Pertanyaan umum (FAQ)
Apa itu {i>Certificate Authority Service<i}?
Certificate Authority Service adalah layanan Google Cloud yang skalabel dan sangat tersedia yang memungkinkan pelanggan menyederhanakan, mengotomatiskan, dan menyesuaikan deployment, pengelolaan, dan keamanan certificate authority (CA) pribadi sambil tetap mengontrol kunci pribadi mereka.
Apa kasus penggunaan umum untuk Certificate Authority Service?
Di bawah ini adalah beberapa kasus penggunaan umum untuk CA Service.
- Identitas beban kerja: Manfaatkan API untuk mendapatkan sertifikat aplikasi atau menggunakan sertifikat di aplikasi, container, sistem, dan resource lainnya.
- Skenario perusahaan: Gunakan sertifikat untuk VPN, BeyondCorp Enterprise, dokumen penandatanganan, akses Wi-Fi, email, kartu smart, dan lainnya.
- Penerbitan dan pengelolaan sertifikat terpusat: Konfigurasikan GKE Enterprise Service Mesh untuk menggunakan CA Service.
- IoT dan identitas perangkat seluler: Menerbitkan sertifikat TLS sebagai identitas untuk endpoint.
- saluran CI/CD, Otorisasi Biner, Istio, dan Kubernetes.
Standar kepatuhan mana yang didukung oleh CA Service?
Untuk informasi selengkapnya, lihat Keamanan dan Kepatuhan.
Di lokasi mana kita dapat membuat resource CA Service?
Resource CA Service dapat dibuat di salah satu dari banyak lokasi. Untuk daftar lengkap lokasi, lihat Lokasi.
Apakah CA Service mendukung IKP global di bawah satu root?
Ya, asalkan CA root berada di satu region. Namun, Anda dapat membuat beberapa CA penerbit di berbagai region yang terhubung ke root yang sama.
Apakah label didukung untuk CA?
Ya, Anda dapat mengaitkan label ke kumpulan CA dan CA selama operasi pembuatan dan pembaruan.
Untuk informasi tentang cara memperbarui label pada kumpulan CA, lihat Memperbarui label di kumpulan CA.
Untuk informasi tentang cara memperbarui label di CA, lihat Memperbarui label di CA.
Apakah Cloud Monitoring dapat digunakan untuk melacak pembuatan sertifikat dan akhir masa berlaku CA? Apakah peristiwa Pub/Sub dapat dibuat untuk klien tersebut?
Ya, Anda dapat memantau semua peristiwa ini. CA Service tidak mendukung Pub/Sub secara native, tetapi Anda dapat mengonfigurasinya menggunakan Cloud Monitoring. Untuk informasi selengkapnya, lihat Menggunakan Cloud Monitoring dengan Layanan CA.
Berapa lama CA yang belum diaktifkan akan dipertahankan?
CA subordinat dibuat dalam status AWAITING_USER_ACTIVATION
, dan ditetapkan ke status STAGED
setelah aktivasi. Jika CA subordinat masih dalam status AWAITING_USER_ACTIVATION
30 hari setelah dibuat, CA akan dihapus.
Untuk informasi tentang berbagai status CA melalui siklus prosesnya, lihat Status otoritas sertifikat.
Kontrol akses apa saja yang didukung CA Service untuk penerbitan sertifikat?
CA Service mendukung penetapan kebijakan IAM pada kumpulan CA untuk mengontrol siapa yang dapat menerbitkan sertifikat. Admin CA dapat melampirkan kebijakan penerbitan ke kumpulan CA. Kebijakan penerbitan ini menentukan batasan jenis sertifikat yang dapat diterbitkan oleh CA dalam kumpulan CA. Pembatasan ini mencakup pembatasan pada nama domain, ekstensi, dan periode validitas sertifikat, di antara hal-hal lainnya.
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan penerbitan pada kumpulan CA, lihat Menggunakan kebijakan penerbitan.
