よくある質問

Certificate Authority Service とは

Certificate Authority Service は、秘密鍵を制御しながら、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化、カスタマイズできるようにする高可用性のスケーラブルな Google Cloud サービスです。

Certificate Authority Service の一般的なユースケース

CA Service の一般的なユースケースを以下に示します。

  • Workload Identity: API を活用してアプリケーションの証明書を取得するか、アプリケーション、コンテナ、システム、その他のリソースで証明書を使用できます。
  • 企業のシナリオ: VPN、Chrome Enterprise Premium、ドキュメントの署名、Wi-Fi アクセス、メール、スマートカードなどで証明書を使用できます。
  • 証明書の発行と管理の一元化: CA Service を使用するように GKE Enterprise Service Mesh を構成します。
  • IoT とモバイル デバイスの ID: エンドポイントの ID として TLS 証明書を発行します。
  • CI/CD チャネル、Binary Authorization、Istio、Kubernetes。

CA Service はどのようなコンプライアンス標準をサポートしていますか?

詳細については、セキュリティとコンプライアンスをご覧ください。

CA サービスのリソースはどのロケーションに作成できますか?

CA Service リソースは、多数あるロケーションの 1 つに作成できます。ロケーションの一覧については、ロケーションをご覧ください。

CA Service は、単一のルートにあるグローバル PKI をサポートしていますか?

はい。ルート CA が単一のリージョン内に存在していることが条件です。ただし、同じルートに連結された複数の発行元 CA を異なるリージョンに作成することは可能です。

CA はラベルをサポートしていますか?

はい。作成と更新のオペレーション中に、CA プールと CA にラベルを関連付けることができます。

CA プールのラベルの更新については、CA プールのラベルの更新をご覧ください。

CA のラベルの更新については、CA のラベルの更新をご覧ください。

Cloud Monitoring を使用して証明書の作成と CA の有効期限を追跡することはできますか?それらのユーザーの Pub/Sub イベントを生成することは可能ですか。

はい。これらのイベントをすべてモニタリングできます。CA Service は Pub/Sub をネイティブにサポートしていませんが、Cloud Monitoring を使用して構成できます。詳細については、CA Service で Cloud Monitoring を使用するをご覧ください。

有効化されていない CA の保持期間はどのくらいですか?

下位 CA は AWAITING_USER_ACTIVATION 状態で作成され、有効化後に STAGED 状態に設定されます。作成後 30 日が経過しても下位 CA が AWAITING_USER_ACTIVATION 状態のままである場合、下位 CA は削除されます。

CA のライフサイクルのさまざまな状態については、認証局の状態をご覧ください。

CA Service は証明書の発行にどのようなアクセス制御をサポートしていますか?

CA Service では、証明書を発行できるユーザーを制御するために、CA プールでの IAM ポリシーの設定をサポートしています。CA 管理者は発行ポリシーを CA プールに接続できます。この発行ポリシーは、CA プール内の CA が発行できる証明書の種類の制限を定義します。これには、ドメイン名、拡張機能、証明書の有効期間などに関する制限が含まれます。

CA プールで発行ポリシーを構成する方法の詳細については、発行ポリシーの使用をご覧ください。

CA Service リソースの作成と管理に必要な IAM ポリシーを構成する方法については、IAM ポリシーの構成をご覧ください。

CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていますか。

いいえ、CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていません。

CA Service がリクエストをスロットルすることはありますか?CA Service のターゲット QPS はどれくらいですか?

はい、CA Service に対するスロットル メカニズムがあります。詳細については、割り当てと上限をご覧ください。

CA Service は VPC Service Controls をサポートしていますか?

はい。CA Service は VPC Service Controls をサポートしています。詳細については、サポートされているプロダクトと制限事項 > Certificate Authority Serviceセキュリティとコンプライアンス をご覧ください。

PEM でエンコードされた公開鍵は、REST API でどのように使用されるのですか?

PEM でエンコードされた公開鍵は、Base64 でエンコードされた後に REST API でのみ使用できます。

CA Service が一般提供(GA)を発表した後も、プレビュー ステージの API を使用できますか?

はい。CA Service が一般提供を発表した後も、プレビュー API を短期間使用できます。この期間は、最新の API の使用を円滑に移行するためのもので、短期間でサポートが制限されたものになります。一般提供 API が利用可能になり次第、移行することをおすすめします。

CA Service の一般提供(GA)が発表された後、プレビュー期間中に作成されたリソースにアクセスするにはどうすればよいですか?

プレビュー期間中に作成されたリソースは、Google Cloud コンソールを使用して表示または管理できません。プレビュー中に作成されたリソースを管理するには、プレビュー API またはプレビュー gcloud コマンドを使用します。 プレビュー版 API には、https://privateca.googleapis.com/v1beta1/ エンドポイントからアクセスできます。プレビュー gcloud コマンドには、gcloud privateca beta を介してアクセスできます。gcloud privateca beta コマンドの詳細については、gcloud privateca beta をご覧ください。

下位 CA を、チェーン内の別の CA と同じサブジェクトとキーで作成できますか?

いいえ。下位 CA は、ルート CA またはチェーン内の他の CA と同じサブジェクトと鍵を持つことはできません。RFC 4158 では、パスでサブジェクト名と公開鍵のペアが繰り返されないことが推奨されています。

顧客管理の Cloud KMS 鍵は CMEK と同じですか?

いいえ、CA Service でサポートされている顧客管理の暗号鍵 Cloud KMS 鍵は、Cloud KMS を使用して管理される顧客管理の暗号鍵(CMEK)とは異なります。CA Service では、Enterprise ティアの CA 用に独自の顧客管理の Cloud KMS 鍵(BYO 鍵とも呼ばれる)を作成できます。これらのキーは、サポートされている Google Cloud サービス内で保存されているデータを暗号化するために使用される CMEK などの暗号化キーとは異なり、CA の署名キーとして使用されます。CA Service は CMEK をサポートしていません。

リソースの削除後にリソース名を再利用できますか?

いいえ。CA プール、CA、証明書テンプレートなどのリソース名は、元のリソースが削除された後、新しいリソースで再利用できません。たとえば、projects/Charlie/locations/Location-1/caPools/my-pool という名前の CA プール作成して、その CA プールを削除すると、プロジェクト Charlie とロケーション Location-1my-pool という名前の別の CA を作成できません。

次のステップ