Limitations connues

Cette page décrit les limites connues de Certificate Authority Service.

Prise en charge de la révocation

La révocation des certificats n'est possible qu'à l'aide de listes de révocation de certificats (LRC). Le protocole OCSP (Online Certificate Status Protocol) n'est pas compatible avec CA Service, mais vous pouvez implémenter et exécuter un répondeur OCSP délégué.

Pour en savoir plus sur l'implémentation d'un répondeur OCSP, consultez Compatibilité avec OCSP.

Clés générées par le client

Pour plus de commodité, la Google Cloud CLI et les surfaces de la console Google Cloud permettent de générer automatiquement une paire de clés asymétrique lors de l'émission de certificats. Les clés générées à l'aide de Google Cloud CLI sont limitées au protocole RSA-2048, tandis que celles générées à l'aide de la console Google Cloud acceptent un plus grand nombre d'algorithmes.

Objet du certificat

Le service CA n'accepte que les types d'attributs suivants dans l'objet d'un certificat:

  • Nom commun (CN)
  • Code pays (C)
  • Organisation (O)
  • Unité organisationnelle (UO)
  • Localité (L)
  • Province (ST)
  • Street Address (Adresse postale)
  • Code postal

Cette limitation s'applique au champ "Objet" des certificats CA et des certificats d'entité finale. Chacun de ces types d'attributs est limité à une seule valeur.

Pour en savoir plus, consultez le message Objet dans la documentation de l'API REST.

Étapes suivantes