Gerenciar recursos
As autoridades certificadoras (CAs) criadas pelo Certificate Authority Service usam dois tipos de recursos secundários:
- Uma versão de chave do Cloud Key Management Service, usada para assinar certificados e Listas de revogação de certificado (CRLs) emitidas pela CA. Para mais informações sobre versões de chave, consulte Versões de chave.
- Um bucket do Cloud Storage, usado para hospedar um certificado de CA e CRLs publicadas pela CA, se essas configurações estiverem ativadas. Para mais informações sobre os buckets do Cloud Storage, consulte Buckets.
Esses dois recursos precisam existir para cada CA e não podem ser alterados após a criação da CA.
Modelos de gestão
O serviço de CA oferece suporte a dois modelos de gerenciamento de ciclo de vida para esses recursos:
- Gerenciada pelo Google
- Gerenciada pelo cliente
A chave do Cloud KMS e o bucket do Cloud Storage não precisam usar o mesmo modelo de gerenciamento. Por exemplo, a chave do Cloud KMS pode ser gerenciados pelo Google, e o bucket do Cloud Storage pode ser gerenciado pelo cliente, ou por aí.
Gerenciada pelo Google
O CA Service cria e configura os recursos automaticamente seguindo esse modelo na criação da AC e exclui os recursos na exclusão da AC. Você não é cobrado separadamente por esses recursos.
Por padrão, as novas ACs usam chaves do Cloud KMS gerenciadas pelo Google e buckets do Cloud Storage. É possível escolher um algoritmo de chave específico para a chave do Cloud KMS gerenciada pelo Google ao criar uma AC. As chaves do Cloud KMS gerenciadas pelo Google não são reutilizadas em CAs.
Para informações sobre como criar uma AC raiz, consulte Criar uma AC raiz. Para saber como criar uma AC subordinada, consulte Criar uma AC subordinada. Para orientações sobre como escolher um algoritmo de chave, consulte Escolha um algoritmo de chave.
Gerenciada pelo cliente
É possível criar recursos gerenciados pelo cliente apenas para ACs no nível Enterprise. Você precisa criar e configurar os recursos gerenciados pelo cliente antes da criação da AC. Além disso, você precisa excluir esses recursos em um momento adequado após a destruição da AC. Os usuários são cobrados diretamente por esses recursos.
O CA Service trata o projeto como o limite de segurança para as chaves do Cloud KMS gerenciadas pelo cliente. Por exemplo, considere que a Alice usa uma chave do Cloud KMS gerenciada pelo cliente para criar uma AC no projeto test. Em seguida, outro usuário, Bob, pode usar a mesma chave do Cloud KMS para criar outra AC no mesmo projeto. Embora Alice precise ter acesso de administrador à chave para criar a primeira AC, Bob não precisa de nenhum acesso a ela, porque Alice já ativou o uso da chave pelo serviço de AC no projeto test.
Vantagens de criar recursos gerenciados pelo cliente
Uma vantagem desse modelo é que os autores da chamada têm controle direto sobre do Google Cloud. Os autores de chamadas podem atualizar diretamente atributos, como o gerenciamento de acesso, para atender aos requisitos da organização.
A criação de uma AC com recursos gerenciados pelo cliente exige que o autor da chamada tenha acesso administrativo a esses recursos para conceder o acesso adequado ao serviço de AC. Para mais informações, consulte Agente de serviço de CA.
Local das chaves do Cloud KMS
Você precisa criar chaves do Cloud KMS gerenciadas pelo cliente no mesmo local dos recursos do serviço de AC. Para conferir a lista completa de locais do serviço de AC, consulte Locais. Para conferir a lista de locais em que os recursos do Cloud KMS podem ser criados, consulte Locais do Cloud KMS.
Local dos buckets do Cloud Storage
É necessário criar buckets do Cloud Storage gerenciados pelo cliente aproximadamente no mesmo local que os recursos do CA Service. Não é possível criar o bucket do Cloud Storage fora do continente em que você criou os recursos do serviço de AC.
Por exemplo, se a CA estiver em us-west1, você poderá criar os
buckets do Cloud Storage em qualquer região dos EUA, como
us-west1 ou us-east1, a região dupla NAM4 e a multirregião US.
Para a lista de locais onde o Cloud Storage recursos podem ser criados, consulte Locais do Cloud Storage.
Acesso aos recursos gerenciados
Qualquer pessoa que tenha o URL do certificado de CA hospedado em um Cloud Storage ou qualquer CRL publicada pela CA pode acessar esses recursos por padrão. Para impedir o acesso público ao certificado e CRL da AC, adicione o projeto que contém o pool de AC a um perímetro do VPC Service Controls.
