Häufig gestellte Fragen

Was ist Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen und dabei die Kontrolle über ihre privaten Schlüssel behalten können.

Was sind die häufigsten Anwendungsfälle für Certificate Authority Service?

Im Folgenden finden Sie einige häufige Anwendungsfälle für CA Service.

  • Arbeitslastidentitäten: Nutzen Sie APIs, um Zertifikate für Anwendungen abzurufen oder Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen zu verwenden.
  • Unternehmensszenarien: Verwenden Sie Zertifikate für VPN, Chrome Enterprise Premium, Signaturen von Dokumenten, WLAN-Zugriff, E-Mail, Smartcard und mehr.
  • Zentralisierte Zertifikatsausstellung und -verwaltung: Konfigurieren Sie das GKE Enterprise Service Mesh für die Verwendung von CA Service.
  • IoT- und Mobilgeräteidentität: Stellen Sie TLS-Zertifikate als Identität für Endpunkte aus.
  • CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes

Welche Compliancestandards werden von CA Service unterstützt?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an einem von vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt CA Service eine globale PKI unter einer einzigen Stammebene?

Ja, vorausgesetzt, die Stammzertifizierungsstelle befindet sich in einer einzigen Region. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die bis zur selben Stammzertifizierungsstelle sind.

Werden Labels für Zertifizierungsstellen unterstützt?

Ja, Sie können CA-Pools und Zertifizierungsstellen bei Erstellungs- und Aktualisierungsvorgängen Labels zuweisen.

Informationen zum Aktualisieren von Labels für einen CA-Pool finden Sie unter Labels in einem Zertifizierungsstellenpool aktualisieren.

Informationen zum Aktualisieren von Labels für eine Zertifizierungsstelle finden Sie unter Labels für eine Zertifizierungsstelle aktualisieren.

Ist es möglich, mit Cloud Monitoring die Zertifikatserstellung und den Ablauf der Zertifizierungsstelle im Blick zu behalten? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, Sie können alle diese Ereignisse überwachen. CA Service unterstützt Pub/Sub nicht nativ, aber Sie können es mit Cloud Monitoring konfigurieren. Weitere Informationen finden Sie unter Cloud Monitoring mit dem Zertifizierungsstellendienst verwenden.

Wie lange werden nicht aktivierte Zertifizierungsstellen aufbewahrt?

Untergeordnete Zertifizierungsstellen werden mit dem Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn eine untergeordnete Zertifizierungsstelle 30 Tage nach ihrer Erstellung noch den Status AWAITING_USER_ACTIVATION hat, wird sie gelöscht.

Informationen zu den verschiedenen Status einer Zertifizierungsstelle im Laufe ihres Lebenszyklus finden Sie unter Status der Zertifizierungsstelle.

Welche Zugriffssteuerungen unterstützt CA Service für die Zertifikatsausstellung?

CA Service unterstützt das Festlegen von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen kann. Ein CA-Administrator kann eine Ausstellungsrichtlinie an einen Zertifizierungsstellenpool anhängen. Mit dieser Ausstellungsrichtlinie werden Einschränkungen für den Zertifikatstyp definiert, den die Zertifizierungsstellen in einem CA-Pool ausstellen können. Zu diesen Einschränkungen gehören u. a. Beschränkungen für Domainnamen, Erweiterungen und die Gültigkeitsdauer des Zertifikats.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen Zertifizierungsstellenpool finden Sie unter Ausstellungsrichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Unterstützt CA Service multiregionale Cloud KMS-Schlüssel?

Nein, CA Service unterstützt keine multiregionalen Cloud KMS-Schlüssel.

Wird CA Service meine Anfragen jemals drosseln? Wie hoch sind die angestrebten Abfragen pro Sekunde für CA Service?

Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt CA Service VPC Service Controls?

Ja, CA Service unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Security and Compliance.

Wie sollten PEM-codierte öffentliche Schlüssel mit REST APIs verwendet werden?

PEM-codierte öffentliche Schlüssel können mit REST APIs erst verwendet werden, nachdem sie Base64-codiert wurden.

Können Vorabversionen von APIs weiterhin verwendet werden, nachdem durch CA Service die allgemeine Verfügbarkeit bekannt gegeben wurde?

Ja, Preview-APIs können noch für kurze Zeit verwendet werden, nachdem GA Service durch CA Service bekannt gegeben wurde. Dieser Zeitraum ist nur für Kunden gedacht, die problemlos auf die neuesten APIs umstellen können, und ist nur von kurzer Dauer und mit begrenztem Support. Wir empfehlen Kunden, so bald wie möglich auf die Google Analytics APIs umzusteigen.

Wie kann auf Ressourcen zugegriffen werden, die während des Vorschauzeitraums erstellt wurden, nachdem CA Service die allgemeine Verfügbarkeit (GA) bekannt gegeben hat?

Ressourcen, die in der Vorschauphase erstellt wurden, können Sie nicht in der Google Cloud Console aufrufen oder verwalten. Verwenden Sie zum Verwalten von Ressourcen, die während der Vorschau erstellt wurden, die Preview APIs oder die gcloud-Befehle für die Vorschau. Auf die Preview APIs kann über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugegriffen werden. Auf die gcloud-Vorschaubefehle kann über gcloud privateca beta zugegriffen werden. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete Zertifizierungsstelle mit demselben Subjekt und Schlüssel wie eine andere Zertifizierungsstelle in ihrer Kette erstellt werden?

Nein, eine untergeordnete Zertifizierungsstelle darf nicht dasselbe Thema und denselben Schlüssel wie die Stammzertifizierungsstelle oder eine andere Zertifizierungsstelle in ihrer Kette haben. Gemäß RFC 4158 dürfen Antragstellernamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.

Sind vom Kunden verwaltete Cloud KMS-Schlüssel mit CMEKs identisch?

Nein, der vom Kunden verwaltete Cloud KMS Schlüssel die in CA Service unterstützt werden, nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln identisch sind. (CMEK), die mit Cloud KMS verwaltet werden. In CA Service Sie können Ihre eigenen vom Kunden verwalteten Cloud KMS-Schlüssel (auch als BYO-Schlüssel bezeichnet) für Zertifizierungsstellen der Enterprise-Stufe erstellen. Diese Schlüssel werden als Signaturschlüssel der Zertifizierungsstelle verwendet im Gegensatz zu Verschlüsselungsschlüsseln wie CMEK zum Verschlüsseln ruhender Daten Google Cloud-Dienste unterstützt. CA Service unterstützt keinen CMEK.

Können Ressourcennamen nach dem Löschen einer Ressource wiederverwendet werden?

Nein, Ressourcennamen wie die Namen von CA-Pools, Zertifizierungsstellen und Zertifikatsvorlagen können nach der ursprünglichen Ressource nicht in einer neuen Ressource wiederverwendet werden. wird gelöscht. Beispiel: Sie erstellen einen Zertifizierungsstellenpool namens projects/Charlie/locations/Location-1/caPools/my-pool und löschen dann die Zertifizierungsstelle können Sie keinen weiteren Zertifizierungsstellenpool namens my-pool im Projekt Charlie und am Standort Location-1 erstellen.

Nächste Schritte