification racine, vous devez d'abord informer tous les tiers de confiance de la nouvelle ancre de confiance. Sinon, elles ne pourront pas authentifier les certificats de la nouvelle autorité de certification racine.

Les autorités de certification racine ne peuvent pas être révoquées à l'aide des LRC de l'autorité de certification émettrice, car elles sont autosignées. Pour révoquer une autorité de certification racine, vous devez la supprimer du magasin de confiance de chaque client qui lui fait confiance. Ce processus peut être long et fastidieux. Par conséquent, nous recommandons de protéger les AC racine.

Une autorité de certification subordonnée est une autorité de certification signée par une autorité de certification racine ou une autre autorité de certification subordonnée. Après une chaîne de CA subordonnée, la chaîne se termine toujours par une CA racine.

Une partie de confiance qui ne connaît que l'autorité de certification racine peut également approuver implicitement une CA subordonnée qui se connecte au certificat CA racine explicitement approuvé. L'autorité de certification subordonnée ne peut être approuvée que si la partie de confiance est en mesure de valider de manière cryptographique la chaîne de certificat qui constitue un chemin d'accès au certificat CA racine.

Une chaîne contenant une racine et une ou plusieurs CA subordonnées peuvent inclure des autorités de certification gérées dans le service de CA et des autorités de certification qui ne le sont pas.

Clé Cloud KMS

Par défaut, les nouvelles autorités de certification utilisent une clé Cloud Key Management Service (Cloud KMS) gérée par Google. Vous pouvez choisir un algorithme de clé spécifique pour la clé Cloud KMS gérée par Google. Vous pouvez également accorder au service CA l'accès à une clé qui existe déjà. Pour en savoir plus, consultez Choisir un algorithme de clé.

Pour en savoir plus sur les modèles de gestion des clés Cloud KMS et des buckets Cloud Storage, consultez la page Gérer les ressources.

Bucket Cloud Storage

Par défaut, CA Service crée un bucket Cloud Storage géré par Google au même emplacement que l'autorité de certification. Vous pouvez également choisir d'utiliser un bucket autogéré existant ou de créer un bucket. Pour réduire la latence lors de la publication des LRC, nous vous recommandons de créer le bucket Cloud Storage au même emplacement que votre autorité de certification. Pour en savoir plus, consultez Gérer les ressources.

Paramètres du certificat CA

Les paramètres suivants sont directement reflétés dans le certificat de l'autorité de certification:

Paramètre	Description
Durée de vie	Spécifie la durée de vie d'une autorité de certification. La durée de vie correspond à la durée pendant laquelle l'autorité de certification est valide, à compter de sa création.
Objet	Une autorité de certification peut spécifier un nom distinctif et d'autres noms d'objet. Dans de nombreux cas, ces champs sont purement informatifs. Toutefois, un tiers de confiance peut choisir de traiter différemment les certificats émis par une autorité de certification ayant des attributs de sujet particuliers. Si vous souhaitez spécifier un autre nom d'objet pour le certificat de votre autorité de certification, vous devez utiliser la Google Cloud CLI.

Paramètre

Description

Durée de vie

Spécifie la durée de vie d'une autorité de certification. La durée de vie correspond à la durée pendant laquelle l'autorité de certification est valide, à compter de sa création.

Objet

Une autorité de certification peut spécifier un nom distinctif et d'autres noms d'objet. Dans de nombreux cas, ces champs sont purement informatifs. Toutefois, un tiers de confiance peut choisir de traiter différemment les certificats émis par une autorité de certification ayant des attributs de sujet particuliers.

Si vous souhaitez spécifier un autre nom d'objet pour le certificat de votre autorité de certification, vous devez utiliser la Google Cloud CLI.

Paramètres d'autorité de certification facultatifs

Les paramètres d'autorité de certification suivants sont facultatifs. Vous pouvez modifier le paramètre suivant après avoir créé l'autorité de certification.

Paramètre	Description
Libellé	Une autorité de certification peut être associée à un ou plusieurs libellés utilisateur. Les étiquettes n'ont aucune signification sémantique pour CA Service.

Étapes suivantes

Découvrez comment créer une autorité de certification racine.
Découvrez comment créer une autorité de certification subordonnée.
Découvrez comment créer une autorité de certification subordonnée à partir d'une autorité de certification externe.