Ao adicionar o projeto que contém o pool de ACs a um perímetro do VPC Service Controls, o bucket do Cloud Storage gerenciado pelo Google é incluído no perímetro. O perímetro do VPC Service Controls garante que o bucket do Cloud Storage não possa ser acessado de fora das redes aprovadas.
Os clientes dentro do perímetro da rede ainda podem acessar as CRLs e os certificados de AC sem autenticação. As solicitações de acesso de fora da rede aprovada falham.
URLs baseados em HTTP para certificados de CA e CRLs
Os certificados de AC e CRLs estão disponíveis em URLs baseados em HTTP pelos seguintes motivos:
Um certificado de AC publicado em um bucket do Cloud Storage não precisa ser confiável pelos clientes. Os certificados de AC fazem parte de uma cadeia de certificados, que começa com o certificado da AC raiz. Cada certificado na cadeia de certificados é assinado pelo certificado de AC que é mais acima na cadeia para preservar a integridade do certificado. Portanto, não há vantagem adicional em usar o protocolo HTTPS.
Alguns clientes rejeitam URLs baseados em HTTPS ao validar certificados.
Ativar a publicação de certificados de CA e CRLs para CAs em um pool de CAs
O CA Service permite que o certificado de CA e a publicação de CRL buckets do Cloud Storage por padrão quando você cria um novo pool de ACs. Se você desativou o certificado de CA e a publicação de CRL ao criar o pool de CAs e quer para ativá-las agora, siga as instruções nesta seção.
Ativar a publicação de certificados de CA e de CRL para todas as CAs em uma CA faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Na guia Gerenciador de pool de CAs, clique no nome do pool de CAs que você quer usar. editar.
Na página Pool de AC, clique em Editar.
Em Configurar algoritmos e tamanhos de chaves permitidos, clique em Próxima.
Em Configurar métodos de solicitação de certificado aceitos, clique em Próxima.
Em Configurar opções de publicação, clique no botão Publicar certificado de CA no bucket do Cloud Storage para CAs neste pool.
Clique no botão de alternância Publicar CRL no bucket do Cloud Storage para CAs neste pool.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert
Substitua POOL_ID pelo nome do pool de ACs.
Se você ativar --publish-ca-cert, o serviço de CA gravará a CA de cada CA
certificado para um bucket do Cloud Storage, com o caminho especificado no
recurso. A extensão AIA em todos os certificados emitidos aponta para o
URL do objeto do Cloud Storage que contém o certificado de AC. A extensão do ponto de distribuição da CRL (CDP, na sigla em inglês) em todos os certificados emitidos aponta para o URL do objeto do Cloud Storage que contém a CRL.
Para saber mais sobre como ativar a publicação de CRL para revogar certificados, consulte Revogar certificados.
Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.
Desativar o certificado de CA e a publicação de CRL para CAs em um pool de CAs
Para desativar a publicação de certificados de AC ou de CRL para todas as ACs em um pool de ACs, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Na guia Gerenciador de pool de CAs, clique no nome do pool de CAs que você quer usar. editar.
Na página Pool de AC, clique em Editar.
Em Configurar algoritmos e tamanhos de chaves permitidos, clique em Próxima.
Em Configurar métodos de solicitação de certificado aceitos, clique em Próxima.
Em Configurar opções de publicação, clique no botão Publicar certificado de CA no bucket do Cloud Storage para CAs neste pool.
Clique no botão de alternância Publicar CRL no bucket do Cloud Storage para CAs neste pool.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert
Substitua POOL_ID pelo nome do pool de ACs.
Desativar pontos de distribuição não exclui o bucket do Cloud Storage nem as permissões e não remove nenhum certificado CA ou CRL que esteja já hospedados lá. No entanto, isso significa que as CRLs futuras não serão mais serão publicadas no bucket do Cloud Storage, e os certificados futuros não terão as extensões AIA e CDP.
Atualizar o formato de codificação de certificados de CA e CRLs publicados
Para atualizar o formato de codificação de certificados de CA e CRLs publicados, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Na guia Gerenciador de pool de CAs, clique no nome do pool de CAs que você quer usar. editar.
Na página Pool de AC, clique em Editar.
Em Configurar algoritmos e tamanhos de chaves permitidos, clique em Próxima.
Em Configurar métodos de solicitação de certificado aceitos, clique em Próxima.
Em Configurar opções de publicação, clique no menu suspenso para Formato de codificação de publicação.
Selecione o formato de codificação da publicação.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Substitua:
- POOL_ID: o nome do seu pool de ACs.
- PUBLISHING_ENCODING_FORMAT:
PEMouDER.
Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.
A seguir
- Saiba como criar pools de ACs.
- Saiba como criar uma AC raiz.
- Saiba como criar uma AC subordinada.
- Saiba como criar uma AC subordinada usando uma AC externa.