Determina le impostazioni dell'autorità di certificazione
Questa pagina fornisce informazioni sulle varie impostazioni di un'autorità di certificazione (CA).
Impostazioni permanenti
Non è possibile modificare le impostazioni menzionate in questa sezione dopo aver creato la CA.
Impostazioni specifiche dei servizi
Tipo di CA
CA Service consente di creare CA radice e CA subordinate.
| CA radice | CA subordinata |
|---|---|
| Una CA radice è una CA autofirmata.
Le parti che devono autenticare i certificati creati da una CA radice (una parte affidabile) devono conoscerne il certificato CA in anticipo. Il certificato CA radice è spesso definito trust anchor. Modificare spesso una CA radice è difficile. Per modificare la CA principale, devi prima aggiornare tutte le parti interessate sul nuovo trust anchor. In caso contrario, non saranno in grado di autenticare i certificati dalla nuova CA radice. Le CA radice non possono essere revocate utilizzando i CRL della CA emittente perché le CA radice sono autofirmate. Per revocare una CA radice, devi rimuoverla dall'archivio di attendibilità di ogni singolo client che la considera attendibile. Questa procedura può essere lunga e noiosa. Quindi, consigliamo di proteggere le CA radice. |
Una CA subordinata è una CA firmata da una CA radice o da un'altra CA subordinata. Seguendo una catena di CA subordinate, la catena termina sempre con una CA radice. Una parte affidabile che conosce solo una CA radice può anche considerare implicitamente una CA subordinata che si collega al certificato CA radice esplicitamente attendibile. La CA subordinata può essere considerata attendibile solo se la parte richiedente è in grado di convalidare crittograficamente la catena di certificati che forma un percorso al certificato CA radice. Una catena contenente una CA radice e una o più CA subordinate può includere CA gestite nel servizio CA e CA che non lo sono. |
Chiave Cloud KMS
Per impostazione predefinita, le nuove CA utilizzano una chiave Cloud Key Management Service (Cloud KMS) gestita da Google. Puoi scegliere un algoritmo specifico per la chiave Cloud KMS gestita da Google. In alternativa, puoi concedere al servizio CA l'accesso a una chiave già esistente. Per ulteriori informazioni, consulta la sezione Scegliere un algoritmo chiave.
Per ulteriori informazioni sui modelli di gestione per le chiavi Cloud KMS e i bucket Cloud Storage, consulta Gestione delle risorse.
Bucket Cloud Storage
Per impostazione predefinita, CA Service crea un nuovo bucket Cloud Storage gestito da Google nella stessa località della CA. Puoi anche scegliere di utilizzare un bucket autogestito esistente o di creare un nuovo bucket. Per ridurre al minimo la latenza durante la pubblicazione dei CRL, ti consigliamo di creare il bucket Cloud Storage nella stessa località della tua CA. Per saperne di più, vedi Gestire le risorse.
Impostazioni certificato CA
Le seguenti impostazioni si riflettono direttamente nel certificato della CA:
| Impostazione | Descrizione |
|---|---|
| Durata | Specifica la durata di una CA. La durata è la quantità di tempo, a partire dalla creazione della CA, per cui è valida. |
| Oggetto | Una CA può specificare un nome distinto e nomi alternativi dei soggetti. In molti casi, questi campi sono puramente informativi.
Tuttavia, una parte attendibile può scegliere di trattare in modo diverso i certificati emessi da una CA con attributi del soggetto specifici. Se vuoi specificare un nome alternativo per l'oggetto per il certificato della tua CA, devi utilizzare Google Cloud CLI. |
Impostazioni CA facoltative
Le seguenti impostazioni CA sono facoltative. Puoi modificare la seguente impostazione dopo aver creato la CA.
| Impostazione | Descrizione |
|---|---|
| Etichetta | A una CA possono essere collegate una o più etichette utente. Le etichette non hanno significato semantico per il servizio CA. |
Passaggi successivi
- Scopri come creare una CA principale.
- Scopri come creare una CA subordinata.
- Scopri come creare una CA subordinata da una CA esterna.