Menentukan setelan certificate authority
Halaman ini memberikan informasi tentang berbagai setelan certificate authority (CA).
Setelan permanen
Anda tidak dapat mengubah pengaturan yang disebutkan di bagian ini setelah membuat CA.
Setelan spesifik per layanan
Jenis CA
CA Service memungkinkan Anda membuat CA {i>root<i} dan CA subordinate.
| Root CA | CA subordinat |
|---|---|
| CA root adalah CA yang ditandatangani sendiri.
Pihak yang perlu mengautentikasi sertifikat yang dibuat dari root CA (pihak tepercaya) harus mengetahui sertifikat CA-nya terlebih dahulu. Sertifikat root CA
sering disebut sebagai
anchor kepercayaan. Mengubah root CA sering kali sulit dilakukan. Untuk mengubah root CA, Anda harus terlebih dahulu memperbarui semua pihak tepercaya tentang trust anchor yang baru. Jika tidak, mereka tidak akan dapat mengautentikasi sertifikat dari root CA baru. Root CA tidak dapat dicabut menggunakan CRL dari CA penerbit karena root CA ditandatangani sendiri. Untuk mencabut CA root, Anda harus menghapusnya dari trust store setiap klien yang memercayainya. Proses ini bisa lama dan membosankan. Oleh karena itu, sebaiknya lindungi root CA. |
CA subordinat adalah CA yang
ditandatangani oleh CA root atau
CA bawahan lainnya. Mengikuti rantai
CA bawahan, rantai tersebut selalu
diakhiri dengan CA root. Pihak pempercaya yang hanya mengetahui root CA juga secara implisit dapat memercayai CA subordinat yang terikat ke sertifikat CA root yang tepercaya secara eksplisit. CA subordinat hanya dapat dipercaya jika pihak tepercaya dapat memvalidasi secara kriptografis rantai sertifikat yang membentuk jalur ke sertifikat root CA. Rantai yang berisi root dan satu atau beberapa CA subordinat dapat menyertakan CA yang dikelola di CA Service dan CA yang tidak. |
Kunci Cloud KMS
Secara default, CA baru menggunakan kunci Cloud Key Management Service (Cloud KMS) yang dikelola Google. Anda dapat memilih algoritme kunci tertentu untuk kunci Cloud KMS yang dikelola Google. Atau, Anda dapat memberikan akses Layanan CA ke kunci yang sudah ada. Untuk mengetahui informasi selengkapnya, lihat Memilih algoritma kunci.
Guna mengetahui informasi lebih lanjut tentang model pengelolaan untuk kunci Cloud KMS dan bucket Cloud Storage, lihat Mengelola resource.
Bucket Cloud Storage
Secara default, CA Service membuat bucket Cloud Storage baru yang dikelola Google di lokasi yang sama dengan CA. Anda juga dapat memilih untuk menggunakan bucket yang dikelola sendiri yang sudah ada atau membuat bucket baru. Untuk meminimalkan latensi saat memublikasikan CRL, sebaiknya buat bucket Cloud Storage di lokasi yang sama dengan CA Anda. Untuk informasi lebih lanjut, lihat Mengelola resource.
Setelan sertifikat CA
Setelan berikut tercermin secara langsung dalam sertifikat CA:
| Setelan | Deskripsi |
|---|---|
| Selama ini | Menentukan masa aktif CA. Masa pakai adalah jumlah waktu, mulai dari pembuatan CA, di mana CA berlaku. |
| Subjek | CA dapat menentukan nama yang dibedakan dan nama
alternatif subjek. Dalam banyak kasus, kolom ini hanya bersifat informatif.
Namun, pihak tepercaya dapat memilih untuk memperlakukan sertifikat yang diterbitkan
dari CA dengan atribut subjek tertentu secara berbeda. Jika ingin menetapkan nama alternatif subjek untuk sertifikat CA, Anda harus menggunakan Google Cloud CLI. |
Setelan CA opsional
Setelan CA berikut bersifat opsional. Anda dapat mengubah pengaturan berikut setelah membuat CA.
| Setelan | Deskripsi |
|---|---|
| Label | CA dapat memiliki satu atau beberapa label pengguna yang dilampirkan. Label tidak memiliki arti semantik untuk CA Service. |
Langkah selanjutnya
- Pelajari cara membuat root CA.
- Pelajari cara membuat CA subordinat.
- Pelajari cara membuat CA subordinat dari CA eksternal.