よくある質問

Certificate Authority Service とは何ですか?

Certificate Authority Service は、秘密鍵を制御しながら、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化、カスタマイズできるようにする高可用性のスケーラブルな Google Cloud サービスです。

Certificate Authority Service の一般的なユースケースは何ですか?

CA Service の一般的なユースケースを次に示します。

  • Workload Identity: API を活用してアプリケーションの証明書を取得するか、アプリケーション、コンテナ、システム、その他のリソースで証明書を使用できます。
  • エンタープライズ シナリオ: VPN、Chrome Enterprise Premium、署名ドキュメント、Wi-Fi アクセス、メール、スマートカードなどの証明書を使用します。
  • 証明書の発行と管理の一元化: CA Service を使用するように GKE Enterprise Service Mesh を構成します。
  • IoT デバイスとモバイル デバイスの ID: エンドポイントの ID として TLS 証明書を発行します。
  • CI / CD チャネル、Binary Authorization、Istio、Kubernetes。

CA Service はどのコンプライアンス標準をサポートしていますか?

詳細については、セキュリティとコンプライアンスをご覧ください。

どのロケーションに CA Service リソースを作成できますか?

CA Service リソースは、複数のロケーションのいずれかに作成できます。ロケーションの完全なリストについては、ロケーションをご覧ください。

CA Service は、単一のルート下のグローバル PKI をサポートしていますか?

はい。ルート CA が単一のリージョン内に存在していることが条件です。ただし、同じルートにチェーン接続する複数の発行元 CA を異なるリージョンに作成できます。

CA でラベルはサポートされていますか?

はい。作成オペレーションと更新オペレーション中に、CA プールと CA にラベルを関連付けることができます。

CA プールのラベルの更新については、CA プールのラベルの更新をご覧ください。

CA のラベルの更新については、CA のラベルの更新をご覧ください。

Cloud Monitoring を使用して、証明書の作成と CA の有効期限を追跡できますか?これらのイベントに対して Pub/Sub イベントを生成することはできますか?

はい。これらのイベントをすべてモニタリングできます。CA Service は Pub/Sub をネイティブにサポートしていませんが、Cloud Monitoring を使用して構成できます。詳細については、CA Service で Cloud Monitoring を使用するをご覧ください。

有効化されていない CA はどのくらいの期間保持されますか?

下位 CA は AWAITING_USER_ACTIVATION 状態で作成され、有効化後に STAGED 状態に設定されます。下位 CA が作成から 30 日が経過しても AWAITING_USER_ACTIVATION 状態のままである場合、下位 CA は削除されます。

CA のライフサイクルにおけるさまざまな状態については、認証局の状態をご覧ください。

CA Service は、証明書の発行にどのようなアクセス制御をサポートしていますか?

CA Service では、証明書を発行できるユーザーを制御するために、CA プールでの IAM ポリシーの設定をサポートしています。CA 管理者は、発行ポリシーを CA プールに適用できます。この発行ポリシーは、CA プール内の CA が発行できる証明書の種類に制限を定義します。これには、ドメイン名、拡張機能、証明書の有効期間などに関する制限が含まれます。

CA プールで発行ポリシーを構成する方法の詳細については、発行ポリシーの使用をご覧ください。

CA Service リソースの作成と管理に必要な IAM ポリシーを構成する方法については、IAM ポリシーの構成をご覧ください。

CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていますか?

いいえ、CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていません。

CA Service がリクエストをスロットルすることはありますか?CA Service のターゲット QPS はどれくらいですか?

はい、CA Service に対するスロットル メカニズムがあります。詳細については、割り当てと上限をご覧ください。

CA Service は VPC Service Controls をサポートしていますか?

はい。CA Service は VPC Service Controls をサポートしています。詳細については、サポートされているプロダクトと制限事項 > Certificate Authority Serviceセキュリティとコンプライアンス をご覧ください。

PEM でエンコードされた公開鍵を REST API で使用する方法は?

PEM でエンコードされた公開鍵は、Base64 でエンコードした後にのみ REST API で使用できます。

CA Service が一般提供(GA)を発表した後も、プレビュー ステージの API を引き続き使用できますか?

はい。CA Service が一般提供を発表した後も、プレビュー API を短期間使用できます。この期間は、最新の API の使用を円滑に移行するためのもので、短期間でサポートが制限されたものになります。一般提供 API が利用可能になり次第、移行することをおすすめします。

CA Service の一般提供(GA)が発表された後、プレビュー期間中に作成したリソースにアクセスするにはどうすればよいですか?

プレビュー期間中に作成されたリソースは、Google Cloud コンソールを使用して表示または管理できません。プレビュー中に作成されたリソースを管理するには、プレビュー API またはプレビュー gcloud コマンドを使用します。 プレビュー API には、https://privateca.googleapis.com/v1beta1/ エンドポイントを介してアクセスできます。プレビュー gcloud コマンドには、gcloud privateca beta を介してアクセスできます。gcloud privateca beta コマンドの詳細については、gcloud privateca beta をご覧ください。

チェーン内の別の CA と同じサブジェクトと鍵を使用して下位 CA を作成できますか?

いいえ。下位 CA は、ルート CA またはチェーン内の他の CA と同じサブジェクトと鍵を持つことはできません。RFC 4158 では、パスでサブジェクト名と公開鍵のペアが繰り返されないことが推奨されています。

顧客管理の Cloud KMS 鍵は CMEK と同じですか?

いいえ、CA Service でサポートされている顧客管理の暗号鍵 Cloud KMS 鍵は、Cloud KMS を使用して管理される顧客管理の暗号鍵(CMEK)とは異なります。CA Service では、Enterprise ティアの CA 用に独自の顧客管理の Cloud KMS 鍵(BYO 鍵とも呼ばれる)を作成できます。これらの鍵は、サポートされている Google Cloud サービス内で保存されているデータを暗号化するために使用される CMEK などの暗号鍵とは異なり、CA の署名鍵として使用されます。CA Service は CMEK をサポートしていません。

リソースを削除した後にリソース名を再利用できますか?

いいえ。CA プール、CA、証明書テンプレートの名前などのリソース名は、元のリソースが削除された後に新しいリソースで再利用できません。たとえば、projects/Charlie/locations/Location-1/caPools/my-pool という名前の CA プール作成して、その CA プールを削除すると、プロジェクト Charlie とロケーション Location-1my-pool という名前の別の CA を作成できません。

次のステップ