Ressourcen verwalten
Zertifizierungsstellen, die über Certificate Authority Service erstellt werden, basieren auf zwei sekundären Ressourcentypen:
- Eine Cloud Key Management Service-Schlüsselversion, die zum Signieren von Zertifikaten und Zertifikatssperrlisten verwendet wird, die von der Zertifizierungsstelle ausgestellt wurden. Weitere Informationen zu Schlüsselversionen finden Sie unter Schlüsselversionen.
- Ein Cloud Storage-Bucket zum Hosten eines CA-Zertifikats und aller von der Zertifizierungsstelle veröffentlichten Zertifikatssperrlisten, wenn diese Einstellungen aktiviert sind. Weitere Informationen zu Cloud Storage-Buckets finden Sie unter Buckets.
Beide Ressourcen müssen für jede Zertifizierungsstelle vorhanden sein und können nach dem Erstellen der Zertifizierungsstelle nicht mehr geändert werden.
Verwaltungsmodelle
CA Service unterstützt für diese Ressourcen zwei Modelle zur Lebenszyklusverwaltung:
- Von Google verwaltet
- Vom Kunden verwaltet
Der Cloud KMS-Schlüssel und der Cloud Storage-Bucket müssen nicht dasselbe Verwaltungsmodell verwenden. Der Cloud KMS-Schlüssel kann beispielsweise von Google verwaltet werden, der Cloud Storage-Bucket vom Kunden verwaltet werden kann und umgekehrt.
Von Google verwaltet
CA Service erstellt und konfiguriert die Ressourcen automatisch gemäß diesem Modell bei der CA-Erstellung und löscht die Ressourcen beim Löschen von CAs. Diese Ressourcen werden Ihnen nicht separat in Rechnung gestellt.
Neue Zertifizierungsstellen verwenden standardmäßig von Google verwaltete Cloud KMS-Schlüssel und Cloud Storage-Buckets. Sie können beim Erstellen einer Zertifizierungsstelle einen bestimmten Schlüsselalgorithmus für den von Google verwalteten Cloud KMS-Schlüssel auswählen. Von Google verwaltete Cloud KMS-Schlüssel werden nicht in verschiedenen Zertifizierungsstellen wiederverwendet.
Informationen zum Erstellen einer Root-Zertifizierungsstelle finden Sie unter Root-Zertifizierungsstelle erstellen. Informationen zum Erstellen einer untergeordneten Zertifizierungsstelle finden Sie unter Untergeordnete Zertifizierungsstelle erstellen. Eine Anleitung zur Auswahl eines Schlüsselalgorithmus finden Sie unter Schlüsselalgorithmus auswählen.
Vom Kunden verwaltet
Sie können vom Kunden verwaltete Ressourcen nur für Zertifizierungsstellen auf der Enterprise-Stufe erstellen. Sie müssen die vom Kunden verwalteten Ressourcen vor dem Erstellen der Zertifizierungsstelle erstellen und konfigurieren. Außerdem müssen Sie diese Ressourcen zu einem geeigneten Zeitpunkt löschen, nachdem die Zertifizierungsstelle gelöscht wurde. Nutzern werden diese Ressourcen direkt in Rechnung gestellt.
CA Service behandelt das Projekt als Sicherheitsgrenze für vom Kunden verwaltete Cloud KMS-Schlüssel. Angenommen, die Nutzerin Alice verwendet einen vom Kunden verwalteten Cloud KMS-Schlüssel, um eine Zertifizierungsstelle im Projekt test zu erstellen. Anschließend kann ein anderer Nutzer, Bob, denselben Cloud KMS-Schlüssel verwenden, um eine weitere Zertifizierungsstelle im selben Projekt zu erstellen. Alice benötigt Administratorzugriff auf den Schlüssel, um die erste Zertifizierungsstelle zu erstellen. Bob benötigt jedoch keinen Zugriff auf diesen Schlüssel, da Alice die Verwendung des Schlüssels durch den CA-Dienst im Projekt test bereits aktiviert hat.
Vorteile der Erstellung von vom Kunden verwalteten Ressourcen
Ein Vorteil dieses Modells besteht darin, dass Aufrufer eine direkte Kontrolle über diese Ressourcen haben. Aufrufer können Attribute wie die Zugriffsverwaltung direkt an die Anforderungen ihrer Organisation anpassen.
