Domande frequenti

Che cos'è Certificate Authority Service?

Certificate Authority Service è un servizio Google Cloud scalabile, a disponibilità elevata che consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private mantenendo il controllo delle chiavi private.

Quali sono i casi d'uso comuni di Certificate Authority Service?

Di seguito sono riportati alcuni casi d'uso comuni di CA Service.

  • Identità del carico di lavoro: sfrutta le API per ottenere certificati per le applicazioni o utilizzali in applicazioni, container, sistemi e altre risorse.
  • Scenari aziendali: utilizzare certificati per VPN, Chrome Enterprise Premium, firma di documenti, accesso Wi-Fi, email, smartcard e altro ancora.
  • Emissione e gestione centralizzate dei certificati: configura GKE Enterprise Service Mesh per l'utilizzo del servizio CA.
  • IoT e identità dei dispositivi mobili: rilascia certificati TLS come identità per gli endpoint.
  • canale CI/CD, Autorizzazione binaria, Istio e Kubernetes.

Quali sono gli standard di conformità supportati da CA Service?

Per informazioni, vedi Sicurezza e conformità.

In quali località possiamo creare risorse CA Service?

Le risorse di CA Service possono essere create in una di molte posizioni. Per l'elenco completo delle sedi, vedi Località.

CA Service supporta un'infrastruttura a chiave pubblica globale con un'unica radice?

Sì, a condizione che la CA radice risieda in un'unica regione. Tuttavia, puoi creare più CA emittente in diverse regioni che si concatenano alla stessa radice.

Le etichette sono supportate per le CA?

Sì, puoi associare le etichette a pool di CA e CA durante le operazioni di creazione e aggiornamento.

Per informazioni sull'aggiornamento delle etichette su un pool di CA, consulta Aggiornamento delle etichette in un pool di CA.

Per informazioni sull'aggiornamento delle etichette su una CA, consulta Aggiornare le etichette su una CA.

È possibile utilizzare Cloud Monitoring per tenere traccia della creazione del certificato e della scadenza della CA? È possibile generare eventi Pub/Sub per questo account?

Sì, puoi monitorare tutti questi eventi. CA Service non supporta Pub/Sub in modo nativo, ma puoi configurarlo utilizzando Cloud Monitoring. Per ulteriori informazioni, consulta Utilizzo di Cloud Monitoring con CA Service.

Per quanto tempo vengono conservate le CA non attivate?

Le CA subordinate vengono create nello stato AWAITING_USER_ACTIVATION e impostate sullo stato STAGED dopo l'attivazione. Se una CA subordinata è ancora in stato AWAITING_USER_ACTIVATION 30 giorni dopo la creazione, viene eliminata.

Per informazioni sui vari stati in cui si trova un'autorità di certificazione durante il suo ciclo di vita, consulta Stati delle autorità di certificazione.

Quali controlli dell'accesso sono supportati dal servizio CA per l'emissione dei certificati?

CA Service supporta l'impostazione dei criteri IAM su un pool di CA per controllare chi può rilasciare certificati. Un amministratore CA può collegare un criterio di emissione a un pool di CA. Questo criterio di emissione definisce le limitazioni relative al tipo di certificati che possono essere emessi dalle CA di un pool di CA. Queste limitazioni includono, tra le altre cose, l'applicazione di limiti relativi a nomi di dominio, estensioni e periodo di validità dei certificati.

Per saperne di più su come configurare un criterio di emissione su un pool di CA, consulta Utilizzare un criterio di emissione.

Per informazioni su come configurare i criteri IAM necessari per creare e gestire le risorse del servizio CA, consulta Configurazione dei criteri IAM.

CA Service supporta le chiavi Cloud KMS multiregionali?

No, CA Service non supporta le chiavi Cloud KMS multiregionali.

CA Service limiterà mai le mie richieste? Qual è il valore QPS di destinazione per il servizio CA?

Sì, esiste un meccanismo di limitazione per CA Service. Per saperne di più, consulta Quote e limiti.

CA Service supporta i Controlli di servizio VPC?

Sì, CA Service supporta i Controlli di servizio VPC. Per maggiori informazioni, vedi Prodotti e limitazioni supportati > Certificate Authority Service e Sicurezza e conformità.

Come dovrebbero essere utilizzate le chiavi pubbliche con codifica PEM con le API REST?

Le chiavi pubbliche con codifica PEM possono essere utilizzate con le API REST solo dopo che sono state codificate in Base64.

È possibile continuare a utilizzare le API della fase di anteprima dopo che il servizio CA ha annunciato la disponibilità generale (GA)?

Sì, le API di anteprima possono essere ancora utilizzate per un breve periodo dopo l'annuncio di GA in CA Service. Questo periodo è destinato solo ai clienti per eseguire senza problemi la transizione all'utilizzo delle API più recenti e sarà di breve durata con supporto limitato. Consigliamo ai clienti di eseguire la migrazione alle API GA non appena sono disponibili.

In che modo è possibile accedere alle risorse create durante il periodo di anteprima dopo che CA Service ha annunciato la disponibilità generale (GA)?

Non puoi visualizzare o gestire le risorse create durante il periodo di anteprima utilizzando la console Google Cloud. Per gestire le risorse create durante l'anteprima, utilizza le API di anteprima o i comandi gcloud di anteprima. Le API di anteprima sono accessibili tramite l'endpoint https://privateca.googleapis.com/v1beta1/. I comandi di anteprima gcloud sono accessibili tramite gcloud privateca beta. Per ulteriori informazioni sui comandi gcloud privateca beta, vedi gcloud privateca beta.

È possibile creare una CA subordinata con lo stesso soggetto e la stessa chiave di un'altra CA della sua catena?

No, una CA subordinata non può avere lo stesso oggetto e la stessa chiave della CA radice o di qualsiasi altra CA nella sua catena. RFC 4158 consiglia che i nomi dei soggetti e le coppie di chiavi pubbliche non vengano ripetuti nei percorsi.

Le chiavi Cloud KMS gestite dal cliente sono uguali a quelle di CMEK?

No, le chiavi Cloud KMS gestite dal cliente supportate in CA Service sono diverse dalle chiavi di crittografia gestite dal cliente (CMEK) che sono gestite mediante Cloud KMS. In CA Service puoi creare chiavi Cloud KMS gestite dal cliente (note anche come chiave BYO) per le CA di livello Enterprise. Queste chiavi vengono utilizzate come chiave di firma della CA, a differenza delle chiavi di crittografia come CMEK che vengono utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati. CA Service non supporta CMEK.

Dopo l'eliminazione della risorsa, è possibile riutilizzare i nomi delle risorse?

No, i nomi delle risorse come i nomi di pool di CA, CA e modelli di certificato non possono essere riutilizzati in una nuova risorsa dopo l'eliminazione della risorsa originale. Ad esempio, se crei un pool di CA denominato projects/Charlie/locations/Location-1/caPools/my-pool e poi elimini il pool di CA, non puoi creare un altro pool di CA denominato my-pool nel progetto Charlie e nella località Location-1.

Passaggi successivi