認証局の設定を確認する
このページでは、認証局(CA)のさまざまな設定について説明します。
永続的な設定
CA の作成後に、このセクションで説明する設定を変更することはできません。
サービス固有の設定
CA のタイプ
CA Service では、ルート CA と下位 CA の両方を作成できます。
| ルート CA | 下位 CA |
|---|---|
| ルート CA は自己署名 CA です。ルート CA から作成された証明書を認証する必要がある当事者(信頼者)は、その CA 証明書を事前に把握しておく必要があります。ルート CA 証明書は多くの場合、トラスト アンカーと呼ばれます。 ルート CA を頻繁に変更することは困難です。ルート CA を変更するには、まず、新しいトラスト アンカーについて証明書利用者を更新する必要があります。そうしないと、当事者は新しいルート CA から証明書を認証できなくなります。 ルート CA は自己署名されているため、発行する CA の CRL を使用して取り消すことはできません。ルート CA を取り消すには、その CA を信頼するすべてのクライアントの信頼ストアから削除する必要があります。このプロセスは長く、退屈なものになる可能性があります。したがって、ルート CA を保護することをおすすめします。 |
下位 CA は、ルート CA または別の下位 CA によって署名された CA です。下位 CA のチェーンに従うと、チェーンは常にルート CA で終了します。 ルート CA のみを知っている証明書利用者は、明示的に信頼できるルート CA 証明書にチェーンする下位 CA も暗黙的に信頼します。下位 CA は、証明書利用者がルート CA 証明書へのパスを形成する証明書チェーンを暗号的に検証できる場合にのみ、信頼できることができます。 ルートと 1 つ以上の下位 CA を含むチェーンには、CA Service で管理されている CA と管理されていない CA を含めることができます。 |
Cloud KMS 鍵
デフォルトでは、新しい CA は Google 管理の Cloud Key Management Service(Cloud KMS)鍵を使用します。Google が管理する Cloud KMS 鍵に特定の鍵アルゴリズムを選択できます。または、既存のキーへのアクセスを CA Service に許可することもできます。詳細については、鍵アルゴリズムを選択するをご覧ください。
Cloud KMS 鍵と Cloud Storage バケットの管理モデルの詳細については、リソースを管理するをご覧ください。
Cloud Storage バケット
デフォルトでは、CA Service は、CA と同じロケーションに新しい Google マネージド Cloud Storage バケットを作成します。既存のセルフマネージド バケットを使用するか、新しいバケットを作成することもできます。CRL の公開時のレイテンシを最小限に抑えるため、Cloud Storage バケットは CA と同じロケーションに作成することをおすすめします。詳しくは、リソースの管理をご覧ください。
CA 証明書の設定
次の設定は、CA 固有の証明書に直接反映されます。
| 設定 | 説明 |
|---|---|
| 存続時間 | CA の存続時間を指定します。存続時間は、CA の作成から始まる CA の有効期間です。 |
| 件名 | CA は、識別名とサブジェクトの代替名を指定できます。多くの場合、これらのフィールドは純粋に情報提供を目的としたものです。
ただし、信頼する当事者は、特定のサブジェクト属性を持つ CA から発行された証明書を別途扱うことを選択できます。 CA の証明書のサブジェクトの別名を指定する場合は、Google Cloud CLI を使用する必要があります。 |
オプションの CA 設定
次の CA 設定は省略可能です。次の設定は CA の作成後に変更できます。
| 設定 | 説明 |
|---|---|
| ラベル | CA には 1 つ以上のユーザーラベルを適用できます。ラベルには CA Service に対する意味論的意味はありません。 |
次のステップ
- ルート CA を作成する方法を学習する。
- 下位 CA を作成する方法を学習する。
- 外部 CA から下位 CA を作成する方法を確認する。