Halaman ini diterjemahkan oleh Cloud Translation API.

Pertanyaan umum (FAQ)

Apa yang dimaksud dengan Certificate Authority Service?

Certificate Authority Service adalah layanan Google Cloud yang skalabel dan sangat tersedia untuk memudahkan pelanggan menyederhanakan, mengotomatiskan, dan menyesuaikan deployment, pengelolaan, dan pengamanan certificate authority (CA) pribadi sambil tetap mengontrol kunci pribadi mereka.

Apa saja kasus penggunaan umum untuk Layanan Otoritas Sertifikasi?

Berikut adalah beberapa kasus penggunaan umum untuk Layanan CA.

Identitas beban kerja: Manfaatkan API untuk mendapatkan sertifikat bagi aplikasi atau menggunakan sertifikat di aplikasi, penampung, sistem, dan resource lainnya.
Skenario perusahaan: Menggunakan sertifikat untuk VPN, Chrome Enterprise Premium, menandatangani dokumen, akses Wi-Fi, email, smartcard, dan lainnya.
Penerbitan dan pengelolaan sertifikat terpusat: Konfigurasikan GKE Enterprise Service Mesh untuk menggunakan Layanan CA.
Identitas IoT dan perangkat seluler: Mengeluarkan sertifikat TLS sebagai identitas untuk endpoint.
Saluran CI/CD, Otorisasi Biner, Istio, dan Kubernetes.

Standar kepatuhan mana yang didukung Layanan CA?

Untuk mengetahui informasinya, lihat Keamanan dan Kepatuhan.

Di lokasi mana kita dapat membuat resource CA Service?

Resource Layanan CA dapat dibuat di salah satu dari banyak lokasi. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.

Apakah Layanan CA mendukung PKI global dalam satu root?

Ya, asalkan CA root berada di satu region. Namun, Anda dapat membuat beberapa CA penerbit di region yang berbeda yang terikat ke root yang sama.

Apakah label didukung untuk CA?

Ya, Anda dapat mengaitkan label ke kumpulan CA dan CA selama operasi pembuatan dan pembaruan.

Untuk informasi tentang cara memperbarui label di kumpulan CA, lihat Memperbarui label di kumpulan CA.

Untuk informasi tentang cara memperbarui label di CA, lihat Memperbarui label di CA.

Apakah Cloud Monitoring dapat digunakan untuk melacak pembuatan sertifikat dan masa berlaku CA? Apakah peristiwa Pub/Sub dapat dibuat untuk peristiwa tersebut?

Ya, Anda dapat memantau semua peristiwa ini. Layanan CA tidak mendukung Pub/Sub secara native, tetapi Anda dapat mengonfigurasinya menggunakan Cloud Monitoring. Untuk informasi selengkapnya, lihat Menggunakan Cloud Monitoring dengan Layanan CA.

Berapa lama CA yang tidak diaktifkan disimpan?

CA subordinat dibuat dalam status AWAITING_USER_ACTIVATION, dan disetel ke status STAGED setelah aktivasi. Jika CA subordinat masih dalam status AWAITING_USER_ACTIVATION 30 hari setelah dibuat, CA tersebut akan dihapus.

Untuk mengetahui informasi tentang berbagai status CA selama siklus prosesnya, lihat Status Certificate Authority.

Kontrol akses apa yang didukung Layanan CA untuk penerbitan sertifikat?

Layanan CA mendukung penetapan kebijakan IAM pada kumpulan CA untuk mengontrol siapa yang dapat menerbitkan sertifikat. Admin CA dapat melampirkan kebijakan penerbitan ke kumpulan CA. Kebijakan penerbitan ini menentukan batasan pada jenis sertifikat yang dapat diterbitkan CA dalam kumpulan CA. Pembatasan ini mencakup penempatan batas pada nama domain, ekstensi, dan masa berlaku sertifikat, di antara hal lainnya.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan penerbitan di kumpulan CA, lihat Menggunakan kebijakan penerbitan.

