Häufig gestellte Fragen

Was ist Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen und dabei die Kontrolle über ihre privaten Schlüssel behalten können.

Was sind die häufigsten Anwendungsfälle für Certificate Authority Service?

Im Folgenden finden Sie einige häufige Anwendungsfälle für CA Service.

  • Arbeitslastidentitäten: Nutzen Sie APIs, um Zertifikate für Anwendungen abzurufen oder Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen zu verwenden.
  • Unternehmensszenarien: Verwenden Sie Zertifikate für VPN, Chrome Enterprise Premium, Signaturen von Dokumenten, WLAN-Zugriff, E-Mail, Smartcard und mehr.
  • Zentralisierte Zertifikatsausstellung und -verwaltung: Konfigurieren Sie das GKE Enterprise Service Mesh für die Verwendung von CA Service.
  • IoT- und Mobilgeräteidentität: Stellen Sie TLS-Zertifikate als Identität für Endpunkte aus.
  • CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes

Welche Compliancestandards werden von CA Service unterstützt?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an einem von vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt CA Service eine globale PKI unter einer einzigen Stammebene?

Ja, vorausgesetzt, die Stammzertifizierungsstelle befindet sich in einer einzigen Region. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die bis zur selben Stammzertifizierungsstelle sind.

Werden Labels für Zertifizierungsstellen unterstützt?

Ja, Sie können CA-Pools und Zertifizierungsstellen bei Erstellungs- und Aktualisierungsvorgängen Labels zuweisen.

Informationen zum Aktualisieren von Labels für einen CA-Pool finden Sie unter Labels in einem Zertifizierungsstellenpool aktualisieren.

Informationen zum Aktualisieren von Labels für eine Zertifizierungsstelle finden Sie unter Labels für eine Zertifizierungsstelle aktualisieren.

Ist es möglich, mit Cloud Monitoring die Zertifikatserstellung und den Ablauf der Zertifizierungsstelle im Blick zu behalten? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, Sie können alle diese Ereignisse überwachen. CA Service unterstützt Pub/Sub nicht nativ, aber Sie können es mit Cloud Monitoring konfigurieren. Weitere Informationen finden Sie unter Cloud Monitoring mit dem Zertifizierungsstellendienst verwenden.

Wie lange werden nicht aktivierte Zertifizierungsstellen aufbewahrt?

Untergeordnete Zertifizierungsstellen werden mit dem Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn eine untergeordnete Zertifizierungsstelle 30 Tage nach ihrer Erstellung noch den Status AWAITING_USER_ACTIVATION hat, wird sie gelöscht.

Informationen zu den verschiedenen Status einer Zertifizierungsstelle im Laufe ihres Lebenszyklus finden Sie unter Status der Zertifizierungsstelle.

Welche Zugriffssteuerungen unterstützt CA Service für die Zertifikatsausstellung?

CA Service unterstützt das Festlegen von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen kann. Ein CA-Administrator kann eine Ausstellungsrichtlinie an einen Zertifizierungsstellenpool anhängen. Mit dieser Ausstellungsrichtlinie werden Einschränkungen für den Zertifikatstyp definiert, den die Zertifizierungsstellen in einem CA-Pool ausstellen können. Zu diesen Einschränkungen gehören u. a. Beschränkungen für Domainnamen, Erweiterungen und die Gültigkeitsdauer des Zertifikats.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen Zertifizierungsstellenpool finden Sie unter Ausgaberichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Unterstützt CA Service multiregionale Cloud KMS-Schlüssel?

Nein, CA Service unterstützt keine multiregionalen Cloud KMS-Schlüssel.

Wird CA Service meine Anfragen jemals drosseln? Wie hoch sind die angestrebten Abfragen pro Sekunde für CA Service?

Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt CA Service VPC Service Controls?

Ja, CA Service unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Sicherheit und Compliance.

Wie sollten PEM-codierte öffentliche Schlüssel mit REST APIs verwendet werden?

PEM-codierte öffentliche Schlüssel können mit REST APIs erst verwendet werden, nachdem sie Base64-codiert wurden.

Können Vorabversionen von APIs weiterhin verwendet werden, nachdem durch CA Service die allgemeine Verfügbarkeit bekannt gegeben wurde?

Ja, die Vorabversionen von APIs können noch für kurze Zeit verwendet werden, nachdem CA Service die GA-Bekanntgabe bekannt gegeben hat. Dieser Zeitraum ist nur für Kunden gedacht, die reibungslos auf die neuesten APIs umstellen möchten, und ist kurzlebig und wird nur eingeschränkt unterstützt. Wir empfehlen Kunden, so bald wie möglich auf die Google Analytics APIs umzusteigen.

Wie kann auf Ressourcen zugegriffen werden, die während des Vorschauzeitraums erstellt wurden, nachdem CA Service die allgemeine Verfügbarkeit (GA) bekannt gegeben hat?

Ressourcen, die in der Vorschauphase erstellt wurden, können Sie nicht in der Google Cloud Console aufrufen oder verwalten. Verwenden Sie zum Verwalten von Ressourcen, die während der Vorschau erstellt wurden, die Preview APIs oder die gcloud-Befehle für die Vorschau. Auf die Preview APIs kann über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugegriffen werden. Auf die gcloud-Vorschaubefehle kann über gcloud privateca beta zugegriffen werden. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete Zertifizierungsstelle mit demselben Subjekt und Schlüssel wie eine andere Zertifizierungsstelle in ihrer Kette erstellt werden?

Nein, eine untergeordnete Zertifizierungsstelle darf nicht dasselbe Thema und denselben Schlüssel wie die Stammzertifizierungsstelle oder eine andere Zertifizierungsstelle in ihrer Kette haben. Gemäß RFC 4158 dürfen Antragstellernamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.

Sind vom Kunden verwaltete Cloud KMS-Schlüssel mit CMEKs identisch?

Nein. Die in CA Service unterstützten vom Kunden verwalteten Cloud KMS-Schlüssel sind nicht mit den vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) identisch, die mit Cloud KMS verwaltet werden. In CA Service können Sie Ihre eigenen vom Kunden verwalteten Cloud KMS-Schlüssel (auch als BYO-Schlüssel bezeichnet) für Zertifizierungsstellen der Enterprise-Stufe erstellen. Diese Schlüssel werden als Signaturschlüssel der Zertifizierungsstelle verwendet, im Gegensatz zu Verschlüsselungsschlüsseln wie CMEK zum Verschlüsseln inaktiver Daten in unterstützten Google Cloud-Diensten. CA Service unterstützt keinen CMEK.

Können Ressourcennamen nach dem Löschen einer Ressource wiederverwendet werden?

Nein, Ressourcennamen wie die Namen von CA-Pools, Zertifizierungsstellen und Zertifikatsvorlagen können in einer neuen Ressource nicht wiederverwendet werden, nachdem die ursprüngliche Ressource gelöscht wurde. Wenn Sie beispielsweise einen Zertifizierungsstellenpool namens projects/Charlie/locations/Location-1/caPools/my-pool erstellen und dann den Zertifizierungsstellenpool löschen, können Sie im Projekt Charlie und am Standort Location-1 keinen weiteren Zertifizierungsstellenpool namens my-pool erstellen.

Nächste Schritte