Preguntas frecuentes

¿Qué es Certificate Authority Service?

Certificate Authority Service es un servicio de Google Cloud escalable y con alta disponibilidad que permite a los clientes simplificar, automatizar y personalizar la implementación, administración y seguridad de las autoridades certificadoras (AC) privadas y, al mismo tiempo, mantener el control de las claves privadas.

¿Cuáles son los casos de uso comunes del Certificate Authority Service?

A continuación, se incluyen algunos casos de uso comunes del servicio de CA.

  • Identidades de carga de trabajo: Aprovecha las APIs para obtener certificados para aplicaciones o usar certificados en aplicaciones, contenedores, sistemas y otros recursos.
  • Situaciones empresariales: Usa certificados para VPN, Chrome Enterprise Premium, firma de documentos, acceso a Wi-Fi, correo electrónico, tarjetas inteligentes y mucho más.
  • Emisión y administración de certificados centralizados: Configura GKE Enterprise Service Mesh para usar el servicio de AC.
  • Identidad de dispositivos móviles y de la IoT: Emite certificados TLS como identidad para los extremos.
  • Canal de CI/CD, Autorización binaria, Istio y Kubernetes

¿Qué estándares de cumplimiento admite el servicio de AC?

Para obtener más información, consulta Seguridad y cumplimiento.

¿En qué ubicaciones podemos crear recursos de CA Service?

Los recursos de CA Service se pueden crear en una de varias ubicaciones. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.

¿El servicio de AC admite una PKI global en una sola raíz?

Sí, siempre que la AC raíz se encuentre en una sola región. Sin embargo, puedes crear varias AC de emisión en diferentes regiones que se encadenan a la misma raíz.

¿Las etiquetas son compatibles con las AC?

Sí, puedes asociar etiquetas a grupos de AC y AC durante las operaciones de creación y actualización.

Para obtener información sobre cómo actualizar etiquetas en un grupo de AC, consulta Cómo actualizar etiquetas en un grupo de AC.

Para obtener información sobre cómo actualizar etiquetas en una AC, consulta Cómo actualizar etiquetas en una AC.

¿Es posible usar Cloud Monitoring para hacer un seguimiento de la creación de certificados y el vencimiento de la AC? ¿Es posible generar eventos de Pub/Sub para ellos?

Sí, puedes supervisar todos estos eventos. El servicio de CA no admite Pub/Sub de forma nativa, pero puedes configurarlo con Cloud Monitoring. Para obtener más información, consulta Cómo usar la supervisión de Cloud con el servicio de CA.

¿Cuánto tiempo se retienen las AC no activadas?

Las AC subordinadas se crean en el estado AWAITING_USER_ACTIVATION y se establecen en el estado STAGED después de la activación. Si una AC subordinada sigue en el estado AWAITING_USER_ACTIVATION 30 días después de su creación, se borra.

Para obtener información sobre los diversos estados en los que se encuentra una AC a lo largo de su ciclo de vida, consulta Estados de la autoridad certificadora.

¿Qué controles de acceso admite el servicio de AC para la emisión de certificados?

El servicio de AC admite la configuración de políticas de IAM en un grupo de AC para controlar quién puede emitir certificados. Un administrador de AC puede adjuntar una política de emisión a un grupo de AC. Esta política de emisión define restricciones sobre el tipo de certificados que pueden emitir las AC de un grupo de AC. Estas restricciones incluyen la imposición de límites en el nombre de dominio, las extensiones y el período de validez del certificado, entre otros aspectos.

Para obtener más información sobre cómo configurar una política de emisión en un grupo de AC, consulta Cómo usar una política de emisión.

Para obtener información sobre cómo configurar las políticas de IAM necesarias para crear y administrar recursos del servicio de AC, consulta Configura políticas de IAM.

¿CA Service admite claves de Cloud KMS multirregionales?

No, el servicio de AC no admite claves de Cloud KMS multirregión.

¿El servicio de CA limitará mis solicitudes? ¿Cuál es el QPS objetivo para el servicio de CA?

Sí, existe un mecanismo de limitación para el servicio de AC. Para obtener más información, consulta Cuotas y límites.

¿El servicio de AC admite los Controles del servicio de VPC?

Sí, el servicio de AC admite los Controles del servicio de VPC. Para obtener más información, consulta Productos admitidos y limitaciones > Servicio de la AC y Seguridad y cumplimiento.

¿Cómo se supone que se deben usar las claves públicas codificadas en PEM con las APIs de REST?

Las claves públicas codificadas en PEM solo se pueden usar con APIs de REST después de que se hayan codificado en Base64.

¿Se pueden seguir usando las APIs de la etapa de vista previa después de que el servicio de CA anuncie la disponibilidad general (DG)?

Sí, las APIs de versión preliminar se pueden seguir usando durante un período breve después de que el servicio de CA anuncie la versión GA. Este período solo está destinado a que los clientes realicen una transición sin problemas al uso de las APIs más recientes y será de corta duración con asistencia limitada. Recomendamos que los clientes migren al uso de las APIs de GA en cuanto estén disponibles.

¿Cómo se puede acceder a los recursos creados durante el período de vista previa después de que el servicio de AC anuncia la disponibilidad general (DG)?

No puedes ver ni administrar los recursos creados durante el período de la versión preliminar con la consola de Google Cloud. Para administrar los recursos creados durante la versión preliminar, usa las APIs de la versión preliminar o los comandos gcloud de la versión preliminar. Se puede acceder a las APIs de vista previa a través del extremo https://privateca.googleapis.com/v1beta1/. Se puede acceder a los comandos gcloud de la versión preliminar a través de gcloud privateca beta. Para obtener más información sobre los comandos gcloud privateca beta, consulta gcloud privateca beta.

¿Se puede crear una AC subordinada con el mismo sujeto y la misma clave que otra AC en su cadena?

No, una AC subordinada no puede tener el mismo sujeto y la misma clave que la AC raíz ni ninguna otra AC en su cadena. La RFC 4158 recomienda que los nombres de los sujetos y los pares de claves públicas no se repitan en las rutas de acceso.

¿Las claves de Cloud KMS administradas por el cliente son iguales que las CMEK?

No, las claves de Cloud KMS administradas por el cliente que se admiten en el servicio de AC no son las mismas que las claves de encriptación administradas por el cliente (CMEK) que se administran con Cloud KMS. En el servicio de AC, puedes crear tus propias claves de Cloud KMS administradas por el cliente (también conocidas como claves de BYO), para las AC en el nivel empresarial. Estas claves se usan como la clave de firma de la AC, a diferencia de las claves de encriptación, como las CMEK, que se usan para encriptar datos en reposo en los servicios de Google Cloud compatibles. El servicio de AC no es compatible con CMEK.

¿Se pueden volver a usar los nombres de los recursos después de que se borran?

No, los nombres de recursos, como los nombres de los grupos de AC, las AC y las plantillas de certificados, no se pueden volver a usar en un recurso nuevo después de que se borre el recurso original. Por ejemplo, si creas un grupo de AC llamado projects/Charlie/locations/Location-1/caPools/my-pool y, luego, lo borras, no podrás crear otro grupo de AC llamado my-pool en el proyecto Charlie y la ubicación Location-1.

¿Qué sigue?