Häufig gestellte Fragen

Was ist Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können, während sie die Kontrolle über ihre privaten Schlüssel behalten.

Was sind die häufigsten Anwendungsfälle für Certificate Authority Service?

Im Folgenden finden Sie einige häufige Anwendungsfälle für CA Service.

  • Arbeitslastidentitäten: Nutzen Sie APIs, um Zertifikate für Anwendungen abzurufen oder Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen zu verwenden.
  • Unternehmensszenarien: Verwenden Sie Zertifikate u. a. für VPN, Chrome Enterprise Premium, das Signieren von Dokumenten, WLAN-Zugriff, E-Mails und Smartcards.
  • Zentralisierte Zertifikatsausstellung und -verwaltung: Konfigurieren Sie GKE Enterprise Service Mesh für die Verwendung von CA Service.
  • IoT- und Mobilgeräteidentität: Stellen Sie TLS-Zertifikate als Identität für Endpunkte aus.
  • CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes

Welche Compliancestandards unterstützt CA Service?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an einem von vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt CA Service eine globale PKI unter einem einzigen Stamm?

Ja, sofern sich die Root-Zertifizierungsstelle in einer einzigen Region befindet. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die bis zu derselben Stamm-CA verkettet sind.

Werden Labels für Zertifizierungsstellen unterstützt?

Ja, Sie können CA-Pools und CAs beim Erstellen und Aktualisieren Labels zuweisen.

Informationen zum Aktualisieren von Labels in einem Zertifizierungsstellenpool finden Sie unter Labels in einem Zertifizierungsstellenpool aktualisieren.

Informationen zum Aktualisieren von Labels einer Zertifizierungsstelle finden Sie unter Labels für eine Zertifizierungsstelle aktualisieren.

Ist es möglich, mit Cloud Monitoring die Zertifikatserstellung und den Ablauf der Zertifizierungsstelle zu verfolgen? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, Sie können alle diese Ereignisse im Blick behalten. Pub/Sub wird von CA Service nicht nativ unterstützt. Sie können es jedoch mit Cloud Monitoring konfigurieren. Weitere Informationen finden Sie unter Cloud Monitoring mit CA Service verwenden.

Wie lange werden nicht aktivierte Zertifizierungsstellen aufbewahrt?

Untergeordnete Zertifizierungsstellen werden mit dem Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn eine untergeordnete Zertifizierungsstelle 30 Tage nach ihrer Erstellung noch den Status AWAITING_USER_ACTIVATION hat, wird sie gelöscht.

Informationen zu den verschiedenen Status einer Zertifizierungsstelle im Laufe ihres Lebenszyklus finden Sie unter Zustände der Zertifizierungsstelle.

Welche Zugriffssteuerungen unterstützt CA Service für die Zertifikatsausstellung?

CA Service unterstützt das Festlegen von IAM-Richtlinien für einen Zertifizierungsstellenpool, um zu steuern, wer Zertifikate ausstellen darf. Ein CA-Administrator kann eine Ausstellungsrichtlinie an einen Zertifizierungsstellenpool anhängen. Diese Ausstellungsrichtlinie definiert Einschränkungen für die Art der Zertifikate, die die Zertifizierungsstellen in einem Zertifizierungsstellenpool ausstellen können. Dazu gehören u. a. Beschränkungen für Domainnamen, Erweiterungen und Gültigkeitsdauer des Zertifikats.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen Zertifizierungsstellenpool finden Sie unter Ausstellungsrichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Unterstützt CA Service multiregionale Cloud KMS-Schlüssel?

Nein, CA Service unterstützt keine multiregionalen Cloud KMS-Schlüssel.

Wird CA Service meine Anfragen in Zukunft gedrosselt? Was ist der angestrebte Wert für die Abfragen pro Sekunde für CA Service?

Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt CA Service VPC Service Controls?

Ja, CA Service unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Sicherheit und Compliance.

Wie sollen PEM-codierte öffentliche Schlüssel mit REST APIs verwendet werden?

PEM-codierte öffentliche Schlüssel können nur mit REST APIs verwendet werden, nachdem sie Base64-codiert wurden.

Können APIs der Vorschauphase nach der Bekanntgabe der allgemeinen Verfügbarkeit (GA) von CA Service weiterhin verwendet werden?

Ja, Vorschau-APIs können noch für kurze Zeit verwendet werden, nachdem CA Service GA bekannt gegeben hat. Dieser Zeitraum ist nur für Kunden gedacht, die reibungslos auf die neuesten APIs umsteigen möchten, und ist nur kurzlebig und wird nur eingeschränkt unterstützt. Wir empfehlen Kunden, zur Nutzung der Google Analytics APIs zu migrieren, sobald sie verfügbar sind.

Wie kann auf Ressourcen, die während des Vorschauzeitraums erstellt wurden, zugegriffen werden, nachdem CA Service die allgemeine Verfügbarkeit (GA) bekannt gegeben hat?

Sie können Ressourcen, die während der Vorschau erstellt wurden, nicht in der Google Cloud Console ansehen oder verwalten. Verwenden Sie zum Verwalten von Ressourcen, die in der Vorabversion erstellt wurden, die Vorschau-APIs oder die gcloud-Befehle für die Vorschau. Auf die Vorschau-APIs kann über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugegriffen werden. Auf die gcloud-Vorschaubefehle kann über gcloud privateca beta zugegriffen werden. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete Zertifizierungsstelle mit demselben Subjekt und Schlüssel wie einer anderen Zertifizierungsstelle in ihrer Kette erstellt werden?

Nein, eine untergeordnete Zertifizierungsstelle kann nicht dasselbe Subjekt und denselben Schlüssel wie die Stamm-CA oder eine andere Zertifizierungsstelle in ihrer Kette haben. RFC 4158 empfiehlt, dass Themennamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.

Sind vom Kunden verwaltete Cloud KMS-Schlüssel mit CMEK identisch?

Nein. Die im CA Service unterstützten vom Kunden verwalteten Cloud KMS-Schlüssel sind nicht mit den vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) identisch, die mit Cloud KMS verwaltet werden. In CA Service können Sie für Zertifizierungsstellen der Enterprise-Stufe eigene vom Kunden verwaltete Cloud KMS-Schlüssel (auch als BYO-Schlüssel bezeichnet) erstellen. Diese Schlüssel dienen im Gegensatz zu Verschlüsselungsschlüsseln wie CMEK zum Verschlüsseln inaktiver Daten in unterstützten Google Cloud-Diensten als Signaturschlüssel der Zertifizierungsstelle. CA Service unterstützt CMEK nicht.

Können Ressourcennamen wiederverwendet werden, nachdem die Ressource gelöscht wurde?

Nein. Ressourcennamen wie die Namen von CA-Pools, CAs und Zertifikatsvorlagen können in einer neuen Ressource nicht wiederverwendet werden, nachdem die ursprüngliche Ressource gelöscht wurde. Wenn Sie beispielsweise einen Zertifizierungsstellenpool namens projects/Charlie/locations/Location-1/caPools/my-pool erstellen und dann den Zertifizierungsstellenpool löschen, können Sie keinen weiteren Zertifizierungsstellenpool namens my-pool im Projekt Charlie und am Standort Location-1 erstellen.

Nächste Schritte