Perguntas frequentes

O que é o Certificate Authority Service?

O Certificate Authority Service é um serviço escalonável e altamente disponível do Google Cloud que permite aos clientes simplificar, automatizar e personalizar a implantação, o gerenciamento e a segurança de autoridades certificadoras (ACs) particulares, sem abrir mão do controle sobre as chaves privadas.

Quais são os casos de uso comuns do Certificate Authority Service?

Confira abaixo alguns casos de uso comuns para o serviço de CA.

  • Identidades da carga de trabalho: use APIs para receber certificados de aplicativos ou use certificados em aplicativos, contêineres, sistemas e outros recursos.
  • Cenários corporativos: use certificados para VPN, Chrome Enterprise Premium, assinatura de documentos, acesso a Wi-Fi, e-mail, smartcard e muito mais.
  • Emissão e gerenciamento centralizados de certificados: configure o GKE Enterprise Service Mesh para usar o serviço de AC.
  • Identidade de IoT e dispositivo móvel: emita certificados TLS como identidade para endpoints.
  • Canal de CI/CD, autorização binária, Istio e Kubernetes.

Quais padrões de conformidade são compatíveis com o serviço de CA?

Para mais informações, consulte Segurança e compliance.

Em quais locais podemos criar recursos do serviço de AC?

Os recursos do serviço de AC podem ser criados em um dos vários locais. Para conferir a lista completa de locais, consulte Locais.

O serviço de AC oferece suporte a uma PKI global com uma única raiz?

Sim, desde que a AC raiz esteja em uma única região. No entanto, é possível criar várias ACs emissoras em diferentes regiões que se conectam à mesma raiz.

Os rótulos são compatíveis com as CAs?

Sim, é possível associar rótulos a pools e ACs durante operações de criação e atualização.

Para saber como atualizar rótulos em um pool de ACs, consulte Como atualizar rótulos em um pool de ACs.

Para saber como atualizar rótulos em uma AC, consulte Atualizar rótulos em uma AC.

É possível usar o Cloud Monitoring para acompanhar a criação de certificados e a expiração da AC? É possível gerar eventos do Pub/Sub para eles?

Sim, é possível monitorar todos esses eventos. O serviço de CA não oferece suporte nativo ao Pub/Sub, mas você pode fazer a configuração usando o Monitoramento do Cloud. Para mais informações, consulte Como usar o Cloud Monitoring com o serviço de CA.

Por quanto tempo as ACs não ativadas são retidas?

As ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION e são definidas como STAGED após a ativação. Se uma AC subordinada ainda estiver no estado AWAITING_USER_ACTIVATION 30 dias após a criação, ela será excluída.

Para informações sobre os vários estados de uma AC ao longo do ciclo de vida, consulte Estados da autoridade certificadora.

Quais controles de acesso o serviço de AC oferece para a emissão de certificados?

O serviço de AC oferece suporte à definição de políticas do IAM em um pool de ACs para controlar quem pode emitir certificados. Um administrador de AC pode anexar uma política de emissão a um pool de ACs. Essa política de emissão define restrições ao tipo de certificados que as ACs em um pool de ACs podem emitir. Essas restrições incluem a limitação do nome de domínio, extensões e período de validade do certificado, entre outras coisas.

Para mais informações sobre como configurar uma política de emissão em um pool de ACs, consulte Como usar uma política de emissão.

Para saber como configurar as políticas do IAM necessárias para criar e gerenciar recursos do serviço de CA, consulte Como configurar políticas do IAM.

O serviço de AC oferece suporte a chaves do Cloud KMS multirregionais?

Não, o serviço de AC não oferece suporte a chaves do Cloud KMS de várias regiões.

O CA Service vai limitar minhas solicitações? Qual é o QPS desejado para o serviço de CA?

Sim, há um mecanismo de limitação para o serviço de CA. Para mais informações, consulte Cotas e limites.

O serviço de CA é compatível com o VPC Service Controls?

Sim, o serviço de CA é compatível com o VPC Service Controls. Para mais informações, consulte Limitações e produtos compatíveis > Certificate Authority Service e Segurança e compliance.

Como as chaves públicas codificadas em PEM devem ser usadas com APIs REST?

As chaves públicas codificadas em PEM só podem ser usadas com APIs REST após a codificação em Base64.

As APIs do estágio de pré-lançamento ainda podem ser usadas depois que o serviço de CA anuncia a disponibilidade geral (GA)?

Sim, as APIs de visualização ainda podem ser usadas por um curto período após o anúncio da disponibilidade geral do serviço de CA. Esse período é destinado apenas para que os clientes façam a transição tranquila para o uso das APIs mais recentes e será de curta duração, com suporte limitado. Recomendamos que os clientes migrem para o uso das APIs do GA assim que elas estiverem disponíveis.

Como os recursos criados durante o período de visualização podem ser acessados depois que o serviço de CA anuncia a disponibilidade geral (GA)?

Não é possível acessar ou gerenciar recursos criados durante o período de pré-lançamento usando o console do Google Cloud. Para gerenciar os recursos criados durante a visualização, use as APIs de visualização ou os comandos gcloud de visualização. As APIs de visualização podem ser acessadas pelo endpoint https://privateca.googleapis.com/v1beta1/. Os comandos gcloud da visualização podem ser acessados com gcloud privateca beta. Para mais informações sobre os comandos gcloud privateca beta, consulte gcloud privateca beta.

É possível criar uma AC subordinada com o mesmo assunto e chave de outra AC na cadeia?

Não, uma AC subordinada não pode ter o mesmo assunto e chave que a AC raiz ou qualquer outra AC na cadeia. O RFC 4158 recomenda que os nomes de sujeitos e os pares de chaves públicas não sejam repetidos nos caminhos.

As chaves do Cloud KMS gerenciadas pelo cliente são iguais às CMEKs?

Não, as chaves do Cloud KMS gerenciadas pelo cliente com suporte no serviço de AC não são iguais às chaves de criptografia gerenciadas pelo cliente (CMEK) que são gerenciadas usando o Cloud KMS. No serviço de AC, é possível criar suas próprias chaves do Cloud KMS gerenciadas pelo cliente (também conhecidas como chave BYO) para ACs no nível Enterprise. Essas chaves são usadas como a chave de assinatura da AC, diferente das chaves de criptografia, como a CMEK, que são usadas para criptografar dados em repouso nos serviços do Google Cloud com suporte. O serviço de CA não oferece suporte a CMEK.

Os nomes dos recursos podem ser reutilizados depois que o recurso é excluído?

Não, nomes de recursos, como os nomes de pools de ACs, ACs e modelos de certificado, não podem ser reutilizados em um novo recurso após a exclusão do recurso original. Por exemplo, se você criar um pool de AC chamado projects/Charlie/locations/Location-1/caPools/my-pool e excluir o pool, não será possível criar outro pool de AC chamado my-pool no projeto Charlie e no local Location-1.

A seguir