Conceptos de Certificate Authority Service

En esta página, se explican algunos de los conceptos clave de Certificate Authority Service (CA Service).

Recursos

El Servicio de CA consta de los siguientes recursos:

Grupo de autoridades certificadoras

Un grupo de autoridades certificadoras (grupo de AC) es el recurso principal en el servicio de CA. Un grupo de AC es el contenedor de las autoridades certificadas y los certificados. Las condiciones de Identity and Access Management, las políticas de emisión y otras opciones de configuración se establecen en el grupo de la AC. La emisión del certificado también se realiza a través del grupo de AC, que distribuye la carga de la solicitud de certificado entre las AC del grupo de AC.

Autoridad certificadora

Un recurso de autoridad certificadora (CA) representa a la autoridad certificada individual que se usa para firmar certificados. En CA Service, puedes crear AC raíz y AC subordinadas. La AC raíz tiene un certificado autofirmado y se encuentra en la parte superior de la cadena de certificados. Para una CA subordinada, el firmante del certificado de la AC puede ser otra AC creada en el servicio de CA o una AC externa. En el último caso, el servicio de CA genera una solicitud de firma de certificado (CSR) que debe firmar la CA externa. Puedes usar Google Cloud CLI o la consola de Google Cloud para activar la nueva CA subiendo la cadena de certificados con codificación PEM firmada.

Certificado

Un certificado es un certificado X.509 firmado que emite la autoridad certificadora.

Lista de revocación de certificados

Una lista de revocación de certificados (CRL) contiene los números de serie de certificados que se revocaron y ya no deberían ser de confianza. Las CRL existen como un recurso de nube anidado en las AC, pero también se pueden publicar en codificaciones PEM o DER en un bucket de Cloud Storage con una URL basada en HTTP de acceso público.

Plantilla de certificado

Una plantilla de certificado es un recurso de nivel superior que define una situación de emisión de certificados distinta. Los certificados emitidos con una plantilla de certificado heredan las extensiones X.509 preconfiguradas, como el uso de claves y las restricciones de ruta de acceso de la plantilla de certificado. Una plantilla de certificado te permite definir qué extensiones conservar y cuáles ignorar de una solicitud de certificado. Puedes usar plantillas de certificado para definir restricciones de identidad y limitar las identidades de certificados. Se puede usar una plantilla de certificado con uno o más grupos de AC.

Claves de firma de CA

El servicio de CA se configura de forma automática a fin de usar Cloud Key Management Service para generar, almacenar y usar claves de firma de CA. En el Servicio de CA, se usa una versión de clave de Cloud KMS para firmar certificados y CRL. Puedes crear tu propia clave de Cloud KMS y, luego, crear una CA que la use. O puedes especificar el algoritmo de la clave de Cloud KMS que deseas usar para una AC y CA Service creará y configurará esta clave por ti. Las claves de Cloud KMS pueden estar respaldadas por software o hardware. Cuando el servicio de CA crea la clave por ti, siempre crea una clave con copia de seguridad en hardware.

Buckets de Cloud Storage

Las AC creadas en el Servicio de CA publican sus artefactos, como certificados de AC y CRL, en un bucket de Cloud Storage en la misma ubicación que la AC implementada. Al igual que las claves de Cloud KMS, los buckets de Cloud Storage pueden ser un recurso administrado por Google o un recurso administrado por el cliente.

Nivel de CA

El nivel de una autoridad certificadora indica sus funciones compatibles y el SKU de facturación. El Servicio de CA proporciona los siguientes dos niveles de servicio operativos para cada grupo de CA creado:

  • DevOps: Proporciona emisión de certificados a una tasa de emisión de certificados o capacidad de procesamiento más altos, lo que es útil en situaciones de alto volumen. Los certificados emitidos por las AC de DevOps no se registran en la base de datos de AC y, por lo tanto, no se pueden revocar. Las CA de DevOps solo admiten claves administradas por Google. No son compatibles con las claves de Cloud KMS administradas por el cliente.
  • Empresarial: Proporciona una menor capacidad de procesamiento de emisión de certificados, pero admite operaciones de AC, como su seguimiento y revocación de certificados. Esto hace que las CA en este nivel sean más adecuadas para la emisión de certificados de larga duración. Las CA empresariales admiten claves de firma de Cloud KMS administradas por el cliente y claves administradas por Google.

Controles de política

Los controles de políticas te permiten controlar el tipo de certificados que puede emitir tu grupo de CA. Los controles de políticas son uno de estos dos tipos:

  • Controles de políticas poco detallados, como las políticas de emisión. Una política de emisión de certificados define los tipos de certificados que pueden emitir las CA en ese grupo de AC. Por ejemplo, un usuario podría restringir que su grupo de CA solo pueda emitir certificados que tengan configurados los campos de uso de clave extendidos correctos para la TLS del cliente, y que no pueda emitir certificados de CA.
  • Controles de políticas detallados representados mediante plantillas que determinan las operaciones que un usuario en particular puede realizar en un grupo de CA. Las plantillas de certificados se pueden usar junto con las condiciones de IAM a fin de crear de manera efectiva diferentes controles de políticas para diferentes usuarios en el mismo grupo de CA.

Puedes aplicar controles de políticas en CA Service de las siguientes maneras:

  • Agregar un modelo de referencia para la emisión de certificados desde un grupo completo de CA.
  • Usar plantillas reutilizables y parametrizadas para situaciones de emisión comunes
  • Aplicación de un control detallado sobre las vinculaciones de IAM con condiciones
  • Simplificar el aprovisionamiento de certificados de cargas de trabajo mediante la reflexión de identidad

¿Qué sigue?