Domande frequenti

Che cos'è Certificate Authority Service?

Certificate Authority Service è un servizio Google Cloud scalabile, a disponibilità elevata che consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione private (CA) mantenendo il controllo delle proprie chiavi private.

Quali sono i casi d'uso comuni di Certificate Authority Service?

Di seguito sono riportati alcuni casi d'uso comuni di CA Service.

  • Identità del carico di lavoro: sfrutta le API per ottenere certificati per le applicazioni o utilizza i certificati in applicazioni, container, sistemi e altre risorse.
  • Scenari aziendali: utilizza certificati per VPN, Chrome Enterprise Premium, firma di documenti, accesso Wi-Fi, email, smart card e altro ancora.
  • Emissione e gestione centralizzate dei certificati: configura GKE Enterprise Service Mesh per l'utilizzo del servizio CA.
  • IoT e identità di dispositivi mobili: invia certificati TLS come identità per gli endpoint.
  • canale CI/CD, Autorizzazione binaria, Istio e Kubernetes.

Quali standard di conformità supporta CA Service?

Per informazioni, vedi Sicurezza e conformità.

In quali località possiamo creare le risorse del servizio CA?

Le risorse di CA Service possono essere create in una delle numerose località. Per l'elenco completo delle sedi, consulta la sezione Località.

CA Service supporta un'infrastruttura a chiave pubblica globale in un'unica radice?

Sì, a condizione che la CA radice si trovi in un'unica regione. Tuttavia, puoi creare più CA di emissione in regioni diverse collegate alla stessa radice.

Le etichette sono supportate per le CA?

Sì, puoi associare etichette a pool di CA e CA durante le operazioni di creazione e aggiornamento.

Per informazioni sull'aggiornamento delle etichette in un pool di CA, vedi Aggiornare le etichette in un pool di CA.

Per informazioni sull'aggiornamento delle etichette su una CA, vedi Aggiornare le etichette su una CA.

È possibile utilizzare Cloud Monitoring per monitorare la creazione dei certificati e la scadenza delle CA? È possibile generare eventi Pub/Sub?

Sì, puoi monitorare tutti questi eventi. CA Service non supporta Pub/Sub in modo nativo, ma puoi configurarlo utilizzando Cloud Monitoring. Per ulteriori informazioni, consulta Utilizzo di Cloud Monitoring con il servizio CA.

Per quanto tempo vengono conservate le CA non attivate?

Le CA subordinate vengono create nello stato AWAITING_USER_ACTIVATION e vengono impostate sullo stato STAGED dopo l'attivazione. Se una CA subordinata si trova ancora nello stato AWAITING_USER_ACTIVATION 30 giorni dopo la sua creazione, viene eliminata.

Per informazioni sui vari stati di cui si trova una CA durante il proprio ciclo di vita, consulta Stati dell'autorità di certificazione.

Quali controlli dell'accesso supporta il servizio CA per l'emissione dei certificati?

CA Service supporta l'impostazione di criteri IAM su un pool di CA per controllare chi può emettere certificati. Un amministratore di CA può collegare un criterio di emissione a un pool di CA. Questo criterio di emissione definisce le limitazioni relative al tipo di certificati che le CA in un pool di CA possono emettere. Queste restrizioni includono, tra le altre cose, l'imposizione di limiti al nome di dominio, alle estensioni e al periodo di validità dei certificati.

Per saperne di più su come configurare un criterio di emissione in un pool di CA, consulta Utilizzo di un criterio di emissione.

Per informazioni su come configurare i criteri IAM necessari per creare e gestire le risorse di CA Service, consulta Configurazione dei criteri IAM.

CA Service supporta le chiavi Cloud KMS multiregionali?

No, CA Service non supporta le chiavi Cloud KMS multiregionali.

CA Service limiterà mai le mie richieste? Qual è il valore QPS target per CA Service?

Sì, esiste un meccanismo di limitazione per CA Service. Per saperne di più, consulta Quote e limiti.

Il servizio CA supporta i Controlli di servizio VPC?

Sì, il servizio CA supporta i Controlli di servizio VPC. Per ulteriori informazioni, vedi Prodotti supportati e limitazioni > Certificate Authority Service e Sicurezza e conformità.

Come si dovrebbero usare le chiavi pubbliche con codifica PEM con le API REST?

Le chiavi pubbliche con codifica PEM possono essere utilizzate con le API REST solo dopo la codifica Base64.

È possibile continuare a utilizzare le API della fase di anteprima dopo l'annuncio della disponibilità generale (GA) di CA Service?

Sì, le API di anteprima possono essere utilizzate per un breve periodo dopo che CA Service ha annunciato la disponibilità generale. Questo periodo è destinato esclusivamente ai clienti per passare facilmente alle API più recenti e sarà di breve durata con un supporto limitato. Consigliamo ai clienti di eseguire la migrazione alle API GA non appena sono disponibili.

In che modo è possibile accedere alle risorse create durante il periodo di anteprima dopo l'annuncio della disponibilità generale (GA) di CA Service?

Non puoi visualizzare o gestire le risorse create durante il periodo di anteprima utilizzando la console Google Cloud. Per gestire le risorse create durante l'anteprima, utilizza le API di anteprima o i comandi gcloud di anteprima. Le API di anteprima sono accessibili tramite l'endpoint https://privateca.googleapis.com/v1beta1/. I comandi di anteprima gcloud sono accessibili tramite gcloud privateca beta. Per ulteriori informazioni sui comandi gcloud privateca beta, consulta gcloud privateca beta.

È possibile creare una CA subordinata con lo stesso soggetto e la stessa chiave di un'altra CA nella sua catena?

No, una CA subordinata non può avere lo stesso oggetto e la stessa chiave della CA radice o di qualsiasi altra CA nella sua catena. Il documento RFC 4158 consiglia di non ripetere i nomi dei soggetti e le coppie di chiavi pubbliche nei percorsi.

Le chiavi Cloud KMS gestite dal cliente sono uguali a quelle di CMEK?

No, le chiavi Cloud KMS gestite dal cliente supportate nel servizio CA non corrispondono alle chiavi di crittografia gestite dal cliente (CMEK) gestite tramite Cloud KMS. In CA Service, puoi creare le tue chiavi Cloud KMS gestite dal cliente (note anche come chiave BYO) per le CA nel livello Enterprise. Queste chiavi vengono utilizzate come chiave di firma dell'autorità di certificazione, a differenza delle chiavi di crittografia come CMEK, che vengono utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati. Il servizio CA non supporta CMEK.

I nomi delle risorse possono essere riutilizzati dopo che sono state eliminate?

No, i nomi delle risorse, ad esempio i nomi dei pool di CA, delle CA e dei modelli di certificato, non possono essere riutilizzati in una nuova risorsa dopo aver eliminato la risorsa originale. Ad esempio, se crei un pool di CA denominato projects/Charlie/locations/Location-1/caPools/my-pool e poi elimini il pool di CA, non puoi creare un altro pool di CA denominato my-pool nel progetto Charlie e nella località Location-1.

Passaggi successivi