Mengelola resource

Certificate authority (CA) yang dibuat melalui Certificate Authority Service mengandalkan dua jenis resource sekunder:

  • Versi kunci Cloud Key Management Service, yang digunakan untuk menandatangani sertifikat dan Daftar Pencabutan Sertifikat (CRL) yang dikeluarkan oleh CA. Untuk mengetahui informasi selengkapnya tentang versi kunci, lihat Versi kunci.
  • Bucket Cloud Storage, yang digunakan untuk menghosting sertifikat CA dan CRL apa pun yang dipublikasikan oleh CA, jika setelan ini diaktifkan. Untuk mengetahui informasi selengkapnya tentang bucket Cloud Storage, lihat Bucket.

Kedua resource ini harus ada untuk setiap CA, dan tidak dapat diubah setelah CA dibuat.

Model pengelolaan

CA Service mendukung dua model pengelolaan siklus proses untuk resource ini:

  • Dikelola Google
  • Dikelola pelanggan

Kunci Cloud KMS dan bucket Cloud Storage tidak perlu menggunakan model pengelolaan yang sama. Misalnya, kunci Cloud KMS dapat dikelola Google, dan bucket Cloud Storage dapat dikelola pelanggan, atau sebaliknya.

Dikelola Google

CA Service secara otomatis membuat dan mengonfigurasi resource dengan mengikuti model ini pada pembuatan CA, dan menghapus resource pada penghapusan CA. Anda tidak ditagih secara terpisah untuk resource ini.

Secara default, CA baru menggunakan kunci Cloud KMS yang dikelola Google dan bucket Cloud Storage. Anda dapat memilih algoritme kunci tertentu untuk kunci Cloud KMS yang dikelola Google saat membuat CA. Kunci Cloud KMS yang dikelola Google tidak digunakan kembali di seluruh CA.

Untuk informasi tentang cara membuat root CA, lihat Membuat root CA. Untuk mempelajari cara membuat CA subordinate, lihat Membuat CA subordinat. Untuk panduan dalam memilih algoritme kunci, lihat Memilih algoritma kunci.

Dikelola pelanggan

Anda dapat membuat resource yang dikelola pelanggan hanya untuk CA di tingkat Enterprise. Anda harus membuat dan mengonfigurasi resource yang dikelola pelanggan sebelum pembuatan CA. Selain itu, Anda harus menghapus resource ini pada waktu yang tepat setelah CA dihancurkan. Pengguna ditagih langsung untuk resource ini.

CA Service memperlakukan project sebagai batas keamanan untuk kunci Cloud KMS yang dikelola pelanggan. Misalnya, anggaplah pengguna Alice menggunakan kunci Cloud KMS yang dikelola pelanggan untuk membuat CA dalam project test. Kemudian, pengguna lain, Bob, dapat menggunakan kunci Cloud KMS yang sama untuk membuat CA lain dalam project yang sama. Meskipun Anisa perlu memiliki akses administrator pada kunci untuk membuat CA pertama, Bob tidak memerlukan akses apa pun ke kunci tersebut karena Anisa telah mengaktifkan penggunaan kunci tersebut oleh Layanan CA di project test.

Keuntungan membuat resource yang dikelola pelanggan

Salah satu keuntungan dari model ini adalah pemanggil memiliki kontrol langsung atas resource tersebut. Pemanggil dapat langsung memperbarui atribut seperti pengelolaan akses agar sesuai dengan persyaratan organisasi mereka.

Untuk membuat CA dengan resource yang dikelola pelanggan, pemanggil harus memiliki akses administratif atas resource tersebut, agar dapat memberikan akses yang sesuai ke CA Service. Untuk mengetahui informasi selengkapnya, lihat Agen Layanan CA.

Lokasi kunci Cloud KMS

Anda harus membuat kunci Cloud KMS yang dikelola pelanggan di lokasi yang sama dengan lokasi resource Layanan CA Anda. Untuk mengetahui daftar lengkap lokasi untuk CA Service, lihat Lokasi. Untuk mengetahui daftar lokasi tempat resource Cloud KMS dapat dibuat, lihat lokasi Cloud KMS.

Lokasi bucket Cloud Storage

Anda harus membuat bucket Cloud Storage yang dikelola pelanggan di lokasi yang kurang lebih sama dengan resource CA Service Anda. Anda tidak dapat membuat bucket Cloud Storage di luar benua tempat Anda membuat resource Layanan CA.

Misalnya, jika CA berada di us-west1, Anda dapat membuat bucket Cloud Storage di satu region mana pun di AS seperti us-west1 atau us-east1, NAM4 region ganda, dan US multi-region.

Untuk mengetahui daftar lokasi tempat resource Cloud Storage dapat dibuat, lihat lokasi Cloud Storage.

Akses ke resource terkelola

Siapa pun yang memiliki URL sertifikat CA yang dihosting di bucket Cloud Storage atau CRL apa pun yang dipublikasikan oleh CA dapat mengakses resource ini secara default. Untuk mencegah akses publik ke sertifikat CA dan CRL Anda, tambahkan project yang berisi kumpulan CA ke perimeter Kontrol Layanan VPC.

Dengan menambahkan project yang berisi kumpulan CA ke perimeter Kontrol Layanan VPC, bucket Cloud Storage yang dikelola Google akan bergabung ke perimeter. Perimeter Kontrol Layanan VPC memastikan bahwa bucket Cloud Storage tidak dapat diakses dari luar jaringan yang disetujui.

Klien dalam perimeter jaringan masih dapat mengakses CRL dan sertifikat CA tanpa autentikasi. Permintaan akses dari luar jaringan yang disetujui akan gagal.

