Menentukan setelan certificate authority
Halaman ini memberikan informasi tentang berbagai setelan certificate authority (CA).
Setelan permanen
Anda tidak dapat mengubah setelan yang disebutkan di bagian ini setelah membuat CA.
Setelan spesifik per layanan
Jenis CA
CA Service memungkinkan Anda membuat root CA dan subordinate CA.
| Root CA | CA subordinat |
|---|---|
| CA root adalah CA yang ditandatangani sendiri.
Pihak yang perlu mengautentikasi
sertifikat yang dibuat dari root CA
(pihak tepercaya) harus mengetahui sertifikat
CA-nya terlebih dahulu. Sertifikat root CA
sering disebut sebagai
anchor kepercayaan. Mengubah root CA sering kali sulit. Untuk mengubah CA root, Anda harus memperbarui semua pihak tepercaya terlebih dahulu tentang anchor kepercayaan baru. Jika tidak, mereka tidak akan dapat mengautentikasi sertifikat dari root CA baru. Root CA tidak dapat dicabut menggunakan CRL dari CA penerbit karena root CA ditandatangani sendiri. Untuk mencabut CA root, Anda harus menghapusnya dari penyimpanan kepercayaan setiap klien yang mempercayainya. Proses ini bisa memakan waktu lama dan melelahkan. Oleh karena itu, sebaiknya lindungi root CA. |
Subordinate CA adalah CA yang
ditandatangani oleh root CA atau
subordinate CA lainnya. Dengan mengikuti rantai
CA subordinasi, rantai tersebut selalu
berakhir dengan root CA. Pihak yang mengandalkan yang hanya mengetahui root CA juga dapat secara implisit memercayai CA subordinasi yang menjadi rantai ke sertifikat root CA yang dipercaya secara eksplisit. CA subordinat hanya dapat dipercaya jika pihak tepercaya dapat memvalidasi rantai sertifikat secara kriptografis yang membentuk jalur ke sertifikat root CA. Rantai yang berisi root dan satu atau beberapa CA subordinat dapat menyertakan CA yang dikelola di Layanan CA dan CA yang tidak dikelola. |
Kunci Cloud KMS
Secara default, CA baru menggunakan kunci Cloud Key Management Service (Cloud KMS) yang dikelola Google. Anda dapat memilih algoritma kunci tertentu untuk kunci Cloud KMS yang dikelola Google. Atau, Anda dapat memberikan akses Layanan CA ke kunci yang sudah ada. Untuk informasi selengkapnya, lihat Memilih algoritma kunci.
Untuk informasi selengkapnya tentang model pengelolaan untuk kunci Cloud KMS dan bucket Cloud Storage, lihat Mengelola resource.
Bucket Cloud Storage
Secara default, CA Service membuat bucket Cloud Storage baru yang dikelola Google di lokasi yang sama dengan CA. Anda juga dapat memilih untuk menggunakan bucket yang dikelola sendiri yang ada atau membuat bucket baru. Untuk meminimalkan latensi saat memublikasikan CRL, sebaiknya buat bucket Cloud Storage di lokasi yang sama dengan CA Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola fasilitas.
Setelan sertifikat CA
Setelan berikut langsung tercermin dalam sertifikat CA itu sendiri:
| Setelan | Deskripsi |
|---|---|
| Selama ini | Menentukan masa berlaku CA. Masa berlaku adalah jumlah waktu, mulai dari pembuatan CA, yang berlaku untuk CA. |
| Subjek | CA dapat menentukan nama pembeda dan nama alternatif subjek. Dalam banyak kasus, kolom ini hanya bersifat informatif.
Namun, pihak tepercaya dapat memilih untuk memperlakukan sertifikat yang dikeluarkan
dari CA dengan atribut subjek tertentu secara berbeda. Jika ingin menentukan nama alternatif subjek untuk sertifikat CA, Anda harus menggunakan Google Cloud CLI. |
Setelan CA opsional
Setelan CA berikut bersifat opsional. Anda dapat mengubah setelan berikut setelah membuat CA.
| Setelan | Deskripsi |
|---|---|
| Label | CA dapat memiliki satu atau beberapa label pengguna yang terpasang. Label tidak memiliki arti semantik untuk CA Service. |
Langkah selanjutnya
- Pelajari cara membuat CA root.
- Pelajari cara membuat CA subordinat.
- Pelajari cara membuat CA subordinasi dari CA eksternal.