Concetti di Certificate Authority Service

Questa pagina illustra alcuni concetti chiave di Certificate Authority Service (CA Service).

Risorse

CA Service è costituito dalle seguenti risorse:

Pool di autorità di certificazione

Un pool di autorità di certificazione (pool di CA) è la risorsa principale nel servizio CA. Un pool di CA è il container per le autorità di certificazione e i certificati. Le condizioni di Identity and Access Management, i criteri di emissione e altre configurazioni sono impostati sul pool di CA. L'emissione del certificato avviene anche tramite il pool di CA, che distribuisce il carico delle richieste di certificato tra le CA del pool di CA.

Autorità di certificazione

Una risorsa dell'autorità di certificazione (CA) rappresenta la singola autorità di certificazione utilizzata per firmare i certificati. In CA Service puoi creare sia CA radice sia CA subordinate. La CA radice ha un certificato autofirmato e si trova all'inizio della catena di certificati. Per una CA subordinata, il firmatario del certificato CA può essere un'altra CA creata nel servizio CA o una CA esterna. Nel secondo caso, CA Service genera una richiesta di firma del certificato (CSR) che deve essere firmata dalla CA esterna. Puoi utilizzare Google Cloud CLI o la console Google Cloud per attivare la nuova CA caricando la catena di certificati firmata con codifica PEM.

Certificato

Un certificato è un certificato X.509 firmato emesso dall'autorità di certificazione.

Elenco revoche certificati

Un elenco revoche certificati (CRL) contiene i numeri di serie dei certificati che sono stati revocati e non dovrebbero più essere considerati attendibili. I CRL esistono come risorsa cloud nidificata sotto le CA, ma possono anche essere pubblicati con codifiche PEM o DER in un bucket Cloud Storage con un URL basato su HTTP accessibile pubblicamente.

Modello di certificato

Un modello di certificato è una risorsa di primo livello che definisce uno scenario di emissione di certificati distinto. I certificati emessi utilizzando un modello di certificato ereditano le estensioni X.509 preconfigurate, come le limitazioni relative all'utilizzo della chiave e alla lunghezza del percorso dal modello di certificato. Un modello di certificato consente di definire quali estensioni mantenere e quali ignorare da una richiesta di certificato. Puoi utilizzare i modelli di certificato per definire vincoli di identità al fine di limitarne le identità. Un modello di certificato può essere utilizzato con uno o più pool di CA.

Chiavi di firma CA

CA Service è configurato automaticamente per l'utilizzo di Cloud Key Management Service per la generazione, l'archiviazione e l'utilizzo delle chiavi di firma CA. In CA Service, per firmare certificati e CRL viene utilizzata una versione della chiave Cloud KMS. Puoi creare la tua chiave Cloud KMS e, successivamente, creare una CA che la utilizzi. In alternativa, puoi specificare l'algoritmo della chiave Cloud KMS da utilizzare per una CA e il servizio CA creerà e configurerà questa chiave per tuo conto. Le chiavi Cloud KMS possono essere supportate da software o hardware. Quando CA Service crea la chiave per tuo conto, crea sempre una chiave basata sull'hardware.

Bucket Cloud Storage

Le CA create nel servizio CA pubblicano i propri artefatti come i certificati CA e i CRL in un bucket Cloud Storage nella stessa località della CA di cui è stato eseguito il deployment. Analogamente alle chiavi Cloud KMS, i bucket Cloud Storage possono essere una risorsa gestita da Google o una risorsa gestita dal cliente.

Livello CA

Il livello di un'autorità di certificazione indica le funzionalità supportate e lo SKU di fatturazione. Il servizio CA fornisce i seguenti due livelli di servizio operativi per ogni pool di CA creato:

  • DevOps: fornisce l'emissione di certificati a un tasso di emissione di certificati o a una velocità effettiva superiore, utile in scenari con volumi elevati. I certificati emessi dalle CA DevOps non vengono monitorati nel database della CA e successivamente non possono essere revocati. Le CA DevOps supportano solo le chiavi gestite da Google. Non supportano le chiavi Cloud KMS gestite dal cliente.
  • Enterprise: fornisce una velocità effettiva di emissione dei certificati inferiore, ma supporta operazioni della CA come il monitoraggio dei certificati e la revoca dei certificati. Ciò rende le CA in questo livello più adatte per l'emissione di certificati di lunga durata. Le CA aziendali supportano sia le chiavi di firma Cloud KMS gestite dal cliente sia le chiavi gestite da Google.

Controlli dei criteri

I controlli dei criteri consentono di controllare il tipo di certificati che il pool di CA può emettere. I controlli dei criteri sono di due tipi:

  • Controlli dei criteri granulari, come i criteri di emissione. Un criterio di emissione dei certificati definisce i tipi di certificati che le CA in quel pool di CA possono emettere. Ad esempio, un utente potrebbe limitare il modo in cui il pool di CA può emettere solo certificati con i campi di utilizzo estesi corretti delle chiavi impostati per il protocollo TLS del client e che non può emettere certificati CA.
  • Controlli granulari dei criteri rappresentati tramite modelli che determinano le operazioni che un determinato utente può eseguire su un pool di CA. I modelli di certificato possono essere utilizzati in combinazione con le condizioni IAM per creare in modo efficace controlli dei criteri diversi per utenti diversi sullo stesso pool di CA.

Puoi applicare i controlli dei criteri in CA Service nei seguenti modi:

  • Aggiunta di una base di riferimento per l'emissione di certificati da un intero pool di CA.
  • Utilizzo di modelli riutilizzabili e con parametri per scenari di emissione comuni.
  • Applicazione di un controllo granulare sulle associazioni IAM con condizioni.
  • Semplificazione del provisioning dei certificati dei carichi di lavoro utilizzando il riflesso dell'identità.

Passaggi successivi