Preguntas frecuentes

¿Qué es Certificate Authority Service?

Certificate Authority Service es un servicio escalable y con alta disponibilidad de Google Cloud que permite a los clientes simplificar, automatizar y personalizar la implementación, administración y seguridad de las autoridades certificadoras (CAs) privadas, a la vez que mantienen el control de sus claves privadas.

¿Cuáles son los casos de uso comunes de Certificate Authority Service?

A continuación, se presentan algunos casos de uso comunes para el servicio de CA.

  • Identidades de carga de trabajo: Aprovecha las APIs para obtener certificados para aplicaciones o usarlos en aplicaciones, contenedores, sistemas y otros recursos.
  • Situaciones empresariales: Usa certificados para VPN, BeyondCorp Enterprise, documentos de firma, acceso a Wi-Fi, correo electrónico, tarjetas inteligentes y mucho más.
  • Emisión y administración de certificados centralizadas: Configura GKE Enterprise Service Mesh para usar CA Service.
  • Identidad de dispositivos móviles y IoT: Emite certificados TLS como identidad para los extremos.
  • canal de CI/CD, autorización binaria, Istio y Kubernetes.

¿Qué estándares de cumplimiento admite el Servicio de CA?

Para obtener más información, consulta Seguridad y cumplimiento.

¿En qué ubicaciones podemos crear recursos de CA Service?

Los recursos de CA Service pueden crearse en una de muchas ubicaciones. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.

¿CA Service admite una PKI global bajo una única raíz?

Sí, siempre que la AC raíz resida en una sola región. Sin embargo, puedes crear varias AC emisoras en diferentes regiones que se encadenan hasta la misma raíz.

¿Las etiquetas son compatibles con las AC?

Sí, puedes asociar etiquetas a grupos de AC y AC durante las operaciones de creación y actualización.

Para obtener más información sobre la actualización de etiquetas en un grupo de CA, consulta Actualiza etiquetas en un grupo de CA.

Para obtener más información sobre la actualización de etiquetas en una AC, consulta Actualiza etiquetas en una AC.

¿Se puede usar Cloud Monitoring para realizar un seguimiento de la creación de certificados y el vencimiento de la AC? ¿Es posible generar eventos de Pub/Sub para ellos?

Sí, puedes supervisar todos estos eventos. El servicio de CA no es compatible de forma nativa con Pub/Sub, pero puedes configurarlo con Cloud Monitoring. Para obtener más información, consulta Usa Cloud Monitoring con CA Service.

¿Durante cuánto tiempo se retienen las AC no activadas?

Las AC subordinadas se crean en el estado AWAITING_USER_ACTIVATION y se establecen en el estado STAGED después de la activación. Si una AC subordinada aún se encuentra en el estado AWAITING_USER_ACTIVATION 30 días después de su creación, se borrará.

Para obtener información sobre los distintos estados en los que se encuentra una AC durante su ciclo de vida, consulta Estados de la autoridad certificadora.

¿Qué controles de acceso admite el Servicio de CA para la emisión de certificados?

El servicio de CA admite la configuración de políticas de IAM en un grupo de CA para controlar quién puede emitir certificados. Un administrador de AC puede adjuntar una política de emisión a un grupo de AC. Esta política de emisión define restricciones sobre el tipo de certificados que pueden emitir las CA de un grupo de CA. Estas restricciones incluyen establecer límites para el nombre de dominio, las extensiones y el período de validez del certificado, entre otras cosas.

Si quieres obtener más información para configurar una política de emisión en un grupo de CA, consulta Usa una política de emisión.

Si quieres obtener información sobre cómo configurar las políticas de IAM necesarias para crear y administrar recursos de CA Service, consulta Configura políticas de IAM.

¿CA Service admite claves multirregionales de Cloud KMS?

No, el Servicio de CA no admite claves multirregionales de Cloud KMS.

¿El Servicio de CA limitará alguna vez mis solicitudes? ¿Cuáles son las QPS de destino para el Servicio de CA?

Sí, existe un mecanismo de limitación para el servicio de CA. Para obtener más información, consulta Cuotas y límites.

¿CA Service admite los Controles del servicio de VPC?

Sí, CA Service es compatible con los Controles del servicio de VPC. Para obtener más información, consulta Productos compatibles y limitaciones > Certificate Authority Service y Seguridad y cumplimiento.

¿Cómo se supone que las claves públicas con codificación PEM se deben usar con las APIs de REST?

Las claves públicas con codificación PEM solo se pueden usar con las APIs de REST después de estar codificadas en Base64.

¿Las APIs de la etapa de vista previa aún se pueden usar después de que CA Service anuncie la disponibilidad general (DG)?

Sí, las API de vista previa se pueden seguir utilizando durante un período breve después de que CA Service anuncie DG. Este período está destinado únicamente a los clientes para que comiencen a utilizar las API más recientes sin problemas, y será de corta duración con compatibilidad limitada. Recomendamos que los clientes migren a las APIs de DG en cuanto estén disponibles.

¿Cómo se puede acceder a los recursos creados durante el período de vista previa después de que el Servicio de CA anuncia la disponibilidad general (DG)?

No puedes ver ni administrar los recursos creados durante el período de vista previa con la consola de Google Cloud. Para administrar los recursos creados durante la vista previa, usa las APIs de vista previa o los comandos de gcloud de la vista previa. Se puede acceder a las APIs de vista previa a través del extremo https://privateca.googleapis.com/v1beta1/. Se puede acceder a los comandos gcloud de la vista previa a través de gcloud privateca beta. Para obtener más información sobre los comandos de gcloud privateca beta, consulta gcloud privateca beta.

¿Se puede crear una AC subordinada con el mismo sujeto y clave que otra AC en su cadena?

No, una AC subordinada no puede tener el mismo sujeto y clave que la AC raíz, o cualquier otra AC en su cadena. RFC 4158 recomienda que los nombres de sujeto y los pares de claves públicas no se repitan en las rutas de acceso.

¿Las claves de Cloud KMS administradas por el cliente son las mismas que las CMEK?

No, las claves de Cloud KMS administradas por el cliente compatibles con el servicio de CA no son las mismas que las claves de encriptación administradas por el cliente (CMEK) que se administran con Cloud KMS. En el servicio de CA, puedes crear tus propias claves de Cloud KMS administradas por el cliente (también conocidas como clave “trae tu propia botella”) para las CA del nivel empresarial. Estas claves se usan como clave de firma de la AC, a diferencia de las claves de encriptación, como las CMEK, que se usan para encriptar datos en reposo dentro de los servicios de Google Cloud compatibles. CA Service no admite CMEK.

¿Se pueden volver a usar los nombres de recursos después de borrarlo?

No, los nombres de los recursos, como los nombres de los grupos de AC, las AC y las plantillas de certificados, no se pueden volver a usar en un recurso nuevo después de borrar el recurso original. Por ejemplo, si creas un grupo de AC llamado projects/Charlie/locations/Location-1/caPools/my-pool y, luego, lo borras, no podrás crear otro grupo de AC llamado my-pool en el proyecto Charlie y en la ubicación Location-1.

¿Qué sigue?