Perguntas frequentes
O que é o Certificate Authority Service?
O Certificate Authority Service é um serviço do Google Cloud altamente disponível e escalonável. Com ele, os clientes podem simplificar, automatizar e personalizar a implantação, o gerenciamento e a segurança de autoridades certificadoras (CAs) privadas, mantendo o controle das chaves privadas.
Quais são os casos de uso comuns do Certificate Authority Service?
Confira abaixo alguns casos de uso comuns para o serviço de CA.
- Identidades de carga de trabalho: aproveite APIs para receber certificados para aplicativos ou usar certificados em aplicativos, contêineres, sistemas e outros recursos.
- Cenários corporativos: use certificados para VPN, Chrome Enterprise Premium, assinatura de documentos, acesso a Wi-Fi, e-mail, smartcard e muito mais.
- Emissão e gerenciamento centralizados de certificados: configure o GKE Enterprise Service Mesh para usar o serviço de AC.
- IoT e identidade de dispositivos móveis: emita certificados TLS como identidade para endpoints.
- canal de CI/CD, autorização binária, Istio e Kubernetes.
Quais padrões de compliance são compatíveis com o CA Service?
Para mais informações, consulte Segurança e compliance.
Em quais locais podemos criar recursos de serviço de CA?
Os recursos do serviço de AC podem ser criados em um dos vários locais. Para conferir a lista completa de locais, consulte Locais.
O CA Service oferece suporte a uma ICP global em uma única raiz?
Sim, desde que a AC raiz esteja em uma única região. No entanto, é possível criar várias ACs emissoras em diferentes regiões que se conectam à mesma raiz.
Os rótulos são compatíveis com ACs?
Sim, é possível associar rótulos a pools e ACs durante operações de criação e atualização.
Para informações sobre como atualizar rótulos em um pool de ACs, consulte Como atualizar marcadores em um pool de ACs.
Para informações sobre como atualizar rótulos em uma AC, consulte Como atualizar marcadores em uma AC.
É possível usar o Cloud Monitoring para acompanhar a criação de certificados e a expiração da AC? É possível gerar eventos do Pub/Sub para eles?
Sim, é possível monitorar todos esses eventos. O CA Service não oferece suporte nativo ao Pub/Sub, mas é possível configurá-lo usando o Cloud Monitoring. Para mais informações, consulte Como usar o Cloud Monitoring com o serviço de CA.
Por quanto tempo as ACs não ativadas são retidas?
As ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION
e definidas como STAGED
após a ativação. Se uma CA subordinada ainda estiver no estado AWAITING_USER_ACTIVATION
30 dias após a criação, ela será excluída.
Para informações sobre os vários estados em que uma CA está durante o ciclo de vida, consulte Estados de autoridade certificadora.
Quais controles de acesso o CA Service oferece suporte para a emissão de certificados?
O serviço de AC oferece suporte à definição de políticas do IAM em um pool de ACs para controlar quem pode emitir certificados. Um administrador de AC pode anexar uma política de emissão a um pool de ACs. Essa política de emissão define restrições ao tipo de certificados que as ACs em um pool de ACs podem emitir. Essas restrições incluem a colocação de limites em nome de domínio, extensões e período de validade do certificado, entre outras coisas.
Para mais informações sobre como configurar uma política de emissão em um pool de ACs, consulte Como usar uma política de emissão.
Para informações sobre como configurar as políticas do IAM necessárias para criar e gerenciar recursos do CA Service, consulte Como configurar políticas do IAM.
O CA Service oferece suporte a chaves multirregionais do Cloud KMS?
Não, o CA Service não oferece suporte a chaves multirregionais do Cloud KMS.
O CA Service limitará minhas solicitações? Qual é o QPS desejado para o serviço de CA?
Sim, há um mecanismo de limitação para o serviço de CA. Para mais informações, consulte Cotas e limites.
O CA Service oferece suporte ao VPC Service Controls?
Sim, o CA Service oferece suporte ao VPC Service Controls. Para mais informações, consulte Produtos e limitações compatíveis > Certificate Authority Service e Security and Compliance.
Como as chaves públicas codificadas em PEM devem ser usadas com as APIs REST?
As chaves públicas codificadas em PEM só podem ser usadas com APIs REST depois de terem sido codificadas em Base64.
As APIs da fase de pré-lançamento ainda podem ser usadas depois que o serviço de CA anuncia a disponibilidade geral (GA)?
Sim, as APIs de visualização ainda podem ser usadas por um curto período depois que o CA Service anuncia a disponibilidade geral. Esse período é destinado apenas para que os clientes façam uma transição tranquila para usar as APIs mais recentes e será de curta duração com suporte limitado. Recomendamos que os clientes migrem para as APIs do GA assim que elas estiverem disponíveis.
Como os recursos criados durante o período de pré-lançamento podem ser acessados depois que o CA Service anuncia a disponibilidade geral (GA)?
Não é possível acessar ou gerenciar recursos criados durante o período de pré-lançamento usando o console do Google Cloud.
Para gerenciar os recursos criados durante a visualização, use as APIs ou os comandos gcloud
de visualização.
As APIs de pré-lançamento podem ser acessadas pelo endpoint https://privateca.googleapis.com/v1beta1/
.
Os comandos gcloud
de visualização podem ser acessados pelo gcloud privateca beta
. Para mais informações sobre os comandos gcloud privateca beta
, consulte gcloud privateca beta.
Uma CA subordinada pode ser criada com o mesmo assunto e chave de outra CA na cadeia?
Não, uma AC subordinada não pode ter o mesmo assunto e chave que a AC raiz ou qualquer outra AC na cadeia. A RFC 4158 (em inglês) recomenda que os nomes de assuntos e pares de chaves públicas não sejam repetidos nos caminhos.
As chaves do Cloud KMS gerenciadas pelo cliente são as mesmas da CMEK?
Não, o Cloud KMS gerenciado pelo cliente chaves com suporte no CA Service não são o mesmo que as chaves de criptografia gerenciadas pelo cliente (CMEK) gerenciadas com o Cloud KMS. No CA Service, é possível criar suas próprias chaves do Cloud KMS gerenciadas pelo cliente (também conhecidas como chaves BYO) para CAs no nível Enterprise. Essas chaves são usadas como a chave de assinatura da AC. diferente das chaves de criptografia, como CMEK, que são usadas para criptografar dados em repouso serviços do Google Cloud com suporte. O CA Service não oferece suporte a CMEK.
Os nomes de recursos podem ser reutilizados após a exclusão do recurso?
Não, nomes de recursos, como os nomes de pools de ACs, ACs e modelos de certificado, não podem ser reutilizados em um novo recurso após a exclusão do recurso original. Por exemplo, se você criar um pool de AC chamado projects/Charlie/locations/Location-1/caPools/my-pool
e excluir o pool, não será possível criar outro pool de AC chamado my-pool
no projeto Charlie
e no local Location-1
.
A seguir
- Saiba mais sobre as limitações conhecidas.
- Leia as notas da versão.
- Saiba como receber suporte.