Zum Erstellen einer Zertifizierungsstelle mit vom Kunden verwalteten Ressourcen benötigt der Aufrufer Administratorzugriff auf diese Ressourcen, um den entsprechenden Zugriff auf den Zertifizierungsstellendienst zu gewähren. Weitere Informationen finden Sie unter CA-Dienst-Agent.
Speicherort von Cloud KMS-Schlüsseln
Sie müssen vom Kunden verwaltete Cloud KMS-Schlüssel am selben Standort wie Ihre CA Service-Ressourcen erstellen. Eine vollständige Liste der Standorte für CA Service finden Sie unter Standorte. Eine Liste der Standorte, an denen Cloud KMS-Ressourcen erstellt werden können, finden Sie unter Cloud KMS-Standorte.
Speicherort von Cloud Storage-Buckets
Sie müssen vom Kunden verwaltete Cloud Storage-Buckets an ungefähr demselben Speicherort wie Ihre CA Service-Ressourcen erstellen. Sie können den Cloud Storage-Bucket nicht außerhalb des Kontinents erstellen, auf dem Sie die CA Service-Ressourcen erstellt haben.
Wenn sich Ihre Zertifizierungsstelle beispielsweise in us-west1 befindet, können Sie die Cloud Storage-Buckets in einer beliebigen Region in den USA wie us-west1 oder us-east1, der Dual-Region-NAM4 und der multiregionalen US-Region erstellen.
Eine Liste der Standorte, an denen Cloud Storage-Ressourcen erstellt werden können, finden Sie unter Cloud Storage-Standorte.
Zugriff auf verwaltete Ressourcen
Jeder Nutzer mit der URL des in einem Cloud Storage-Bucket gehosteten CA-Zertifikats oder einer von der Zertifizierungsstelle veröffentlichten Zertifikatssperrlisten kann standardmäßig auf diese Ressourcen zugreifen. Wenn Sie den öffentlichen Zugriff auf Ihr CA-Zertifikat und die Zertifikatssperrliste verhindern möchten, fügen Sie das Projekt, das den Zertifizierungsstellenpool enthält, einem VPC Service Controls-Perimeter hinzu.
Durch Hinzufügen des Projekts, das den CA-Pool enthält, einem VPC Service Controls-Perimeter wird der von Google verwaltete Cloud Storage-Bucket dem Perimeter hinzugefügt. Der VPC Service Controls-Perimeter sorgt dafür, dass der Cloud Storage-Bucket nicht von außerhalb der genehmigten Netzwerke aufgerufen werden kann.
Clients innerhalb des Netzwerkperimeters können weiterhin ohne Authentifizierung auf Zertifikatssperrlisten und CA-Zertifikate zugreifen. Die Zugriffsanfragen von außerhalb des genehmigten Netzwerks schlagen fehl.
HTTP-basierte URLs für CA-Zertifikate und Zertifikatssperrlisten
CA-Zertifikate und Zertifikatssperrlisten sind aus folgenden Gründen auf HTTP-basierten URLs verfügbar:
Ein CA-Zertifikat, das in einem Cloud Storage-Bucket veröffentlicht wird, wird von Clients nicht im vorliegenden Zustand als vertrauenswürdig eingestuft. Die CA-Zertifikate sind Teil einer Zertifikatskette, die mit dem Zertifikat der Stamm-CA beginnt. Jedes Zertifikat in der Zertifikatskette wird von dem CA-Zertifikat signiert, das weiter oben in der Kette steht, um die Integrität des Zertifikats zu wahren. Daher bietet die Verwendung des HTTPS-Protokolls keinen zusätzlichen Vorteil.
Einige Clients lehnen HTTPS-basierte URLs bei der Validierung von Zertifikaten ab.
CA-Zertifikat und Zertifikatssperrlisten-Veröffentlichung für Zertifizierungsstellen in einem CA-Pool aktivieren
CA-Dienst aktiviert die Veröffentlichung von CA-Zertifikaten und Zertifikatssperrlisten standardmäßig für Cloud Storage-Buckets, wenn Sie einen neuen CA-Pool erstellen. Wenn Sie die Veröffentlichung von CA-Zertifikaten und Zertifikatssperrlisten beim Erstellen des CA-Pools deaktiviert haben und sie jetzt aktivieren möchten, können Sie der Anleitung in diesem Abschnitt folgen.
