Administrar recursos

Las autoridades certificadoras (AC) creadas a través de Certificate Authority Service dependen de dos tipos de recursos secundarios:

  • Una versión de clave de Cloud Key Management Service, que se usa para firmar certificados y Listas de revocación de certificados (CRL) emitidas por la AC Para obtener más información sobre las versiones de clave, consulta Versiones de claves.
  • Un bucket de Cloud Storage, que se usa para alojar un certificado de la AC cualquier CRL publicada por la AC, si esta configuración está habilitada. Para obtener más información sobre los buckets de Cloud Storage, consulta Buckets.

Ambos recursos deben existir para cada AC y no se pueden cambiar se crea la AC.

Modelos de administración

CA Service admite dos modelos de administración de ciclo de vida para estas recursos:

  • Google-managed
  • Administrada por el cliente

No es necesario que la clave de Cloud KMS y el bucket de Cloud Storage usan el mismo modelo de administración. Por ejemplo, la clave de Cloud KMS puede administrado por Google, y el bucket de Cloud Storage puede ser administrado por el cliente, o bien una y otra vez.

Google-managed

CA Service crea y configura automáticamente los recursos sigue a este modelo en la creación de la AC y borra los recursos cuando se borra la AC. Estos recursos no se facturan por separado.

De forma predeterminada, las AC nuevas usan claves de Cloud KMS administradas por Google y buckets de Cloud Storage. Puedes elegir un algoritmo de clave específico para la clave de Cloud KMS administrada por Google cuando creas una AC. Las claves de Cloud KMS administradas por Google no se reutilizan en todas las AC.

Para obtener información sobre cómo crear una AC raíz, consulta Crea una AC raíz. Para aprender a crear una AC subordinada, consulta Cómo crear una AC subordinada. Para obtener orientación sobre cómo elegir un algoritmo clave, consulta Elige un algoritmo clave.

Administrada por el cliente

Puedes crear recursos administrados por el cliente solo para las AC en la página nivel superior. Debes crear y configurar los recursos administrados por el cliente antes de crear la AC. Además, debes borrar estos recursos en un momento adecuado después de que se destruya la AC. A los usuarios se les factura directamente por estos recursos.

El servicio de AC considera el proyecto como el límite de seguridad para las claves de Cloud KMS administradas por el cliente. Por ejemplo, supongamos que una usuaria llamada Alice usa una clave de Cloud KMS administrada por el cliente para crear una AC en el proyecto test. Luego, otro usuario, Roberto, puede usar la misma clave de Cloud KMS para crear otra AC en el mismo proyecto. Si bien Alicia debe tener acceso de administrador a la clave para crear la primera AC, Bob no necesita ningún acceso a esa clave porque Alice ya habilitó el uso de la clave por parte del servicio de CA en el proyecto test.

Ventajas de crear recursos administrados por el cliente

Una ventaja de este modelo es que los emisores tienen control directo de Google Cloud. Los emisores pueden actualizar directamente atributos, como la administración de accesos, para que se ajusten sus requisitos organizativos.

Para crear una AC con recursos administrados por el cliente, el emisor debe tener acceso de administrador a esos recursos, con el fin de otorgar el acceso acceso al servicio de CA. Para obtener más información, consulta Agente de servicio de CA.

Ubicación de las claves de Cloud KMS

Debes crear claves de Cloud KMS administradas por el cliente en la misma ubicación de tus recursos de CA Service. Para obtener la lista completa de ubicaciones de CA Service, consulta Ubicaciones. Para ver la lista de ubicaciones en las que se pueden crear los recursos de Cloud KMS, consulta Ubicaciones de Cloud KMS.

Ubicación de los buckets de Cloud Storage

Debes crear buckets de Cloud Storage administrados por el cliente en la misma ubicación que tus recursos de CA Service. Tú no puede crear el bucket de Cloud Storage fuera del continente en el que creó los recursos de CA Service.

Por ejemplo, si tu AC está en us-west1, puedes crear la buckets Cloud Storage en cualquier región única de EE.UU., como us-west1 o us-east1, la región doble NAM4 y la multirregión US.

Para la lista de ubicaciones en las que Cloud Storage se pueden crear recursos, consulta Ubicaciones de Cloud Storage.

Acceso a los recursos administrados

Cualquier persona que tenga la URL del certificado de la AC alojada en un Cloud Storage o cualquier CRL que publique la AC podrá acceder a estos recursos de forma predeterminada. Para evitar el acceso público a tu certificado de la AC y CRL, agrega el proyecto que contenga el grupo de AC a un perímetro de los Controles del servicio de VPC.

Cuando agregas el proyecto que contiene el grupo de AC a un perímetro de Controles del servicio de VPC, el bucket de Cloud Storage administrado por Google se une al perímetro. El El perímetro de los Controles del servicio de VPC garantiza que el bucket de Cloud Storage a los que se accede desde fuera de las redes aprobadas.

Los clientes dentro del perímetro de la red aún pueden acceder a las CRL y a los certificados de AC sin autenticación. Las solicitudes de acceso desde fuera del falla la red aprobada.

