Häufig gestellte Fragen

Was ist Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können, während sie die Kontrolle über ihre privaten Schlüssel behalten.

Was sind häufige Anwendungsfälle für Certificate Authority Service?

Im Folgenden finden Sie einige häufige Anwendungsfälle für CA Service.

Arbeitslastidentitäten: Nutzen Sie APIs, um Zertifikate für Anwendungen zu erhalten, oder verwenden Sie Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen.
Unternehmensszenarien: Verwenden Sie Zertifikate, z. B. für VPN, BeyondCorp Enterprise, das Signieren von Dokumenten, den WLAN-Zugriff, E-Mails und Smartcards.
Zentralisierte Zertifikatsausstellung und -verwaltung: Konfigurieren Sie GKE Enterprise Service Mesh für die Verwendung von CA Service.
IoT- und Mobilgeräteidentität: Stellen Sie TLS-Zertifikate als Identität für Endpunkte aus.
CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes

Welche Compliancestandards unterstützt CA Service?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an einem von vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt CA Service eine globale PKI unter einem einzigen Stamm?

Ja, vorausgesetzt, die Stammzertifizierungsstelle befindet sich in einer einzigen Region. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die bis zur selben Stamm-CA verkettet sind.

Werden Labels für Zertifizierungsstellen unterstützt?

Ja, Sie können bei Erstellungs- und Aktualisierungsvorgängen Labels mit CA-Pools und CAs verknüpfen.

Informationen zum Aktualisieren von Labels in einem Zertifizierungsstellenpool finden Sie unter Labels in einem Zertifizierungsstellenpool aktualisieren.

Informationen zum Aktualisieren von Labels einer Zertifizierungsstelle finden Sie unter Labels einer Zertifizierungsstelle aktualisieren.

Ist es möglich, mit Cloud Monitoring die Zertifikatserstellung und den Ablauf der Zertifizierungsstelle zu verfolgen? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, das ist möglich. CA Service unterstützt Pub/Sub nicht nativ, aber Sie können es mit Cloud Monitoring konfigurieren. Weitere Informationen finden Sie unter Cloud Monitoring mit dem CA-Dienst verwenden.

Wie lange werden nicht aktivierte Zertifizierungsstellen aufbewahrt?

Untergeordnete CAs werden mit dem Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf STAGED gesetzt. Wenn eine untergeordnete CA 30 Tage nach ihrer Erstellung noch den Status AWAITING_USER_ACTIVATION hat, wird sie gelöscht.

Informationen zu den verschiedenen Status einer Zertifizierungsstelle während ihres Lebenszyklus finden Sie unter Zertifizierungsstellenstatus.

Welche Zugriffssteuerungen unterstützt CA Service für die Zertifikatsausstellung?

CA Service unterstützt das Festlegen von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen darf. Ein CA-Administrator kann eine Ausstellungsrichtlinie an einen CA-Pool anhängen. Diese Ausstellungsrichtlinie definiert Einschränkungen für den Typ der Zertifikate, die die CAs in einem CA-Pool ausstellen können. Zu diesen Einschränkungen gehören u. a. Beschränkungen für Domainnamen, Erweiterungen und Gültigkeitsdauer des Zertifikats.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen CA-Pool finden Sie unter Ausstellungsrichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Unterstützt CA Service multiregionale Cloud KMS-Schlüssel?

Nein, CA Service unterstützt keine multiregionalen Cloud KMS-Schlüssel.

Wird CA Service meine Anfragen in Zukunft gedrosselt? Was ist der angestrebte Wert pro Sekunde für CA Service?

Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt CA Service VPC Service Controls?

Ja, CA Service unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Sicherheit und Compliance.

Wie sollen PEM-codierte öffentliche Schlüssel mit REST APIs verwendet werden?

PEM-codierte öffentliche Schlüssel können nur mit REST APIs verwendet werden, nachdem sie Base64-codiert wurden.

Können APIs der Vorschauphase weiterhin verwendet werden, nachdem CA Service die allgemeine Verfügbarkeit (GA) angekündigt hat?

Ja, die Vorschau-APIs können noch für kurze Zeit verwendet werden, nachdem CA Service GA bekannt gegeben hat. Dieser Zeitraum ist nur für Kunden gedacht, die einen reibungslosen Übergang zur Verwendung der neuesten APIs ermöglichen, und ist mit eingeschränktem Support nur kurzlebig. Wir empfehlen Kunden, zur Nutzung der Google Analytics APIs zu migrieren, sobald sie verfügbar sind.

Wie können im Vorschauzeitraum erstellte Ressourcen aufgerufen werden, nachdem CA Service die allgemeine Verfügbarkeit (GA) bekannt gegeben hat?

Sie können Ressourcen, die in der Vorschau erstellt wurden, nicht in der Google Cloud Console ansehen oder verwalten. Zur Verwaltung von Ressourcen, die während der Vorschau erstellt wurden, können Sie die Vorschau-APIs oder die gcloud-Vorschaubefehle verwenden. Auf die Vorschau-APIs kann über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugegriffen werden. Auf die gcloud-Vorschaubefehle kann über gcloud privateca beta zugegriffen werden. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete Zertifizierungsstelle mit demselben Thema und Schlüssel wie eine andere Zertifizierungsstelle in ihrer Kette erstellt werden?

Nein, eine untergeordnete Zertifizierungsstelle kann nicht dasselbe Subjekt und denselben Schlüssel wie die Stamm-CA oder eine andere Zertifizierungsstelle in ihrer Kette haben. RFC 4158 empfiehlt, dass Themennamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.

Sind vom Kunden verwaltete Cloud KMS-Schlüssel mit CMEK identisch?

Nein. Die im CA-Dienst unterstützten vom Kunden verwalteten Cloud KMS-Schlüssel sind nicht mit den vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) identisch, die mit Cloud KMS verwaltet werden. In CA Service können Sie eigene vom Kunden verwaltete Cloud KMS-Schlüssel (auch als BYO-Schlüssel bezeichnet) für Zertifizierungsstellen der Enterprise-Stufe erstellen. Diese Schlüssel werden als Signaturschlüssel der Zertifizierungsstelle verwendet, im Gegensatz zu Verschlüsselungsschlüsseln wie CMEK, mit denen inaktive Daten in unterstützten Google Cloud-Diensten verschlüsselt werden. CA-Dienst unterstützt CMEK nicht.

Können Ressourcennamen wiederverwendet werden, nachdem die Ressource gelöscht wurde?

Nein. Ressourcennamen wie die Namen von CA-Pools, CAs und Zertifikatsvorlagen können in einer neuen Ressource nicht wiederverwendet werden, nachdem die ursprüngliche Ressource gelöscht wurde. Wenn Sie beispielsweise einen Zertifizierungsstellenpool namens projects/Charlie/locations/Location-1/caPools/my-pool erstellen und dann den Zertifizierungsstellenpool löschen, können Sie keinen weiteren Zertifizierungsstellenpool namens my-pool im Projekt Charlie und am Standort Location-1 erstellen.