So aktivieren Sie die Veröffentlichung von CA-Zertifikaten und Zertifikatssperrlisten für alle Zertifizierungsstellen in einem CA-Pool:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf dem Tab CA-Pool-Manager auf den Namen des CA-Pools, den Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf Bearbeiten.
Klicken Sie unter Zulässige Schlüsselalgorithmen und Größen konfigurieren auf Weiter.
Klicken Sie unter Akzeptierte Methoden für Zertifikatsanfragen konfigurieren auf Weiter.
Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf die Ein-/Aus-Schaltfläche für CA-Zertifikat im Cloud Storage-Bucket für Zertifizierungsstellen in diesem Pool veröffentlichen.
Klicken Sie auf die Ein-/Aus-Schaltfläche für CRL in Cloud Storage-Bucket für Zertifizierungsstellen in diesem Pool veröffentlichen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert
Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.
Wenn Sie --publish-ca-cert aktivieren, schreibt CA Service das CA-Zertifikat jeder Zertifizierungsstelle in einen Cloud Storage-Bucket, dessen Pfad in der CA-Ressource angegeben ist. Die AIA-Erweiterung in allen ausgestellten Zertifikaten verweist auf die URL des Cloud Storage-Objekts, die das CA-Zertifikat enthält. Die Erweiterung des CRL Distribution Point (CDP) in allen ausgestellten Zertifikaten verweist auf die Cloud Storage-Objekt-URL, die die Zertifikatssperrliste enthält.
Weitere Informationen zum Aktivieren der CRL-Veröffentlichung zum Widerrufen von Zertifikaten finden Sie unter Zertifikate widerrufen.
Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privatecapools update.
CA-Zertifikat und Veröffentlichung von Zertifikatssperrlisten für Zertifizierungsstellen in einem CA-Pool deaktivieren
So deaktivieren Sie die Veröffentlichung von CA-Zertifikaten oder Zertifikatssperrlisten für alle Zertifizierungsstellen in einem CA-Pool:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf dem Tab CA-Pool-Manager auf den Namen des CA-Pools, den Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf Bearbeiten.
Klicken Sie unter Zulässige Schlüsselalgorithmen und Größen konfigurieren auf Weiter.
Klicken Sie unter Akzeptierte Methoden für Zertifikatsanfragen konfigurieren auf Weiter.
Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf die Ein-/Aus-Schaltfläche für CA-Zertifikat im Cloud Storage-Bucket für Zertifizierungsstellen in diesem Pool veröffentlichen.
Klicken Sie auf die Ein-/Aus-Schaltfläche für CRL in Cloud Storage-Bucket für Zertifizierungsstellen in diesem Pool veröffentlichen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert
Ersetzen Sie POOL_ID durch den Namen des Zertifizierungsstellenpools.
Durch das Deaktivieren von Verteilungspunkten werden der Cloud Storage-Bucket oder seine Berechtigungen nicht gelöscht und bereits dort gehostete CA-Zertifikate oder Zertifikatssperrlisten werden nicht entfernt. Dies bedeutet jedoch, dass zukünftige Zertifikatssperrlisten nicht mehr im Cloud Storage-Bucket veröffentlicht werden und zukünftige Zertifikate nicht mehr die AIA- und CDP-Erweiterungen enthalten.
Codierungsformat veröffentlichter CA-Zertifikate und Zertifikatssperrlisten aktualisieren
So aktualisieren Sie das Codierungsformat veröffentlichter CA-Zertifikate und Zertifikatssperrlisten:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf dem Tab CA-Pool-Manager auf den Namen des CA-Pools, den Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf Bearbeiten.
Klicken Sie unter Zulässige Schlüsselalgorithmen und Größen konfigurieren auf Weiter.
Klicken Sie unter Akzeptierte Methoden für Zertifikatsanfragen konfigurieren auf Weiter.
Klicken Sie unter Optionen für die Veröffentlichung konfigurieren auf das Drop-down-Menü für Codierungsformat für die Veröffentlichung.
Wählen Sie das Codierungsformat für die Veröffentlichung aus.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Ersetzen Sie Folgendes:
- POOL_ID: Der Name Ihres Zertifizierungsstellenpools.
- PUBLISHING_ENCODING_FORMAT: entweder
PEModerDER.
Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privatecapools update.
Nächste Schritte
- CA-Pools erstellen
- Root-Zertifizierungsstelle erstellen
- Untergeordnete Zertifizierungsstelle erstellen
- Untergeordnete Zertifizierungsstelle von einer externen Zertifizierungsstelle erstellen