Ressourcen verwalten

Zertifizierungsstellen (Certificate Authorities, CAs), die über Certificate Authority Service erstellt wurden, zwei sekundäre Ressourcentypen:

  • Eine Cloud Key Management Service-Schlüsselversion, die zum Signieren von Zertifikaten und Von der Zertifizierungsstelle ausgestellte Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) Weitere Informationen zu Schlüsselversionen finden Sie unter Schlüsselversionen.
  • Ein Cloud Storage-Bucket, der zum Hosten eines CA-Zertifikats und aller von der Zertifizierungsstelle veröffentlichten CRLs verwendet wird, sofern diese Einstellungen aktiviert sind. Weitere Informationen zu Cloud Storage-Buckets finden Sie unter Buckets.

Beide Ressourcen müssen für jede Zertifizierungsstelle vorhanden sein und können später nicht mehr geändert werden die Zertifizierungsstelle erstellt wird.

Managementmodelle

CA Service unterstützt zwei Modelle für die Lebenszyklusverwaltung dieser Ressourcen:

  • Von Google verwaltet
  • Vom Kunden verwaltet

Der Cloud KMS-Schlüssel und der Cloud Storage-Bucket müssen nicht dasselbe Verwaltungsmodell verwenden. Der Cloud KMS-Schlüssel kann beispielsweise von Google verwaltet und der Cloud Storage-Bucket vom Kunden verwaltet werden oder umgekehrt.

Von Google verwaltet

CA Service erstellt und konfiguriert die Ressourcen automatisch nach diesem Modell bei der CA-Erstellung und löscht die Ressourcen beim Löschen der Zertifizierungsstelle. Diese Ressourcen werden nicht separat abgerechnet.

Standardmäßig verwenden neue Zertifizierungsstellen von Google verwaltete Cloud KMS-Schlüssel und Cloud Storage-Buckets. Sie können einen bestimmten Schlüsselalgorithmus für den Von Google verwalteter Cloud KMS-Schlüssel beim Erstellen einer Zertifizierungsstelle. Von Google verwaltete Cloud KMS-Schlüssel werden nicht über Zertifizierungsstellen hinweg wiederverwendet.

Informationen zum Erstellen einer Stamm-CA finden Sie unter Stamm-CA erstellen. Informationen zum Erstellen einer untergeordneten Zertifizierungsstelle finden Sie unter Untergeordnete Zertifizierungsstelle erstellen. Eine Anleitung zur Auswahl eines Schlüsselalgorithmus finden Sie unter Schlüsselalgorithmus auswählen.

Vom Kunden verwaltet

Sie können vom Kunden verwaltete Ressourcen nur für Kundencenter in der Enterprise-Stufe erstellen. Sie müssen die vom Kunden verwalteten Ressourcen vor dem Erstellen der Zertifizierungsstelle erstellen und konfigurieren. Außerdem müssen Sie diese Ressourcen zu einem geeigneten Zeitpunkt nach der Zerstörung der Zertifizierungsstelle löschen. Nutzern werden diese Ressourcen direkt in Rechnung gestellt.

CA Service behandelt das Projekt als Sicherheitsgrenze für vom Kunden verwaltete Cloud KMS-Schlüssel. Angenommen, eine Nutzerin namens Alice verwendet einen vom Kunden verwalteten Cloud KMS-Schlüssel, um eine Zertifizierungsstelle in Projekt test zu erstellen. Ein anderer Nutzer, Peter, kann dann mit demselben Cloud KMS-Schlüssel eine weitere Zertifizierungsstelle im selben Projekt erstellen. Alice benötigt Administratorzugriff auf den Schlüssel, um die erste Zertifizierungsstelle zu erstellen. Bob benötigt jedoch keinen Zugriff auf diesen Schlüssel, da Alice im Projekt test bereits die Verwendung des Schlüssels durch den Zertifizierungsstellendienst aktiviert hat.

Vorteile der Erstellung von vom Kunden verwalteten Ressourcen

Ein Vorteil dieses Modells ist, dass die Aufrufer Ressourcen. Anrufer können Attribute wie die Zugriffsverwaltung direkt an ihre Anforderungen anpassen. Anforderungen an die Organisation.

