Perguntas frequentes

O que é o Certificate Authority Service?

O Certificate Authority Service é um serviço do Google Cloud altamente disponível e escalonável. Com ele, os clientes podem simplificar, automatizar e personalizar a implantação, o gerenciamento e a segurança de autoridades certificadoras (CAs) privadas, mantendo o controle das chaves privadas.

Quais são os casos de uso comuns do Certificate Authority Service?

Confira abaixo alguns casos de uso comuns para o serviço de CA.

  • Identidades de carga de trabalho: aproveite APIs para receber certificados para aplicativos ou usar certificados em aplicativos, contêineres, sistemas e outros recursos.
  • Cenários empresariais: use certificados para VPN, Chrome Enterprise Premium, assinatura de documentos, acesso Wi-Fi, e-mail, cartão inteligente e muito mais.
  • Emissão e gerenciamento centralizados de certificados: configure o GKE Enterprise Service Mesh para usar o serviço de AC.
  • IoT e identidade de dispositivos móveis: emita certificados TLS como identidade para endpoints.
  • canal de CI/CD, autorização binária, Istio e Kubernetes.

Quais padrões de compliance são compatíveis com o CA Service?

Para mais informações, consulte Segurança e compliance.

Em quais locais podemos criar recursos de serviço de CA?

Os recursos do CA Service podem ser criados em um dos vários locais. Para ver a lista completa de locais, consulte Locais.

O CA Service oferece suporte a uma ICP global em uma única raiz?

Sim, contanto que a CA raiz esteja em uma única região. No entanto, é possível criar várias CAs emissoras em diferentes regiões que são encadeadas à mesma raiz.

Os rótulos são compatíveis com ACs?

Sim, é possível associar rótulos a pools de CAs e ACs durante operações de criação e atualização.

Para informações sobre como atualizar rótulos em um pool de ACs, consulte Como atualizar marcadores em um pool de ACs.

Para informações sobre como atualizar rótulos em uma AC, consulte Como atualizar marcadores em uma AC.

É possível usar o Cloud Monitoring para rastrear a criação de certificados e a expiração da CA? É possível gerar eventos do Pub/Sub para eles?

Sim, é possível monitorar todos esses eventos. O CA Service não oferece suporte nativo ao Pub/Sub, mas pode ser configurado usando o Cloud Monitoring. Para mais informações, consulte Como usar o Cloud Monitoring com o serviço de AC.

Por quanto tempo as ACs não ativadas são mantidas?

As ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION e definidas como STAGED após a ativação. Se uma CA subordinada ainda estiver no estado AWAITING_USER_ACTIVATION 30 dias após a criação, ela será excluída.

Para informações sobre os vários estados em que uma CA está durante o ciclo de vida, consulte Estados de autoridade certificadora.

Quais controles de acesso o CA Service oferece suporte para a emissão de certificados?

O serviço de CA oferece suporte à configuração de políticas do IAM em um pool de ACs para controlar quem pode emitir certificados. Um administrador de AC pode anexar uma política de emissão a um pool de ACs. Esta política de emissão define restrições sobre o tipo de certificado que as CAs em um pool de AC podem emitir. Essas restrições incluem a colocação de limites em nome de domínio, extensões e período de validade do certificado, entre outras coisas.

Para mais informações sobre como configurar uma política de emissão em um pool de ACs, consulte Como usar uma política de emissão.

Para informações sobre como configurar as políticas do IAM necessárias para criar e gerenciar recursos do CA Service, consulte Como configurar políticas do IAM.

O CA Service oferece suporte a chaves multirregionais do Cloud KMS?

Não, o CA Service não oferece suporte a chaves multirregionais do Cloud KMS.

O CA Service limitará minhas solicitações? Qual é o QPS desejado para o serviço de AC?

Sim, existe um mecanismo de limitação para o serviço de AC. Para mais informações, consulte Cotas e limites.

O CA Service oferece suporte ao VPC Service Controls?

Sim, o CA Service oferece suporte ao VPC Service Controls. Para mais informações, consulte Produtos e limitações compatíveis > Certificate Authority Service e Segurança e compliance.

Como as chaves públicas codificadas em PEM devem ser usadas com as APIs REST?

As chaves públicas codificadas em PEM só podem ser usadas com APIs REST depois de terem sido codificadas em Base64.

As APIs do estágio de pré-lançamento ainda podem ser usadas depois que o CA Service anuncia a disponibilidade geral (GA)?

Sim, as APIs de pré-lançamento ainda podem ser usadas por um curto período depois que o CA Service anuncia a disponibilidade geral. Esse período se destina apenas aos clientes fazerem uma transição tranquila para usar as APIs mais recentes e será de curta duração com suporte limitado. Recomendamos que os clientes migrem para as APIs do GA assim que elas estiverem disponíveis.

Como os recursos criados durante o período de pré-lançamento podem ser acessados depois que o CA Service anuncia a disponibilidade geral (GA)?

Não é possível acessar nem gerenciar os recursos criados durante o período de visualização no console do Google Cloud. Para gerenciar os recursos criados durante a visualização, use as APIs ou os comandos gcloud de visualização. As APIs de pré-lançamento podem ser acessadas pelo endpoint https://privateca.googleapis.com/v1beta1/. Os comandos gcloud de visualização podem ser acessados pelo gcloud privateca beta. Para mais informações sobre os comandos gcloud privateca beta, consulte gcloud privateca beta.

Uma CA subordinada pode ser criada com o mesmo assunto e chave de outra CA na cadeia?

Não, uma AC subordinada não pode ter o mesmo assunto e chave que a AC raiz ou qualquer outra AC na cadeia. A RFC 4158 (em inglês) recomenda que os nomes de assuntos e pares de chaves públicas não sejam repetidos nos caminhos.

As chaves do Cloud KMS gerenciadas pelo cliente são as mesmas da CMEK?

Não, as chaves do Cloud KMS gerenciadas pelo cliente compatíveis com o CA Service não são iguais às chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) que são gerenciadas com o Cloud KMS. No CA Service, é possível criar suas próprias chaves do Cloud KMS gerenciadas pelo cliente (também conhecidas como chave BYO), para CAs no nível Enterprise. Essas chaves são usadas como a chave de assinatura da CA, ao contrário das chaves de criptografia, como a CMEK, que são usadas para criptografar dados em repouso nos serviços compatíveis do Google Cloud. O CA Service não oferece suporte a CMEK.

Os nomes de recursos podem ser reutilizados após a exclusão do recurso?

Não, os nomes de recursos, como nomes de pools de CAs, CAs e modelos de certificado, não podem ser reutilizados em um novo recurso após a exclusão do original. Por exemplo, se você criar um pool de ACs chamado projects/Charlie/locations/Location-1/caPools/my-pool e depois excluí-lo, não será possível criar outro pool de ACs chamado my-pool no projeto Charlie e no local Location-1.

A seguir