Untuk informasi tentang cara mengonfigurasi kebijakan IAM yang diperlukan untuk membuat dan mengelola resource Layanan CA, lihat Mengonfigurasi kebijakan IAM.

Apakah Layanan CA mendukung kunci Cloud KMS multi-region?

Tidak, Layanan CA tidak mendukung kunci Cloud KMS multi-region.

Apakah CA Service akan membatasi permintaan saya? Berapa target QPS untuk Layanan CA?

Ya, ada mekanisme throttling untuk Layanan CA. Untuk mengetahui informasi selengkapnya, lihat Kuota dan batas.

Apakah Layanan CA mendukung Kontrol Layanan VPC?

Ya, Layanan CA mendukung Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat Produk dan batasan yang didukung > Layanan Otoritas Sertifikasi dan Keamanan dan Kepatuhan.

Bagaimana kunci publik yang dienkode PEM seharusnya digunakan dengan REST API?

Kunci publik yang dienkode PEM hanya dapat digunakan dengan REST API setelah dienkode Base64.

Dapatkah API tahap pratinjau masih digunakan setelah Layanan CA mengumumkan ketersediaan umum (GA)?

Ya, API pratinjau masih dapat digunakan untuk jangka waktu singkat setelah Layanan CA mengumumkan GA. Periode ini hanya ditujukan bagi pelanggan untuk bertransisi dengan lancar ke penggunaan API terbaru dan akan berumur pendek dengan dukungan terbatas. Sebaiknya pelanggan bermigrasi untuk menggunakan GA API segera setelah tersedia.

Bagaimana resource yang dibuat selama periode pratinjau dapat diakses setelah CA Service mengumumkan ketersediaan umum (GA)?

Anda tidak dapat melihat atau mengelola resource yang dibuat selama periode pratinjau menggunakan konsol Google Cloud. Untuk mengelola resource yang dibuat selama pratinjau, gunakan API pratinjau atau perintah gcloud pratinjau. API pratinjau dapat diakses melalui endpoint https://privateca.googleapis.com/v1beta1/. Perintah gcloud pratinjau dapat diakses melalui gcloud privateca beta. Untuk informasi selengkapnya tentang perintah gcloud privateca beta, lihat gcloud privateca beta.

Dapatkah CA subordinat dibuat dengan subjek dan kunci yang sama dengan CA lain dalam rantainya?

Tidak, CA subordinat tidak boleh memiliki subjek dan kunci yang sama dengan CA root, atau CA lain dalam rantainya. RFC 4158 merekomendasikan agar nama subjek dan pasangan kunci publik tidak diulang di jalur.

Apakah kunci Cloud KMS yang dikelola pelanggan sama dengan CMEK?

Tidak, kunci Cloud KMS yang dikelola pelanggan yang didukung di Layanan CA tidak sama dengan kunci enkripsi yang dikelola pelanggan (CMEK) yang dikelola menggunakan Cloud KMS. Di Layanan CA, Anda dapat membuat kunci Cloud KMS yang dikelola pelanggan sendiri (juga dikenal sebagai kunci BYO), untuk CA di tingkat Enterprise. Kunci ini digunakan sebagai kunci penandatanganan CA, tidak seperti kunci enkripsi seperti CMEK yang digunakan untuk mengenkripsi data dalam penyimpanan dalam layanan Google Cloud yang didukung. Layanan CA tidak mendukung CMEK.

Dapatkah nama resource digunakan kembali setelah resource dihapus?

Tidak, nama resource seperti nama kumpulan CA, CA, dan template sertifikat tidak dapat digunakan kembali di resource baru setelah resource asli dihapus. Misalnya, jika Anda membuat kumpulan CA bernama projects/Charlie/locations/Location-1/caPools/my-pool, lalu menghapus kumpulan CA, Anda tidak dapat membuat kumpulan CA lain bernama my-pool di project Charlie dan lokasi Location-1.