URL berbasis HTTP untuk sertifikat CA dan CRL

Sertifikat CA dan CRL tersedia di URL berbasis HTTP karena alasan berikut:

  • Sertifikat CA yang dipublikasikan di bucket Cloud Storage seharusnya tidak dipercaya oleh klien apa adanya. Sertifikat CA adalah bagian dari rantai sertifikat, yang dimulai dengan sertifikat root CA. Setiap sertifikat dalam rantai sertifikat ditandatangani oleh sertifikat CA yang lebih tinggi dalam rantai untuk mempertahankan integritas sertifikat. Oleh karena itu, tidak ada keuntungan tambahan dari penggunaan protokol HTTPS.

  • Beberapa klien menolak URL berbasis HTTPS saat memvalidasi sertifikat.

Mengaktifkan publikasi CRL dan sertifikat CA untuk CA di kumpulan CA

CA Service memungkinkan publikasi CRL dan sertifikat CA ke bucket Cloud Storage secara default saat Anda membuat kumpulan CA baru. Jika Anda menonaktifkan publikasi CRL dan sertifikat CA saat membuat kumpulan CA dan ingin mengaktifkannya sekarang, Anda dapat mengikuti petunjuk di bagian ini.

Untuk mengaktifkan publikasi sertifikat CA dan publikasi CRL untuk semua CA dalam kumpulan CA, lakukan hal berikut:

Konsol

  1. Buka halaman Certificate Authority Service di Konsol Google Cloud.

    Buka Certificate Authority Service

  2. Di tab Pengelola kumpulan CA, klik nama kumpulan CA yang ingin Anda edit.

  3. Di halaman CA pool, klik Edit.

    Mengedit kumpulan CA yang ada menggunakan Cloud Console.

  4. Di bagian Konfigurasi algoritma dan ukuran kunci yang diizinkan, klik Berikutnya.

  5. Di bagian Konfigurasi metode permintaan sertifikat yang diterima, klik Berikutnya.

  6. Di bagian Configure publish options, klik tombol Publish CA certificate to Cloud Storage for CAs in this pool.

  7. Klik tombol Publikasikan CRL ke bucket Cloud Storage untuk CA di kumpulan ini.

gcloud

Jalankan perintah berikut:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Ganti POOL_ID dengan nama kumpulan CA.

Jika Anda mengaktifkan --publish-ca-cert, CA Service akan menulis setiap sertifikat CA CA ke bucket Cloud Storage, yang jalurnya ditentukan dalam resource CA. Ekstensi AIA di semua sertifikat yang diterbitkan mengarah ke URL objek Cloud Storage yang berisi sertifikat CA. Ekstensi CRL Distribution Point (CDP) di semua sertifikat yang diterbitkan mengarah ke URL objek Cloud Storage yang berisi CRL.

Untuk mempelajari lebih lanjut cara mengaktifkan publikasi CRL untuk mencabut sertifikat, lihat Mencabut sertifikat.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools update, lihat gcloud privateca pool update.

Menonaktifkan publikasi CRL dan sertifikat CA untuk CA dalam kumpulan CA

Untuk menonaktifkan publikasi sertifikat CA atau publikasi CRL untuk semua CA dalam kumpulan CA, lakukan hal berikut:

Konsol

  1. Buka halaman Certificate Authority Service di Konsol Google Cloud.

    Buka Certificate Authority Service

  2. Di tab Pengelola kumpulan CA, klik nama kumpulan CA yang ingin Anda edit.

  3. Di halaman CA pool, klik Edit.

  4. Di bagian Konfigurasi algoritma dan ukuran kunci yang diizinkan, klik Berikutnya.

  5. Di bagian Konfigurasi metode permintaan sertifikat yang diterima, klik Berikutnya.

  6. Di bagian Configure publish options, klik tombol Publish CA certificate to Cloud Storage for CAs in this pool.

  7. Klik tombol Publikasikan CRL ke bucket Cloud Storage untuk CA di kumpulan ini.

gcloud

Jalankan perintah berikut:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

Ganti POOL_ID dengan nama kumpulan CA.

Menonaktifkan titik distribusi tidak menghapus bucket Cloud Storage atau izinnya, dan tidak menghapus sertifikat CA atau CRL apa pun yang sudah dihosting di sana. Namun, hal ini berarti bahwa CRL mendatang tidak akan dipublikasikan lagi ke bucket Cloud Storage, dan sertifikat mendatang tidak akan memiliki ekstensi AIA dan CDP.

Memperbarui format encoding sertifikat CA dan CRL yang dipublikasikan

Untuk memperbarui format encoding sertifikat CA dan CRL yang dipublikasikan, lakukan langkah berikut:

Konsol

  1. Buka halaman Certificate Authority Service di Konsol Google Cloud.

    Buka Certificate Authority Service

  2. Di tab Pengelola kumpulan CA, klik nama kumpulan CA yang ingin Anda edit.

  3. Di halaman CA pool, klik Edit.

  4. Di bagian Konfigurasi algoritma dan ukuran kunci yang diizinkan, klik Berikutnya.

  5. Di bagian Konfigurasi metode permintaan sertifikat yang diterima, klik Berikutnya.

  6. Di bagian Konfigurasi opsi publikasi, klik menu drop-down untuk Format Encoding Publikasi.

  7. Pilih format encoding publikasi.

gcloud

Jalankan perintah berikut:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ganti kode berikut:

  • POOL_ID: Nama kumpulan CA Anda.
  • PUBLISHING_ENCODING_FORMAT: PEM atau DER.

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools update, lihat gcloud privateca pool update.

Langkah selanjutnya