Wenn Sie eine Zertifizierungsstelle mit vom Kunden verwalteten Ressourcen erstellen möchten, muss der Aufrufer Administratorzugriff auf diese Ressourcen haben, um den entsprechenden Zugriff auf den CA-Dienst zu gewähren. Weitere Informationen finden Sie unter Dienst-Agent für CA-Dienst.

Speicherort von Cloud KMS-Schlüsseln

Sie müssen vom Kunden verwaltete Cloud KMS-Schlüssel am selben Standort wie Ihre CA Service-Ressourcen erstellen. Eine vollständige Liste der Standorte für den CA Service finden Sie unter Standorte. Eine Liste der Standorte, an denen Cloud KMS-Ressourcen erstellt werden können, finden Sie unter Cloud KMS-Standorte.

Speicherort von Cloud Storage-Buckets

Sie müssen kundenverwaltete Cloud Storage-Buckets an ungefähr demselben Speicherort wie die Ressourcen Ihres CA-Dienstes erstellen. Ich Der Cloud Storage-Bucket kann nicht außerhalb des Kontinents erstellt werden, auf dem Sie die CA Service-Ressourcen erstellt haben.

Wenn sich Ihr Konto beispielsweise in us-west1 befindet, können Sie die Cloud Storage-Buckets in einer beliebigen Region in den USA wie us-west1 oder us-east1, in der Dualregion NAM4 und in der Multiregion US erstellen.

Für die Liste der Standorte, an denen Cloud Storage Ressourcen erstellt werden können, siehe Cloud Storage-Speicherorte.

Zugriff auf die verwalteten Ressourcen

Jeder, der die URL des in Cloud Storage gehosteten CA-Zertifikats hat Bucket oder alle von der Zertifizierungsstelle veröffentlichten Zertifikatssperrlisten können standardmäßig auf diese Ressourcen zugreifen. Wenn Sie den öffentlichen Zugriff auf Ihr CA-Zertifikat und Ihre CRL verhindern möchten, fügen Sie das Projekt mit dem CA-Pool einem VPC Service Controls-Perimeter hinzu.

Wenn Sie das Projekt mit dem Zertifizierungsstellenpool einem VPC Service Controls-Perimeter hinzufügen, Der von Google verwaltete Cloud Storage-Bucket schließt sich dem Perimeter an. Der VPC Service Controls-Perimeter sorgt dafür, dass der Cloud Storage-Bucket nicht von außerhalb der genehmigten Netzwerke aus zugänglich ist.

Clients innerhalb des Netzwerkperimeters können weiterhin auf die Zertifikatssperrlisten und Zertifizierungsstelle zugreifen Zertifikate ohne Authentifizierung. Zugriffsanfragen von außerhalb des genehmigten Netzwerks schlagen fehl.

HTTP-basierte URLs für CA-Zertifikate und Zertifikatssperrlisten

CA-Zertifikate und Zertifikatssperrlisten sind unter HTTP-basierten URLs für Folgendes verfügbar: Gründe:

  • Ein in einem Cloud Storage-Bucket veröffentlichtes CA-Zertifikat von der Kundschaft so wie sie ist. Die CA-Zertifikate sind Teil einer Zertifikatskette, die mit dem Zertifikat der Stammzertifizierungsstelle beginnt. Jedes Zertifikat in der Zertifikatskette vom CA-Zertifikat signiert wird, weiter oben in der Kette, um die Integrität des Zertifikats zu wahren. Daher gibt es ist kein zusätzlicher Vorteil der Verwendung des HTTPS-Protokolls.

  • Einige Clients lehnen HTTPS-basierte URLs bei der Validierung von Zertifikaten ab.

Veröffentlichung von CA-Zertifikaten und CRLs für Zertifizierungsstellen in einem CA-Pool aktivieren

Der CA-Dienst ermöglicht standardmäßig die Veröffentlichung von CA-Zertifikaten und CRLs in Cloud Storage-Buckets, wenn Sie einen neuen CA-Pool erstellen. Wenn Sie das CA-Zertifikat und die CRL-Veröffentlichung beim Erstellen des CA-Pools deaktiviert und möchten, um sie jetzt zu aktivieren, folgen Sie der Anleitung in diesem Abschnitt.

