よくある質問

Certificate Authority Service とは

Certificate Authority Service は、秘密鍵を制御しながら、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化、カスタマイズできるようにする高可用性のスケーラブルな Google Cloud サービスです。

Certificate Authority Service の一般的なユースケース

CA Service の一般的なユースケースを次に示します。

  • Workload Identity: API を活用してアプリケーションの証明書を取得するか、アプリケーション、コンテナ、システム、その他のリソースで証明書を使用できます。
  • 企業のシナリオ: VPN、BeyondCorp Enterprise、署名ドキュメント、Wi-Fi アクセス、メール、スマートカードなどの証明書を使用します。
  • 証明書の発行と管理の一元化: CA Service を使用するように GKE Enterprise Service Mesh を構成します。
  • IoT およびモバイル デバイスの ID: エンドポイントの ID として TLS 証明書を発行します。
  • CI/CD チャネル、Binary Authorization、Istio、Kubernetes。

CA Service ではどのコンプライアンス標準がサポートされていますか?

詳細については、セキュリティとコンプライアンスをご覧ください。

CA Service リソースを作成できるロケーションはどこですか?

CA Service リソースは、多数のロケーションの 1 つに作成できます。ロケーションの完全なリストについては、ロケーションをご覧ください。

CA Service は単一のルートでグローバル PKI をサポートしていますか?

はい。ルート CA が単一のリージョン内に存在していることが条件です。ただし、同じルートに連結される異なるリージョンに複数の発行 CA を作成できます。

CA はラベルに対応していますか?

はい。作成オペレーションと更新オペレーションで CA プールと CA にラベルを関連付けることができます。

CA プールのラベルの更新については、CA プールのラベルの更新をご覧ください。

CA のラベルの更新については、CA のラベルの更新をご覧ください。

Cloud Monitoring を使用して証明書の作成と CA の有効期限を追跡できますか?Pub/Sub イベントを生成することは可能ですか?

はい。これらのイベントをすべてモニタリングできます。CA Service は Pub/Sub をネイティブにサポートしていませんが、Cloud Monitoring を使用して構成できます。詳細については、CA Service での Cloud Monitoring の使用をご覧ください。

非アクティブな CA の保持期間はどのくらいですか?

下位 CA は AWAITING_USER_ACTIVATION 状態に作成され、有効化後に STAGED 状態に設定されます。下位 CA が作成から 30 日後にまだ AWAITING_USER_ACTIVATION 状態になっている場合は、削除されます。

CA のライフサイクルにおけるさまざまな状態については、認証局の状態をご覧ください。

CA Service が証明書の発行をサポートするアクセス制御は何ですか?

CA Service では、証明書を発行できるユーザーを制御するために、CA プールでの IAM ポリシーの設定をサポートしています。CA 管理者は、CA プールに発行ポリシーを適用できます。この発行ポリシーでは、CA プール内の CA が発行できる証明書の種類に対する制限を定義します。これには、ドメイン名、拡張機能、証明書の有効期間などに関する制限が含まれます。

CA プールの発行ポリシーの構成方法については、発行ポリシーの使用をご覧ください。

CA Service リソースの作成と管理に必要な IAM ポリシーの構成方法については、IAM ポリシーの構成をご覧ください。

CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていますか?

いいえ、CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていません。

CA Service がリクエストをスロットルすることはありますか?CA Service のターゲット QPS はどれくらいですか?

はい、CA Service に対するスロットル メカニズムがあります。詳細については、割り当てと上限をご覧ください。

CA Service は VPC Service Controls をサポートしていますか?

はい。CA Service は VPC Service Controls をサポートしています。詳細については、サポートされているプロダクトと制限事項 > Certificate Authority Serviceセキュリティとコンプライアンス をご覧ください。

PEM エンコードされた公開鍵は REST API ではどのように使用されますか?

PEM エンコードされた公開鍵は、Base64 エンコード後の REST API でのみ使用できます。

CA Service が一般提供(GA)を発表した後も、プレビュー ステージの API を使用できますか?

はい。CA Service が一般提供を発表した後も、プレビュー API を短期間使用できます。この期間は、最新の API の使用を円滑に移行するためのもので、短期間でサポートが制限されたものになります。一般提供 API が利用可能になり次第、移行することをおすすめします。

CA Service が一般提供(GA)を発表した後、プレビュー期間中に作成されたリソースにアクセスするには、どうすればよいですか?

プレビュー期間中に作成されたリソースは、Google Cloud コンソールを使用して表示または管理できません。プレビュー中に作成されたリソースを管理するには、プレビュー API またはプレビュー gcloud コマンドを使用します。 プレビュー API には、https://privateca.googleapis.com/v1beta1/ エンドポイントを介してアクセスできます。プレビュー gcloud コマンドには、gcloud privateca beta を介してアクセスできます。gcloud privateca beta コマンドの詳細については、gcloud privateca beta をご覧ください。

下位 CA を、そのチェーン内の別の CA と同じサブジェクトと鍵で作成できますか?

いいえ。下位 CA のサブジェクトと鍵は、ルート CA やチェーン内の他の CA と同じにすることはできません。RFC 4158 では、パスでサブジェクト名と公開鍵のペアが繰り返されないことが推奨されています。

顧客管理の Cloud KMS 鍵は CMEK と同じですか?

いいえ、CA Service でサポートされている顧客管理の暗号鍵 Cloud KMS 鍵は、Cloud KMS を使用して管理される顧客管理の暗号鍵(CMEK)とは異なります。CA Service では、Enterprise ティアの CA 用に独自の顧客管理の Cloud KMS 鍵(BYO 鍵とも呼ばれる)を作成できます。これらの鍵は、サポートされている Google Cloud サービス内で保存データを暗号化するために使用される CMEK などの暗号鍵とは異なり、CA の署名鍵として使用されます。CA Service は CMEK をサポートしていません。

リソースが削除された後にリソース名を再利用できますか?

いいえ。元のリソースが削除された後は、CA プール、CA、証明書テンプレートの名前などのリソース名は新しいリソースで再利用できません。たとえば、projects/Charlie/locations/Location-1/caPools/my-pool という名前の CA プール作成して、その CA プールを削除すると、プロジェクト Charlie とロケーション Location-1my-pool という名前の別の CA を作成できません。

次のステップ