Häufig gestellte Fragen

Was ist der Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können. Dabei behalten sie die Kontrolle über ihre privaten Schlüssel.

Was sind häufige Anwendungsfälle für Certificate Authority Service?

Im Folgenden sind einige gängige Anwendungsfälle für den CA-Dienst aufgeführt.

  • Workload Identities: Mit APIs können Sie Zertifikate für Anwendungen abrufen oder Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen verwenden.
  • Unternehmensszenarien: Sie können Zertifikate für VPN, Chrome Enterprise Premium, das Signieren von Dokumenten, WLAN-Zugriff, E-Mails, Smartcards und mehr verwenden.
  • Zentrale Zertifikatausstellung und ‑verwaltung: Konfigurieren Sie GKE Enterprise Service Mesh für die Verwendung von CA Service.
  • IoT- und Mobilgeräte-Identität: TLS-Zertifikate als Identität für Endpunkte ausstellen.
  • CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes.

Welche Compliance-Standards werden vom CA Service unterstützt?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt der CA-Dienst eine globale PKI unter einer einzigen Root-Zertifizierungsstelle?

Ja, vorausgesetzt, die Root-CA befindet sich in einer einzelnen Region. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die mit derselben Stamm-Zertifizierungsstelle verknüpft sind.

Werden Labels für Preisvergleichsportale unterstützt?

Ja, Sie können Labels Zertifizierungsstellenpools und Zertifizierungsstellen beim Erstellen und Aktualisieren zuweisen.

Informationen zum Aktualisieren von Labels in einem CA-Pool finden Sie unter Labels in einem CA-Pool aktualisieren.

Informationen zum Aktualisieren von Labels für eine Zertifizierungsstelle finden Sie unter Labels für eine Zertifizierungsstelle aktualisieren.

Kann ich mit Cloud Monitoring die Erstellung von Zertifikaten und das Ablaufen von Zertifizierungsstellen verfolgen? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, Sie können alle diese Ereignisse überwachen. Der CA-Dienst unterstützt Pub/Sub nicht nativ, Sie können ihn aber mit Cloud Monitoring konfigurieren. Weitere Informationen finden Sie unter Cloud Monitoring mit CA-Dienst verwenden.

Wie lange werden nicht aktivierte Zertifizierungsstellen aufbewahrt?

Untergeordnete Zertifizierungsstellen werden im Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn eine untergeordnete Zertifizierungsstelle 30 Tage nach der Erstellung noch den Status AWAITING_USER_ACTIVATION hat, wird sie gelöscht.

Informationen zu den verschiedenen Status einer Zertifizierungsstelle während ihres Lebenszyklus finden Sie unter Status der Zertifizierungsstelle.

Welche Zugriffssteuerungen unterstützt der CA-Dienst für die Zertifikatsausstellung?

CA Service unterstützt die Einrichtung von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen kann. Ein CA-Administrator kann einem CA-Pool eine Ausstellungsrichtlinie zuweisen. Diese Ausstellungsrichtlinie definiert Einschränkungen für die Art der Zertifikate, die die Zertifizierungsstellen in einem CA-Pool ausstellen können. Dazu gehören unter anderem Einschränkungen für Domainnamen, Erweiterungen und die Gültigkeitsdauer von Zertifikaten.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen CA-Pool finden Sie unter Ausstellungsrichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA-Dienstressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Unterstützt CA Service multiregionale Cloud KMS-Schlüssel?

Nein, der Zertifizierungsstellendienst unterstützt keine Cloud KMS-Schlüssel für mehrere Regionen.

Werden meine Anfragen vom CA Service gedrosselt? Wie hoch ist die Zielanzahl von Abfragen pro Sekunde für den CA-Dienst?

Ja, es gibt einen Drosselungsmechanismus für den CA-Dienst. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt der CA-Dienst VPC Service Controls?

Ja, der CA-Dienst unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Sicherheit und Compliance.

Wie werden PEM-codierte öffentliche Schlüssel mit REST APIs verwendet?

PEM-codierte Public-Keys können nur mit REST APIs verwendet werden, nachdem sie Base64-codiert wurden.

Können APIs der Vorschauphase auch nach der allgemeinen Verfügbarkeit (GA) des CA-Dienstes verwendet werden?

Ja, Vorabversionen von APIs können noch für kurze Zeit verwendet werden, nachdem die allgemeine Verfügbarkeit des CA-Dienstes angekündigt wurde. Dieser Zeitraum ist nur für Kunden gedacht, die reibungslos auf die neuesten APIs umsteigen möchten. Er ist kurz und es wird nur eingeschränkter Support angeboten. Wir empfehlen Kunden, sobald die GA APIs verfügbar sind, auf diese umzustellen.

Wie kann auf Ressourcen zugegriffen werden, die während der Vorschauphase erstellt wurden, nachdem die allgemeine Verfügbarkeit des CA-Dienstes angekündigt wurde?

Ressourcen, die während der Vorabversion erstellt wurden, können nicht über die Google Cloud Console angezeigt oder verwaltet werden. Verwenden Sie die Preview-APIs oder die Preview-gcloud-Befehle, um während der Vorabversion erstellte Ressourcen zu verwalten. Die Vorschau-APIs sind über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugänglich. Die Vorschaubefehle gcloud sind über gcloud privateca beta zugänglich. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete Zertifizierungsstelle mit demselben Subjekt und Schlüssel wie eine andere Zertifizierungsstelle in der Kette erstellt werden?

Nein. Eine untergeordnete Zertifizierungsstelle darf nicht dasselbe Subjekt und denselben Schlüssel wie die Stamm-CA oder eine andere Zertifizierungsstelle in der Kette haben. RFC 4158 empfiehlt, dass Subjektnamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.

Sind kundenseitig verwaltete Cloud KMS-Schlüssel mit CMEK identisch?

Nein. Die vom Kunden verwalteten Cloud KMS-Schlüssel, die im CA-Dienst unterstützt werden, sind nicht mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) identisch, die mit Cloud KMS verwaltet werden. Im CA Service können Sie eigene vom Kunden verwaltete Cloud KMS-Schlüssel (auch als BYO-Schlüssel bezeichnet) für Zertifizierungsstellen in der Enterprise-Stufe erstellen. Diese Schlüssel werden als Signaturschlüssel der Zertifizierungsstelle verwendet, im Gegensatz zu Verschlüsselungsschlüsseln wie CMEK, die zum Verschlüsseln von ruhenden Daten in unterstützten Google Cloud-Diensten verwendet werden. CA Service unterstützt keinen CMEK.

Können Ressourcennamen nach dem Löschen der Ressource wiederverwendet werden?

Nein. Ressourcennamen wie die Namen von Zertifizierungsstellenpools, Zertifizierungsstellen und Zertifikatsvorlagen können nicht in einer neuen Ressource wiederverwendet werden, nachdem die ursprüngliche Ressource gelöscht wurde. Wenn Sie beispielsweise einen CA-Pool mit dem Namen projects/Charlie/locations/Location-1/caPools/my-pool erstellen und dann löschen, können Sie im Projekt Charlie und am Standort Location-1 keinen weiteren CA-Pool mit dem Namen my-pool erstellen.

Nächste Schritte