Administrar recursos

Las autoridades certificadas (CA) creadas a través de Certificate Authority Service se basan en dos tipos de recursos secundarios:

• Una versión de clave de Cloud Key Management Service, que se usa para firmar certificados y listas de revocación de certificados (CRL) que emite la AC. Para obtener más información sobre las versiones de clave, consulta Versiones de claves.
• Un bucket de Cloud Storage, que se usa para alojar un certificado de AC y cualquier CRL que publique la AC, si esta configuración está habilitada Para obtener más información sobre los buckets de Cloud Storage, consulta Buckets.

Ambos recursos deben existir para cada AC y no se pueden cambiar después de crear la AC.

Modelos de administración

CA Service admite dos modelos de administración del ciclo de vida para estos recursos:

• Administrada por Google
• Administrada por el cliente

No es necesario que la clave de Cloud KMS y el bucket de Cloud Storage usen el mismo modelo de administración. Por ejemplo, la clave de Cloud KMS se puede administrar por Google, y el bucket de Cloud Storage se puede administrar por el cliente, o viceversa.

Administrada por Google

El Servicio de CA crea y configura automáticamente los recursos que siguen este modelo cuando se crea la AC, y borra los recursos cuando se borra la AC. No se te facturará por separado por estos recursos.

De forma predeterminada, las AC nuevas usan claves de Cloud KMS y buckets de Cloud Storage administrados por Google. Puedes elegir un algoritmo de clave específico para la clave de Cloud KMS administrada por Google mientras creas una CA. Las claves de Cloud KMS administradas por Google no se reutilizan en las AC.

Para obtener información sobre cómo crear una AC raíz, consulta Crea una AC raíz. Para aprender a crear una AC subordinada, consulta Crea una AC subordinada. Consulta Elige un algoritmo de clave para obtener orientación sobre la elección de un algoritmo de clave.

Administrada por el cliente

Puedes crear recursos administrados por el cliente solo para las CA en el nivel empresarial. Debes crear y configurar los recursos administrados por el cliente antes de crear la CA. Además, debes borrar estos recursos en un momento apropiado después de que se destruya la CA. Estos recursos se facturan directamente a los usuarios.

El servicio de CA trata el proyecto como el límite de seguridad de las claves de Cloud KMS administradas por el cliente. Por ejemplo, considera que un usuario Alice usa una clave de Cloud KMS administrada por el cliente para crear una CA en el proyecto test. Luego, otro usuario Bob puede usar la misma clave de Cloud KMS para crear otra AC en el mismo proyecto. Si bien Alice debe tener acceso de administrador a la clave para crear la primera AC, Bob no necesita ningún tipo de acceso a esa clave porque Alice ya habilitó el uso de la clave por parte de CA Service en el proyecto test.

Ventajas de crear recursos administrados por el cliente

Una ventaja de este modelo es que los emisores tienen control directo sobre esos recursos. Los emisores pueden actualizar directamente atributos como la administración de accesos para que se ajusten a los requisitos de la organización.

Crear una CA con recursos administrados por el cliente requiere que el emisor tenga acceso de administrador a esos recursos para otorgar el acceso adecuado al Servicio de CA. Para obtener más información, consulta el agente de servicio de CA Service.

Ubicación de las claves de Cloud KMS

Debes crear claves de Cloud KMS administradas por el cliente en la misma ubicación de tus recursos de CA Service. Para obtener la lista completa de ubicaciones de CA Service, consulta Ubicaciones. Consulta las ubicaciones de Cloud KMS para ver la lista de ubicaciones en las que se pueden crear los recursos de Cloud KMS.

Ubicación de los buckets de Cloud Storage

Debes crear buckets de Cloud Storage administrados por el cliente en casi la misma ubicación que tus recursos de CA Service. No puedes crear el bucket de Cloud Storage fuera del continente en el que creaste los recursos de CA Service.

Por ejemplo, si tu CA está en us-west1, puedes crear los buckets de Cloud Storage en cualquier región individual de EE.UU., como us-west1 o us-east1, la región doble NAM4 y la US multirregional.

Para ver la lista de ubicaciones en las que se pueden crear los recursos de Cloud Storage, consulta Ubicaciones de Cloud Storage.

Acceso a los recursos administrados

Cualquier persona que tenga la URL del certificado de AC alojada en un bucket de Cloud Storage o cualquier CRL publicada por la AC puede acceder a estos recursos de forma predeterminada. Para evitar el acceso público a tu certificado de AC y CRL, agrega el proyecto que contiene el grupo de AC a un perímetro de los Controles del servicio de VPC.

Cuando se agrega el proyecto que contiene el grupo de CA a un perímetro de los Controles del servicio de VPC, el bucket de Cloud Storage administrado por Google se une al perímetro. El perímetro de los Controles del servicio de VPC garantiza que no se pueda acceder al bucket de Cloud Storage desde fuera de las redes aprobadas.

Los clientes dentro del perímetro de la red aún pueden acceder a las CRL y a los certificados de CA sin autenticación. Las solicitudes de acceso desde fuera de la red aprobada fallan.

URLs basadas en HTTP para certificados de CA y CRL

Los certificados de la AC y las CRL están disponibles en las URL basadas en HTTP por los siguientes motivos:

• Los clientes no deben confiar en un certificado de CA publicado en un bucket de Cloud Storage tal como está. Los certificados de la AC son parte de una cadena de certificados, que comienza con el certificado de la AC raíz. Cada certificado de la cadena de certificados está firmado por el certificado de la AC que está más arriba en la cadena para preservar la integridad del certificado. Por lo tanto, no hay ninguna ventaja adicional de usar el protocolo HTTPS.

• Algunos clientes rechazan las URLs basadas en HTTPS mientras validan los certificados.

Habilitar la publicación de la CRL y el certificado de CA para las CA en un grupo de CA

El servicio de CA habilita la publicación de la CRL y el certificado de CA en los buckets de Cloud Storage de forma predeterminada cuando creas un grupo de CA nuevo. Si inhabilitaste la publicación del certificado de la AC y de la CRL mientras creaste el grupo de AC y deseas habilitarlos ahora, puedes seguir las instrucciones de esta sección.

Si quieres habilitar la publicación de certificados de CA y de CRL para todas las CA en un grupo de CA, haz lo siguiente:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Para obtener más información sobre el comando gcloud privateca pools update, consulta Actualización de grupos de gcloud privateca.

Inhabilitación del certificado de CA y la publicación de CRL para las CA en un grupo de CA

Si quieres inhabilitar la publicación de certificados de CA o de CRL para todas las CA en un grupo de CA, haz lo siguiente:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

Inhabilitar los puntos de distribución no borra el bucket de Cloud Storage ni sus permisos, ni quita los certificados de CA o las CRL que ya se alojan allí. Sin embargo, significa que las CRL futuras ya no se publicarán en el bucket de Cloud Storage, y los certificados futuros no tendrán las extensiones de AIA ni de CDP.

Actualizar el formato de codificación de las CRL y los certificados de la AC publicados

Para actualizar el formato de codificación de los certificados de la AC y las CRL publicados, haz lo siguiente:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Para obtener más información sobre el comando gcloud privateca pools update, consulta Actualización de grupos de gcloud privateca.

¿Qué sigue?

• Aprende a crear grupos de CA.
• Aprende a crear una AC raíz.
• Obtén más información sobre cómo crear una AC subordinada.
• Obtén más información sobre cómo crear una AC subordinada a partir de una AC externa.