Cómo determinar la configuración de la autoridad certificadora

En esta página, se proporciona información sobre los distintos parámetros de configuración de una autoridad certificadora (CA).

Configuración permanente

No puedes cambiar la configuración mencionada en esta sección después de crear la AC.

Configuración específica del servicio

Tipo de AC

CA Service te permite crear AC raíz y AC subordinadas.

CA raíz CA subordinada
Una AC raíz es una AC autofirmada. Las partes que necesiten autenticar certificados creados a partir de una AC raíz (una parte de confianza) deben conocer su certificado de AC con anticipación. A menudo, el certificado de la AC raíz se conoce como ancla de confianza.

Cambiar una AC raíz con frecuencia es difícil. Para cambiar la AC raíz, primero debes actualizar todas las partes de confianza sobre el nuevo ancla de confianza. De lo contrario, no podrán autenticar los certificados de la nueva AC raíz.

Las AC raíz no se pueden revocar mediante las CRL de la AC emisora porque estas últimas están autofirmadas. Para revocar una AC raíz, debes quitarla del almacén de confianza de cada cliente que sea de confianza. Este proceso puede ser largo y tedioso. Por lo tanto, recomendamos proteger las AC raíz.		 Una AC subordinada es una AC firmada por una AC raíz o por otra AC subordinada. Después de una cadena de AC subordinadas, la cadena siempre termina con una AC raíz.

Una parte de confianza que solo conoce una AC raíz también puede confiar implícitamente en una AC subordinada que encadena al certificado de AC raíz de confianza de forma explícita. La CA subordinada solo es confiable si el usuario de confianza puede validar de manera criptográfica la cadena de certificados que forma una ruta al certificado de la AC raíz.

Una cadena que contiene una AC raíz y una o más AC subordinadas pueden incluir AC que se administran en el servicio de CA y otras que no lo son.

Clave de Cloud KMS

De forma predeterminada, las AC nuevas usan una clave de Cloud Key Management Service (Cloud KMS) administrada por Google. Puedes elegir un algoritmo de clave específico para la clave de Cloud KMS administrada por Google. Como alternativa, puedes otorgarle a CA Service acceso a una clave que ya existe. Para obtener más información, consulta Elige un algoritmo de clave.

Si deseas obtener más información sobre los modelos de administración para las claves de Cloud KMS y los buckets de Cloud Storage, consulta Administra recursos.

Bucket de Cloud Storage

De forma predeterminada, el Servicio de CA crea un nuevo bucket de Cloud Storage administrado por Google en la misma ubicación que la CA. También puedes optar por usar un bucket autoadministrado existente o crear un bucket nuevo. Para minimizar la latencia mientras se publican las CRL, te recomendamos que crees el bucket de Cloud Storage en la misma ubicación que tu CA. Para obtener más información, consulta Administra recursos.

Configuración del certificado de CA

Las siguientes opciones de configuración se reflejan directamente en el propio certificado de la AC:

Parámetro de configuración Descripción
Duración Especifica la vida útil de una AC. El ciclo de vida es la cantidad de tiempo, a partir de la creación de la AC, durante la cual es válida.
Asunto Una AC puede especificar un nombre distinguido y nombres alternativos de entidad. En muchos casos, estos campos son meramente informativos. Sin embargo, un usuario de confianza puede optar por tratar los certificados emitidos desde una AC con atributos de asunto específicos de manera diferente.

Si deseas especificar un nombre alternativo de entidad para el certificado de tu AC, debes usar Google Cloud CLI.

Configuración opcional de CA

La siguiente configuración de CA es opcional. Puedes cambiar la siguiente configuración después de crear la AC.

Parámetro de configuración Descripción
Etiqueta Una AC puede tener una o más etiquetas de usuario adjuntas. Las etiquetas no tienen significado semántico para el Servicio de CA.

¿Qué sigue?