URL basadas en HTTP para certificados de la AC y CRL

Los certificados de la AC y las CRL están disponibles en las URL basadas en HTTP para lo siguiente: motivos:

  • No se supone que un certificado de la AC que se publica en un bucket de Cloud Storage de confianza para los clientes tal como están. Los certificados de la AC forman parte de una cadena de certificados, que comienza con el certificado de la AC raíz. Cada certificado de la cadena de certificados está firmado por el certificado de la AC que está más arriba en la cadena para preservar la integridad del certificado. Por lo tanto, hay no representa ninguna ventaja adicional en el uso del protocolo HTTPS.

  • Algunos clientes rechazan las URLs basadas en HTTPS mientras validan los certificados.

Habilita la publicación de certificados de AC y CRL para las AC en un grupo de AC

CA Service habilita el certificado de la AC y la publicación de la CRL para De forma predeterminada, cuando creas un nuevo grupo de AC, se incluyen los buckets de Cloud Storage. Si se inhabilitó la publicación del certificado de la AC y la CRL al crear el grupo de AC. para habilitarlas ahora, sigue las instrucciones que se indican en esta sección.

Habilitar la publicación de certificados de la AC y la publicación de CRL para todas las AC de una AC: haz lo siguiente:

Console

  1. Ve a la página Certificate Authority Service (Servicio de autoridad certificadora) en la consola de Google Cloud.

    Ir a Certificate Authority Service

  2. En la pestaña AC group manager, haz clic en el nombre del grupo de AC que deseas. editar.

  3. En la página Grupo de AC, haz clic en Editar

    Edita un grupo de AC existente con la consola de Cloud.

  4. En Configurar los tamaños y algoritmos de claves permitidos, haz clic en Siguiente.

  5. En Configurar métodos de solicitud de certificado aceptados, haz clic en Siguiente.

  6. En Configurar opciones de publicación, haz clic en el botón de activación para Publicar CA. certificado al bucket de Cloud Storage para las AC de este grupo.

  7. Haz clic en el botón de activación para Publicar CRL en el bucket de Cloud Storage para las AC de este grupo.

gcloud

Ejecuta el siguiente comando:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Reemplaza POOL_ID por el nombre del grupo de AC.

Si habilitas --publish-ca-cert, el servicio de CA escribe la AC de cada AC. certificado en un bucket de Cloud Storage, cuya ruta se especifica en la AC recurso. La extensión de AIA en todos los certificados emitidos apunta al URL del objeto de Cloud Storage que contiene el certificado de la AC. La CRL la extensión de punto de distribución (CDP) en todos los certificados emitidos a los que apuntan la URL del objeto de Cloud Storage que contiene la CRL.

Si quieres obtener más información sobre cómo habilitar la publicación de CRL para revocar certificados, consulta Revocación de certificados.

Para obtener más información sobre el comando gcloud privateca pools update, consulta gcloud privateca groups update.

Inhabilitar el certificado de la AC y la publicación de CRL para las AC en un grupo de AC

Para inhabilitar la publicación de certificados de AC o de CRL para todas las AC de una de AC, haz lo siguiente:

Console

  1. Ve a la página Certificate Authority Service (Servicio de autoridad certificadora) en la consola de Google Cloud.

    Ir a Certificate Authority Service

  2. En la pestaña AC group manager, haz clic en el nombre del grupo de AC que deseas. editar.

  3. En la página Grupo de AC, haz clic en Editar.

  4. En Configurar los tamaños y algoritmos de claves permitidos, haz clic en Siguiente.

  5. En Configurar métodos de solicitud de certificado aceptados, haz clic en Siguiente.

  6. En Configurar opciones de publicación, haz clic en el botón de activación para Publicar CA. certificado al bucket de Cloud Storage para las AC de este grupo.

  7. Haz clic en el botón de activación para Publicar CRL en el bucket de Cloud Storage para las AC de este grupo.

gcloud

Ejecuta el siguiente comando:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

Reemplaza POOL_ID por el nombre del grupo de AC.

Inhabilitar los puntos de distribución no borra el bucket de Cloud Storage ni sus permisos, ni quita los certificados de AC ni las CRL que ya se encuentran alojados allí. Sin embargo, sí significa que las CRL futuras ya no en el bucket de Cloud Storage y no habrá certificados futuros las extensiones de AIA y CDP.

Actualizar el formato de codificación de los certificados de la AC y las CRL publicados

Para actualizar el formato de codificación de las CRL y los certificados de la AC publicados, haz lo siguiente:

Console

  1. Ve a la página Certificate Authority Service (Servicio de autoridad certificadora) en la consola de Google Cloud.

    Ir a Certificate Authority Service

  2. En la pestaña AC group manager, haz clic en el nombre del grupo de AC que deseas. editar.

  3. En la página Grupo de AC, haz clic en Editar.

  4. En Configurar los tamaños y algoritmos de claves permitidos, haz clic en Siguiente.

  5. En Configurar métodos de solicitud de certificado aceptados, haz clic en Siguiente.

  6. En Configurar opciones de publicación, haz clic en el menú desplegable Formato de codificación de la publicación.

  7. Selecciona el formato de codificación de publicación.

gcloud

Ejecuta el siguiente comando:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Reemplaza lo siguiente:

  • POOL_ID: Es el nombre de tu grupo de AC.
  • PUBLISHING_ENCODING_FORMAT por PEM o DER.

Para obtener más información sobre el comando gcloud privateca pools update, consulta gcloud privateca groups update.

¿Qué sigue?