Determinar as configurações da autoridade de certificação
Nesta página, você encontra informações sobre as várias configurações de uma autoridade de certificação (CA, na sigla em inglês).
Configurações permanentes
Não é possível alterar as configurações mencionadas nesta seção depois de criar a CA.
Configurações específicas dos serviços
Tipo de AC
O CA Service permite criar CAs raiz e subordinadas.
| CA raiz | CA subordinada |
|---|---|
| Uma CA raiz é uma CA autoassinado.
As partes que precisam autenticar certificados criados a partir de uma CA raiz (uma parte confiável) precisam conhecer o certificado de CA com antecedência. O certificado da CA raiz geralmente é chamado de âncora de confiança. É difícil alterar com frequência uma CA raiz. Para alterar a CA raiz, primeiro é necessário atualizar todas as partes confiáveis sobre a nova âncora de confiança. Caso contrário, elas não poderão autenticar certificados da nova CA raiz. As CAs raiz não podem ser revogadas usando as CRLs da CA emissora porque as CAs raiz são autoassinados. Para revogar uma CA raiz, é necessário removê-la do repositório de confiança de cada cliente em que ela confia. Esse processo pode ser longo e tedioso. Por isso, recomendamos proteger as CAs raiz. |
Uma CA subordinada é uma CA assinada por uma CA raiz ou outra CA subordinada. Seguindo uma cadeia de CAs subordinadas, a cadeia sempre termina com uma CA raiz. Uma parte confiável que só conhece uma CA raiz também pode confiar implicitamente em uma CA subordinada que encadeia ao certificado da CA raiz explicitamente confiável. A CA subordinada só poderá ser confiável se a parte confiável conseguir validar criptograficamente a cadeia de certificados que forma um caminho para o certificado da CA raiz. Uma cadeia que contém uma CA raiz e uma ou mais CAs subordinadas pode incluir CAs gerenciadas no serviço de CA e CAs que não são. |
Chave do Cloud KMS
Por padrão, as novas CAs usam uma chave do Cloud Key Management Service (Cloud KMS) gerenciada pelo Google. É possível escolher um algoritmo de chave específico para a chave do Cloud KMS gerenciada pelo Google. Também é possível conceder acesso ao serviço de CA a uma chave que já existe. Para mais informações, consulte Escolher um algoritmo de chave.
Para mais informações sobre os modelos de gerenciamento de chaves do Cloud KMS e buckets do Cloud Storage, consulte Gerenciar recursos.
Bucket do Cloud Storage
Por padrão, o serviço de CA cria um novo bucket do Cloud Storage gerenciado pelo Google no mesmo local da CA. Também é possível usar um bucket autogerenciado atual ou criar um novo. Para minimizar a latência durante a publicação de CRLs, recomendamos criar o bucket do Cloud Storage no mesmo local que sua CA. Para mais informações, consulte Gerenciar recursos.
Configurações do certificado de CA
As configurações a seguir são refletidas diretamente no certificado da CA:
| Configuração | Descrição |
|---|---|
| Ciclo de vida | Especifica o ciclo de vida de uma CA. O ciclo de vida é a quantidade de tempo, começando pela criação da CA, para que a CA seja válida. |
| Assunto | Uma CA pode especificar um nome distinto e nomes alternativos do assunto. Em muitos casos, esses campos são meramente informativos.
No entanto, uma parte confiável pode optar por tratar os certificados emitidos
de uma CA com atributos de assunto específicos de maneira diferente. Se você quiser especificar um nome alternativo do assunto para o certificado da CA, use a Google Cloud CLI. |
Configurações opcionais de CA
As configurações de CA a seguir são opcionais. É possível alterar a seguinte configuração depois de criar a CA.
| Configuração | Descrição |
|---|---|
| Rótulo | Uma CA pode ter um ou mais rótulos de usuário anexados a ela. Os rótulos não têm significado semântico para o serviço de CA. |
A seguir
- Saiba como criar uma CA raiz.
- Saiba como criar uma AC subordinada.
- Saiba como criar uma AC subordinada a partir de uma AC externa.