認証局の設定を決定する
このページでは、認証局(CA)のさまざまな設定について説明します。
永続的な設定
CA の作成後、このセクションで説明する設定は変更できません。
サービス固有の設定
CA のタイプ
CA Service を使用すると、ルート CA と下位 CA の両方を作成できます。
ルート CA | 下位 CA |
---|---|
ルート CA は自己署名 CA です。ルート CA(証明書利用者)から作成された証明書を認証する必要がある当事者は、事前に CA 証明書を認識している必要があります。ルート CA 証明書は多くの場合、トラスト アンカーと呼ばれます。 ルート CA を頻繁に変更することは困難です。ルート CA を変更するには、まず、新しいトラスト アンカーについて証明書利用者を更新する必要があります。そうしないと、当事者は新しいルート CA から証明書を認証できなくなります。 ルート CA は自己署名されているため、発行する CA の CRL を使用して取り消すことはできません。ルート CA を取り消すには、ルート CA を信頼しているすべてのクライアントのトラストストアから削除する必要があります。この作業は、煩雑で時間がかかる可能性があります。したがって、ルート CA を保護することをおすすめします。 |
下位 CA は、ルート CA または別の下位 CA によって署名された CA です。下位 CA のチェーンに従うと、チェーンは常にルート CA で終了します。 ルート CA のみを知っている証明書利用者は、明示的に信頼できるルート CA 証明書にチェーンする下位 CA も暗黙的に信頼します。下位 CA は、証明書利用者がルート CA 証明書へのパスを形成する証明書チェーンを暗号的に検証できる場合にのみ、信頼できることができます。 ルートと 1 つ以上の下位 CA を含むチェーンには、CA Service で管理されている CA と管理されていない CA を含めることができます。 |
Cloud KMS 鍵
デフォルトでは、新しい CA は Google が管理する Cloud Key Management Service(Cloud KMS)鍵を使用します。 Google が管理する Cloud KMS 鍵には、特定の鍵アルゴリズムを選択できます。または、すでに存在する鍵に CA Service へのアクセス権を付与することもできます。詳細については、鍵アルゴリズムを選択するをご覧ください。
Cloud KMS 鍵と Cloud Storage バケットの管理モデルの詳細については、リソースの管理をご覧ください。
Cloud Storage バケット
デフォルトでは、CA Service は、CA と同じロケーションに新しい Google マネージド Cloud Storage バケットを作成します。既存のセルフマネージド バケットを使用するか、新しいバケットを作成することもできます。CRL の公開中のレイテンシを最小限に抑えるには、CA と同じロケーションに Cloud Storage バケットを作成することをおすすめします。詳しくは、リソースの管理をご覧ください。
CA 証明書の設定
次の設定は、CA 固有の証明書に直接反映されます。
設定 | 説明 |
---|---|
存続時間 | CA の存続時間を指定します。存続時間は、CA の作成から始まる CA の有効期間です。 |
件名 | CA では、識別名およびサブジェクト代替名を指定できます。多くの場合、これらのフィールドは純粋に情報提供を目的としたものです。
ただし、証明書利用者は、特定のサブジェクト属性を持つ CA から発行された証明書を異なる方法で処理できます。 CA 証明書のサブジェクト代替名を指定する場合は、Google Cloud CLI を使用する必要があります。 |
オプションの CA 設定
次の CA 設定は省略可能です。CA の作成後、次の設定を変更できます。
設定 | 説明 |
---|---|
ラベル | CA には、1 つ以上のユーザーラベルを添付できます。ラベルに CA Service の意味論的な意味はありません。 |
次のステップ
- ルート CA の作成方法を学習する。
- 下位 CA の作成方法を学習する。
- 外部 CA から下位 CA を作成する方法を学習する。