Perguntas frequentes

O que é o Certificate Authority Service?

O Certificate Authority Service é um serviço altamente disponível e escalonável do Google Cloud. Com ele, os clientes simplificam, automatizam e personalizam a implantação, o gerenciamento e a segurança de autoridades certificadoras (CAs) privadas sem abrir mão do controle sobre as chaves privadas.

Quais são os casos de uso comuns do Certificate Authority Service?

Confira abaixo alguns casos de uso comuns do CA Service.

  • Identidades de carga de trabalho: utilize as APIs para receber certificados de aplicativos ou usá-los em aplicativos, contêineres, sistemas e outros recursos.
  • Cenários empresariais: use certificados para VPN, Chrome Enterprise Premium, documentos de assinatura, acesso Wi-Fi, e-mail, cartão inteligente e muito mais.
  • Emissão e gerenciamento centralizados de certificados: configure o GKE Enterprise Service Mesh para usar o serviço de CA.
  • IoT e identidade de dispositivos móveis: emita certificados TLS como identidade para endpoints.
  • canal de CI/CD, autorização binária, Istio e Kubernetes.

Quais padrões de compliance são compatíveis com o CA Service?

Para mais informações, consulte Segurança e compliance.

Em quais locais podemos criar recursos de serviço de CA?

Os recursos de serviço de CA podem ser criados em um de muitos locais. Para ver a lista completa de locais, consulte Locais.

O serviço de CA oferece suporte a uma ICP global em uma única raiz?

Sim, desde que a CA raiz esteja em uma única região. No entanto, é possível criar várias ACs emissoras em diferentes regiões encadeadas na mesma raiz.

Os rótulos são compatíveis com CAs?

Sim, é possível associar rótulos a pools de CAs e CAs durante as operações de criação e atualização.

Para informações sobre como atualizar rótulos em um pool de ACs, consulte Como atualizar rótulos em um pool de ACs.

Para informações sobre como atualizar rótulos em uma CA, consulte Como atualizar rótulos em uma CA.

É possível usar o Cloud Monitoring para rastrear a criação de certificados e a expiração da CA? É possível gerar eventos do Pub/Sub para eles?

Sim, você pode monitorar todos esses eventos. O serviço de CA não tem suporte nativo ao Pub/Sub, mas é possível configurá-lo usando o Cloud Monitoring. Para mais informações, consulte Como usar o Cloud Monitoring com o serviço de AC.

Por quanto tempo as CAs não ativadas são mantidas?

As ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION e definidas como STAGED após a ativação. Se uma AC subordinada ainda estiver no estado AWAITING_USER_ACTIVATION 30 dias após a criação, ela será excluída.

Para informações sobre os vários estados em que uma CA se encontra ao longo do ciclo de vida, consulte Estados de autoridade de certificação.

Quais controles de acesso são compatíveis com o CA Service para emissão de certificados?

O serviço de CA oferece suporte à configuração de políticas do IAM em um pool de CAs para controlar quem pode emitir certificados. Um administrador de AC pode anexar uma política de emissão a um pool de ACs. Esta política de emissão define restrições sobre os tipos de certificados que as ACs em um pool de ACs podem emitir. Essas restrições incluem limitar o nome de domínio, as extensões e o período de validade dos certificados, entre outras coisas.

Para mais informações sobre como configurar uma política de emissão em um pool de ACs, consulte Como usar uma política de emissão.

Para informações sobre como configurar as políticas do IAM necessárias para criar e gerenciar recursos do serviço de AC, consulte Como configurar políticas do IAM.

O serviço de CA oferece suporte a chaves do Cloud KMS multirregionais?

Não, o serviço de CA não é compatível com chaves do Cloud KMS multirregionais.

O CA Service vai limitar minhas solicitações? Qual é o QPS desejado para o serviço de AC?

Sim, existe um mecanismo de limitação para o serviço de AC. Para mais informações, consulte Cotas e limites.

O CA Service é compatível com o VPC Service Controls?

Sim, o CA Service oferece suporte ao VPC Service Controls. Para mais informações, consulte Produtos e limitações compatíveis > Certificate Authority Service e Segurança e compliance.

Como as chaves públicas codificadas em PEM devem ser usadas com APIs REST?

As chaves públicas codificadas em PEM só podem ser usadas com APIs REST depois de serem codificadas em Base64.

As APIs de estágio de visualização ainda podem ser usadas depois que o serviço de CA anuncia a disponibilidade geral (GA)?

Sim, as APIs de visualização ainda podem ser usadas por um curto período após o CA Service anunciar a disponibilidade geral. Esse período é destinado apenas para que os clientes façam a transição tranquila para usar as APIs mais recentes e terá curta duração e suporte limitado. Recomendamos que os clientes migrem para as APIs do GA assim que estiverem disponíveis.

Como os recursos criados durante o período de visualização podem ser acessados depois que o serviço de CA anuncia a disponibilidade geral (GA)?

Não é possível conferir nem gerenciar os recursos criados durante o período de visualização usando o console do Google Cloud. Para gerenciar recursos criados durante a visualização, use as APIs de visualização ou os comandos gcloud de visualização. As APIs de visualização podem ser acessadas pelo endpoint https://privateca.googleapis.com/v1beta1/. Os comandos de visualização gcloud podem ser acessados por gcloud privateca beta. Para mais informações sobre os comandos gcloud privateca beta, consulte gcloud privateca beta.

Uma CA subordinada pode ser criada com o mesmo assunto e chave de outra CA na cadeia?

Não, uma CA subordinada não pode ter o mesmo assunto e chave que a CA raiz ou qualquer outra CA na cadeia. A RFC 4158 (link em inglês) recomenda que os nomes de assuntos e pares de chaves públicas não sejam repetidos nos caminhos.

As chaves do Cloud KMS gerenciadas pelo cliente são iguais às CMEK?

Não, as chaves do Cloud KMS gerenciadas pelo cliente compatíveis com o CA Service não são as mesmas das chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) que são gerenciadas usando o Cloud KMS. No CA Service, é possível criar suas próprias chaves do Cloud KMS gerenciadas pelo cliente (também conhecidas como chave BYO) para CAs no nível Enterprise. Essas chaves são usadas como a chave de assinatura da AC, ao contrário das CMEKs, que são usadas para criptografar dados em repouso nos serviços com suporte do Google Cloud. O serviço de CA não oferece suporte a CMEK.

Os nomes dos recursos podem ser reutilizados depois da exclusão?

Não. Nomes de recursos, como os nomes de pools de ACs, ACs e modelos de certificado, não podem ser reutilizados em um novo recurso depois que o original é excluído. Por exemplo, se você criar um pool de ACs chamado projects/Charlie/locations/Location-1/caPools/my-pool e, em seguida, excluir o pool de ACs, não será possível criar outro pool de ACs chamado my-pool no projeto Charlie e no local Location-1.

A seguir