Veröffentlichung von CA-Zertifikaten und CRL-Veröffentlichungen für alle Zertifizierungsstellen in einer Zertifizierungsstelle aktivieren gehen Sie so vor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf dem Tab CA-Poolmanager auf den Namen des gewünschten CA-Pools. bearbeiten können.

  3. Klicken Sie auf der Seite CA-Pool auf Bearbeiten:

    Bearbeiten Sie einen vorhandenen CA-Pool mit der Cloud Console.

  4. Klicken Sie unter Zulässige Schlüsselalgorithmen und Größen konfigurieren auf Weiter.

  5. Klicken Sie unter Zulässige Methoden für Zertifikatsanfragen konfigurieren auf Weiter.

  6. Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf die Ein/Aus-Schaltfläche für CA-Zertifikat im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.

  7. Klicken Sie auf die Ein/Aus-Schaltfläche für CRL im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.

Wenn Sie --publish-ca-cert aktivieren, schreibt der CA-Dienst das CA-Zertifikat jeder Zertifizierungsstelle in einen Cloud Storage-Bucket, dessen Pfad in der CA-Ressource angegeben ist. Die AIA-Erweiterung in allen ausgestellten Zertifikaten verweist auf die Cloud Storage-Objekt-URL, die das CA-Zertifikat enthält. Die CDP-Erweiterung (Distribution Point of the CRL, Verteilungspunkt der Zertifikatssperrliste) in allen ausgestellten Zertifikaten verweist auf die Cloud Storage-Objekt-URL, die die CRL enthält.

Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privateca Pools update.

Weitere Informationen zum Aktivieren der Veröffentlichung der Zertifikatssperrliste zum Widerrufen von Zertifikaten finden Sie unter Zertifikate widerrufen.

CA-Zertifikat und CRL-Veröffentlichung für CAs in einem CA-Pool deaktivieren

So deaktivieren Sie die Veröffentlichung von CA-Zertifikaten oder die Veröffentlichung von Zertifikatssperrlisten für alle Zertifizierungsstellen in einem Gehen Sie so vor:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf dem Tab CA-Poolmanager auf den Namen des gewünschten CA-Pools. bearbeiten können.

  3. Klicken Sie auf der Seite CA-Pool auf Bearbeiten.

  4. Klicken Sie unter Zulässige Schlüsselalgorithmen und Größen konfigurieren auf Weiter.

  5. Klicken Sie unter Zulässige Methoden für Zertifikatsanfragen konfigurieren auf Weiter.

  6. Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf die Ein/Aus-Schaltfläche für CA-Zertifikat im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.

  7. Klicken Sie auf die Ein/Aus-Schaltfläche für CRL im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.

Durch das Deaktivieren von Verteilungspunkten wird weder der Cloud Storage-Bucket gelöscht noch entfernt und es werden keine CA-Zertifikate oder Zertifikatssperrlisten entfernt, die die bereits dort gehostet werden. Das bedeutet jedoch, dass in Zukunft im Cloud Storage-Bucket veröffentlicht werden. Zukünftige Zertifikate werden die Erweiterungen AIA und CDP.

Codierungsformat der veröffentlichten CA-Zertifikate und CRLs aktualisieren

So aktualisieren Sie das Codierungsformat veröffentlichter CA-Zertifikate und CRLs:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.

    Zum Certificate Authority Service

  2. Klicken Sie auf dem Tab CA-Poolmanager auf den Namen des gewünschten CA-Pools. bearbeiten können.

  3. Klicken Sie auf der Seite CA-Pool auf Bearbeiten.

  4. Klicken Sie unter Zulässige Schlüsselalgorithmen und Größen konfigurieren auf Weiter.

  5. Klicken Sie unter Zulässige Methoden für Zertifikatsanfragen konfigurieren auf Weiter.

  6. Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf das Drop-down-Menü für Codierungsformat für die Veröffentlichung.

  7. Wählen Sie das Codierungsformat für die Veröffentlichung aus.

gcloud

Führen Sie dazu diesen Befehl aus:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ersetzen Sie Folgendes:

  • POOL_ID: Der Name Ihres Zertifizierungsstellenpools.
  • PUBLISHING_ENCODING_FORMAT: entweder PEM oder DER.

Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privateca pools update.

Nächste Schritte