Untuk mendapatkan informasi tentang cara mengonfigurasi kebijakan IAM yang diperlukan untuk membuat dan mengelola resource CA Service, lihat Mengonfigurasi kebijakan IAM.
Apakah Layanan CA mendukung kunci Cloud KMS multi-region?
Tidak, CA Service tidak mendukung kunci Cloud KMS multi-region.
Apakah CA Service akan pernah men-throttle permintaan saya? Berapa QPS target untuk CA Service?
Ya, ada mekanisme throttling untuk CA Service. Untuk mengetahui informasi selengkapnya, lihat Kuota dan batas.
Apakah Layanan CA mendukung Kontrol Layanan VPC?
Ya, CA Service mendukung Kontrol Layanan VPC. Untuk informasi selengkapnya, lihat Produk dan batasan yang didukung > Certificate Authority Service serta Keamanan dan Kepatuhan.
Bagaimana kunci publik yang dienkode ke PEM seharusnya digunakan dengan REST API?
Kunci publik yang dienkode ke PEM hanya dapat digunakan dengan REST API setelah berenkode Base64.
Apakah API tahap pratinjau masih dapat digunakan setelah CA Service mengumumkan ketersediaan umum (GA)?
Ya, API pratinjau masih dapat digunakan untuk beberapa saat setelah CA Service mengumumkan GA. Periode ini hanya ditujukan bagi pelanggan untuk beralih dengan lancar agar dapat menggunakan API terbaru dan tidak akan berlaku lagi dengan dukungan terbatas. Sebaiknya pelanggan bermigrasi untuk menggunakan API GA segera setelah tersedia.
Bagaimana cara mengakses resource yang dibuat selama periode pratinjau setelah CA Service mengumumkan ketersediaan umum (GA)?
Anda tidak dapat melihat atau mengelola resource yang dibuat selama periode pratinjau menggunakan Konsol Google Cloud.
Untuk mengelola resource yang dibuat selama pratinjau, gunakan API pratinjau atau perintah gcloud
pratinjau.
API pratinjau dapat diakses melalui endpoint https://privateca.googleapis.com/v1beta1/
.
Perintah gcloud
pratinjau dapat diakses melalui gcloud privateca beta
. Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca beta
, lihat gcloud privateca beta.
Dapatkah subordinate CA dibuat dengan subjek dan kunci yang sama dengan CA lain dalam rantainya?
Tidak, CA subordinat tidak boleh memiliki subjek dan kunci yang sama dengan CA root, atau CA lain dalam rantainya. RFC 4158 merekomendasikan agar nama subjek dan pasangan kunci publik tidak diulang di jalur.
Apakah kunci Cloud KMS yang dikelola pelanggan sama dengan CMEK?
Tidak, kunci Cloud KMS yang dikelola pelanggan yang didukung di CA Service tidak sama dengan kunci enkripsi yang dikelola pelanggan (CMEK) yang dikelola menggunakan Cloud KMS. Di CA Service, Anda dapat membuat kunci Cloud KMS yang dikelola pelanggan (juga dikenal sebagai kunci BYO), untuk CA di tingkat Enterprise. Kunci ini digunakan sebagai kunci penandatanganan CA tidak seperti kunci enkripsi seperti CMEK yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung. CA Service tidak mendukung CMEK.
Apakah nama fasilitas dapat digunakan kembali setelah fasilitas dihapus?
Tidak, nama resource seperti nama kumpulan CA, CA, dan template sertifikat tidak dapat digunakan kembali di resource baru setelah resource asli
dihapus. Misalnya, jika Anda membuat kumpulan CA bernama projects/Charlie/locations/Location-1/caPools/my-pool
, lalu menghapus kumpulan CA, Anda tidak dapat membuat kumpulan CA lain bernama my-pool
dalam project Charlie
dan lokasi Location-1
.
Langkah selanjutnya
- Pelajari batasan umum.
- Baca catatan rilis.
- Pelajari cara mendapatkan dukungan.