Häufig gestellte Fragen

Was ist Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können. Dabei behalten sie die Kontrolle über ihre privaten Schlüssel.

Was sind die häufigsten Anwendungsfälle für Certificate Authority Service?

Im Folgenden sind einige gängige Anwendungsfälle für den CA-Dienst aufgeführt.

  • Arbeitslastidentitäten: Nutzen Sie APIs, um Zertifikate für Anwendungen abzurufen oder Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen zu verwenden.
  • Unternehmensszenarien: Verwenden Sie Zertifikate für VPN, Chrome Enterprise Premium, Signaturen von Dokumenten, WLAN-Zugriff, E-Mail, Smartcard und mehr.
  • Zentrale Zertifikatausstellung und ‑verwaltung: Konfigurieren Sie GKE Enterprise Service Mesh für die Verwendung von CA Service.
  • IoT- und Mobilgeräte-Identität: TLS-Zertifikate als Identität für Endpunkte ausstellen.
  • CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes

Welche Compliance-Standards werden vom CA Service unterstützt?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an einem von vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt CA Service eine globale PKI unter einer einzigen Stammebene?

Ja, vorausgesetzt, die Root-CA befindet sich in einer einzelnen Region. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die mit derselben Stamm-CA verknüpft sind.

Werden Labels für Preisvergleichsportale unterstützt?

Ja, Sie können CA-Pools und Zertifizierungsstellen bei Erstellungs- und Aktualisierungsvorgängen Labels zuweisen.

Informationen zum Aktualisieren von Labels in einem CA-Pool finden Sie unter Labels in einem CA-Pool aktualisieren.

Informationen zum Aktualisieren von Labels für eine Zertifizierungsstelle finden Sie unter Labels für eine Zertifizierungsstelle aktualisieren.

Ist es möglich, mit Cloud Monitoring die Zertifikatserstellung und den Ablauf der Zertifizierungsstelle im Blick zu behalten? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, Sie können alle diese Ereignisse überwachen. CA Service unterstützt Pub/Sub nicht nativ, aber Sie können es mit Cloud Monitoring konfigurieren. Weitere Informationen finden Sie unter Cloud Monitoring mit CA-Dienst verwenden.

Wie lange werden nicht aktivierte Zertifizierungsstellen aufbewahrt?

Untergeordnete Zertifizierungsstellen werden mit dem Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn eine untergeordnete Zertifizierungsstelle 30 Tage nach der Erstellung noch den Status AWAITING_USER_ACTIVATION hat, wird sie gelöscht.

Informationen zu den verschiedenen Status einer Zertifizierungsstelle im Laufe ihres Lebenszyklus finden Sie unter Status der Zertifizierungsstelle.

Welche Zugriffssteuerungen unterstützt CA Service für die Zertifikatsausstellung?

CA Service unterstützt die Einrichtung von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen kann. Ein CA-Administrator kann einem CA-Pool eine Ausstellungsrichtlinie zuweisen. Diese Ausstellungsrichtlinie definiert Einschränkungen für die Art der Zertifikate, die die Zertifizierungsstellen in einem CA-Pool ausstellen können. Dazu gehören unter anderem Einschränkungen für Domainnamen, Erweiterungen und die Gültigkeitsdauer von Zertifikaten.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen CA-Pool finden Sie unter Ausstellungsrichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA-Dienstressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Unterstützt CA Service multiregionale Cloud KMS-Schlüssel?

Nein, CA Service unterstützt keine multiregionalen Cloud KMS-Schlüssel.

Wird CA Service meine Anfragen jemals drosseln? Wie hoch sind die angestrebten Abfragen pro Sekunde für CA Service?

Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt CA Service VPC Service Controls?

Ja, der CA-Dienst unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Security and Compliance.

Wie werden PEM-codierte öffentliche Schlüssel mit REST APIs verwendet?

PEM-codierte Public-Keys können nur mit REST APIs verwendet werden, nachdem sie Base64-codiert wurden.

Können Vorabversionen von APIs auch nach der Bekanntgabe der allgemeinen Verfügbarkeit noch verwendet werden?

Ja, Preview-APIs können noch für kurze Zeit verwendet werden, nachdem GA Service durch CA Service bekannt gegeben wurde. Dieser Zeitraum ist nur für Kunden gedacht, die problemlos auf die neuesten APIs umstellen können, und ist nur von kurzer Dauer und mit begrenztem Support. Wir empfehlen Kunden, sobald die GA APIs verfügbar sind, auf diese umzustellen.

Wie kann auf Ressourcen zugegriffen werden, die während der Vorschauphase erstellt wurden, nachdem die allgemeine Verfügbarkeit des CA-Dienstes angekündigt wurde?

Ressourcen, die während der Vorabversion erstellt wurden, können nicht über die Google Cloud Console angezeigt oder verwaltet werden. Verwenden Sie die Preview-APIs oder die Preview-gcloud-Befehle, um während der Vorabversion erstellte Ressourcen zu verwalten. Auf die Preview APIs kann über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugegriffen werden. Auf die gcloud-Vorschaubefehle kann über gcloud privateca beta zugegriffen werden. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete Zertifizierungsstelle mit demselben Subjekt und Schlüssel wie eine andere Zertifizierungsstelle in der Kette erstellt werden?

Nein, eine untergeordnete Zertifizierungsstelle darf nicht dasselbe Thema und denselben Schlüssel wie die Stammzertifizierungsstelle oder eine andere Zertifizierungsstelle in ihrer Kette haben. Gemäß RFC 4158 dürfen Antragstellernamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.

Sind vom Kunden verwaltete Cloud KMS-Schlüssel mit CMEKs identisch?

Nein. Die vom Kunden verwalteten Cloud KMS-Schlüssel, die im CA-Dienst unterstützt werden, sind nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) identisch, die mit Cloud KMS verwaltet werden. Im CA Service können Sie eigene vom Kunden verwaltete Cloud KMS-Schlüssel (auch als BYO-Schlüssel bezeichnet) für Zertifizierungsstellen in der Enterprise-Stufe erstellen. Diese Schlüssel werden als Signaturschlüssel der Zertifizierungsstelle verwendet im Gegensatz zu Verschlüsselungsschlüsseln wie CMEK zum Verschlüsseln ruhender Daten Google Cloud-Dienste unterstützt. CA Service unterstützt keinen CMEK.

Können Ressourcennamen nach dem Löschen der Ressource wiederverwendet werden?

Nein, Ressourcennamen wie die Namen von CA-Pools, Zertifizierungsstellen und Zertifikatsvorlagen können nach der ursprünglichen Ressource nicht in einer neuen Ressource wiederverwendet werden. wird gelöscht. Wenn Sie beispielsweise einen CA-Pool mit dem Namen projects/Charlie/locations/Location-1/caPools/my-pool erstellen und dann löschen, können Sie im Projekt Charlie und am Speicherort Location-1 keinen weiteren CA-Pool mit dem Namen my-pool erstellen.

Nächste Schritte