Domande frequenti

Che cos'è Certificate Authority Service?

Certificate Authority Service è un servizio Google Cloud scalabile, a disponibilità elevata che consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private, mantenendo il controllo delle proprie chiavi private.

Quali sono i casi d'uso comuni per Certificate Authority Service?

Di seguito sono riportati alcuni casi d'uso comuni di CA Service.

  • Identità del carico di lavoro: sfrutta le API per ottenere certificati per le applicazioni o utilizza i certificati in applicazioni, container, sistemi e altre risorse.
  • Scenari aziendali: utilizza certificati per VPN, Chrome Enterprise Premium, firma di documenti, accesso Wi-Fi, email, smartcard e altro ancora.
  • Emissione e gestione centralizzata dei certificati: configura GKE Enterprise Service Mesh per utilizzare il servizio CA.
  • IoT e identità di dispositivi mobili: invia certificati TLS come identità per gli endpoint.
  • Canale CI/CD, Autorizzazione binaria, Istio e Kubernetes.

Quali standard di conformità sono supportati da CA Service?

Per informazioni, vedi Sicurezza e conformità.

In quali località possiamo creare le risorse del servizio CA?

Le risorse di CA Service possono essere create in una delle numerose località. Per l'elenco completo delle sedi, consulta la sezione Località.

Il servizio CA supporta una PKI globale sotto un'unica radice?

Sì, a condizione che la CA principale si trovi in un'unica regione. Tuttavia, puoi creare più CA emittenti in regioni diverse che si collegano alla stessa radice.

Le etichette sono supportate per le CA?

Sì, puoi associare etichette a pool di CA e CA durante le operazioni di creazione e aggiornamento.

Per informazioni sull'aggiornamento delle etichette in un pool di CA, vedi Aggiornare le etichette in un pool di CA.

Per informazioni su come aggiornare le etichette in una CA, consulta Aggiornare le etichette in una CA.

È possibile utilizzare Cloud Monitoring per monitorare la creazione dei certificati e la scadenza delle CA? È possibile generare eventi Pub/Sub per questi?

Sì, puoi monitorare tutti questi eventi. Il servizio CA non supporta in modo nativo Pub/Sub, ma puoi configurarlo utilizzando Cloud Monitoring. Per ulteriori informazioni, consulta Utilizzo di Cloud Monitoring con il servizio CA.

Per quanto tempo vengono conservate le CA non attivate?

Le CA subordinate vengono create nello stato AWAITING_USER_ACTIVATION e impostate sullo stato STAGED dopo l'attivazione. Se una CA secondaria è ancora nello stato AWAITING_USER_ACTIVATION 30 giorni dopo la sua creazione, viene eliminata.

Per informazioni sui vari stati di cui si trova una CA durante il proprio ciclo di vita, consulta Stati dell'autorità di certificazione.

Quali controlli dell'accesso supporta il servizio CA per l'emissione dei certificati?

CA Service supporta l'impostazione di criteri IAM su un pool di CA per controllare chi può emettere certificati. Un amministratore di CA può collegare un criterio di emissione a un pool di CA. Questo criterio di emissione definisce le limitazioni relative al tipo di certificati che le CA in un pool di CA possono emettere. Queste restrizioni includono, tra le altre cose, l'imposizione di limiti al nome di dominio, alle estensioni e al periodo di validità dei certificati.

Per ulteriori informazioni su come configurare un criterio di emissione in un pool di CA, consulta Utilizzare un criterio di emissione.

Per informazioni su come configurare i criteri IAM necessari per creare e gestire le risorse di CA Service, consulta Configurare i criteri IAM.

Il servizio CA supporta le chiavi Cloud KMS multiregione?

No, CA Service non supporta le chiavi Cloud KMS multiregionali.

CA Service limiterà mai le mie richieste? Qual è il QPS target per il servizio CA?

Sì, esiste un meccanismo di limitazione per CA Service. Per saperne di più, consulta Quote e limiti.

Il servizio CA supporta i Controlli di servizio VPC?

Sì, il servizio CA supporta i Controlli di servizio VPC. Per ulteriori informazioni, consulta Prodotti supportati e limitazioni > Servizio delle autorità di certificazione e Sicurezza e conformità.

Come devono essere utilizzate le chiavi pubbliche con codifica PEM con le API REST?

Le chiavi pubbliche con codifica PEM possono essere utilizzate con le API REST solo dopo essere state sottoposte a codifica Base64.

È possibile continuare a utilizzare le API della fase di anteprima dopo l'annuncio della disponibilità generale (GA) di CA Service?

Sì, le API di anteprima possono essere utilizzate per un breve periodo dopo l'annuncio della disponibilità generale da parte di CA Service. Questo periodo è pensato solo per consentire ai clienti di passare facilmente all'utilizzo delle API più recenti e avrà una durata di breve durata con un supporto limitato. Consigliamo ai clienti di eseguire la migrazione alle API GA non appena sono disponibili.

Come è possibile accedere alle risorse create durante il periodo di anteprima dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Non puoi visualizzare o gestire le risorse create durante il periodo di anteprima utilizzando la console Google Cloud. Per gestire le risorse create durante l'anteprima, utilizza le API di anteprima o i comandi gcloud di anteprima. Le API di anteprima sono accessibili tramite l'endpoint https://privateca.googleapis.com/v1beta1/. I comandi di anteprima gcloud sono accessibili tramite gcloud privateca beta. Per ulteriori informazioni sui comandi gcloud privateca beta, consulta gcloud privateca beta.

È possibile creare una CA subordinata con lo stesso soggetto e la stessa chiave di un'altra CA nella sua catena?

No, una CA subordinata non può avere lo stesso soggetto e la stessa chiave della CA principale o di qualsiasi altra CA nella catena. Il documento RFC 4158 consiglia di non ripetere i nomi dei soggetti e le coppie di chiavi pubbliche nei percorsi.

Le chiavi Cloud KMS gestite dal cliente sono uguali a quelle di CMEK?

No, le chiavi Cloud KMS gestite dal cliente supportate nel servizio CA non sono uguali alle chiavi di crittografia gestite dal cliente (CMEK) gestite utilizzando Cloud KMS. In CA Service, puoi creare le tue chiavi Cloud KMS gestite dal cliente (note anche come chiave BYO) per le CA nel livello Enterprise. Queste chiavi vengono utilizzate come chiave di firma della CA a differenza delle chiavi di crittografia come CMEK, che vengono utilizzate per criptare i dati at-rest all'interno e i servizi Google Cloud supportati. Il servizio CA non supporta CMEK.

I nomi delle risorse possono essere riutilizzati dopo l'eliminazione della risorsa?

No, i nomi delle risorse come quelli dei pool di CA, delle CA e dei modelli di certificato non possono essere riutilizzati in una nuova risorsa successiva a quella originale viene eliminato. Ad esempio, se crei un pool di CA denominato projects/Charlie/locations/Location-1/caPools/my-pool e poi lo elimini, non puoi creare un altro pool di CA denominato my-pool nel progetto Charlie e nella località Location-1.

Passaggi successivi