Gestione risorse

Le autorità di certificazione (CA) create tramite Certificate Authority Service si basano su due tipi di risorse secondarie:

• Una versione della chiave di Cloud Key Management Service, utilizzata per firmare i certificati e gli elenchi revoche di certificati (CRL) emessi dalla CA. Per saperne di più sulle versioni della chiave, consulta Versioni della chiave.
• Un bucket Cloud Storage, utilizzato per ospitare un certificato CA ed eventuali CRL pubblicati dalla CA, se queste impostazioni sono abilitate. Per saperne di più sui bucket Cloud Storage, consulta Bucket.

Entrambe queste risorse devono esistere per ogni CA e non possono essere modificate dopo la creazione della CA.

Modelli di gestione

CA Service supporta due modelli di gestione del ciclo di vita per queste risorse:

• Gestita da Google
• Gestita dal cliente

Per la chiave Cloud KMS e il bucket Cloud Storage non è necessario utilizzare lo stesso modello di gestione. Ad esempio, la chiave Cloud KMS può essere gestita da Google e il bucket Cloud Storage può essere gestito dal cliente o viceversa.

Gestita da Google

CA Service crea e configura automaticamente le risorse in base a questo modello al momento della creazione della CA ed elimina le risorse al momento dell'eliminazione della CA. Non ti verrà addebitato separatamente alcun importo per queste risorse.

Per impostazione predefinita, le nuove CA utilizzano chiavi Cloud KMS gestite da Google e bucket Cloud Storage. Durante la creazione di una CA, puoi scegliere un algoritmo specifico per la chiave Cloud KMS gestita da Google. Le chiavi Cloud KMS gestite da Google non vengono riutilizzate in più CA.

Per informazioni sulla creazione di una CA radice, consulta Creare una CA radice. Per informazioni su come creare una CA subordinata, consulta Creare una CA subordinata. Per indicazioni sulla scelta di un algoritmo chiave, consulta Scegliere un algoritmo chiave.

Gestita dal cliente

Puoi creare risorse gestite dal cliente solo per le CA nel livello Enterprise. Devi creare e configurare le risorse gestite dal cliente prima di creare la CA. Inoltre, devi eliminare queste risorse al momento opportuno dopo l'eliminazione della CA. Gli utenti ricevono un addebito diretto per queste risorse.

Il servizio CA considera il progetto come il confine di sicurezza per le chiavi Cloud KMS gestite dal cliente. Ad esempio, supponiamo che un utente Alice utilizzi una chiave Cloud KMS gestita dal cliente per creare una CA nel progetto test. Quindi, un altro utente, Roberto, può utilizzare la stessa chiave Cloud KMS per creare un'altra CA nello stesso progetto. Anche se Alice deve disporre dell'accesso amministrativo alla chiave per creare la prima CA, Roberto non ha bisogno di alcun accesso a quella chiave perché Alice ha già attivato l'utilizzo della chiave da parte di CA Service nel progetto test.

Vantaggi della creazione di risorse gestite dal cliente

Un vantaggio di questo modello è che i chiamanti hanno il controllo diretto su queste risorse. I chiamanti possono aggiornare direttamente attributi come la gestione degli accessi per adattarli ai loro requisiti organizzativi.

La creazione di una CA con risorse gestite dal cliente richiede che il chiamante disponga dell'accesso amministrativo a queste risorse per concedere l'accesso appropriato al servizio CA. Per ulteriori informazioni, consulta Agente di servizio CA.

Località delle chiavi Cloud KMS

Devi creare chiavi Cloud KMS gestite dal cliente nella stessa località delle risorse del servizio CA. Per l'elenco completo delle località per CA Service, vedi Località. Per l'elenco delle località in cui è possibile creare le risorse Cloud KMS, vedi Località di Cloud KMS.

Località dei bucket Cloud Storage

Devi creare bucket Cloud Storage gestiti dal cliente all'incirca nella stessa località delle risorse del servizio CA. Non puoi creare il bucket Cloud Storage al di fuori del continente in cui hai creato le risorse del servizio CA.

Ad esempio, se la tua CA è in us-west1, puoi creare i bucket Cloud Storage in qualsiasi singola regione degli Stati Uniti, come us-west1 o us-east1, NAM4 a due regioni e US a più regioni.

Per l'elenco delle località in cui è possibile creare le risorse di Cloud Storage, consulta le località di Cloud Storage.

Accesso alle risorse gestite

Chiunque abbia l'URL del certificato CA ospitato in un bucket Cloud Storage o qualsiasi elenco revoche certificati pubblicato dalla CA può accedere a queste risorse per impostazione predefinita. Per impedire l'accesso pubblico al certificato CA e al CRL, aggiungi il progetto che contiene il pool di CA a un perimetro dei Controlli di servizio VPC.

Aggiungendo il progetto contenente il pool di CA a un perimetro dei Controlli di servizio VPC, il bucket Cloud Storage gestito da Google entra a far parte del perimetro. Il perimetro dei Controlli di servizio VPC assicura che non sia possibile accedere al bucket Cloud Storage dall'esterno delle reti approvate.

I client all'interno del perimetro di rete possono comunque accedere ai CRL e ai certificati CA senza autenticazione. Le richieste di accesso dall'esterno della rete approvata non vanno a buon fine.

URL basati su HTTP per certificati CA e CRL

I certificati CA e i CRL sono disponibili per gli URL basati su HTTP per i seguenti motivi:

• Un certificato CA pubblicato in un bucket Cloud Storage non deve essere considerato attendibile dai client così com'è. I certificati CA fanno parte di una catena di certificati, che inizia con il certificato della CA radice. Ogni certificato nella catena di certificati è firmato dal certificato CA di livello superiore nella catena, per preservarne l'integrità. Quindi, non c'è alcun vantaggio aggiuntivo nell'uso del protocollo HTTPS.

• Alcuni client rifiutano gli URL basati su HTTPS durante la convalida dei certificati.

Abilita la pubblicazione del certificato CA e dei CRL per le CA in un pool di CA

Il servizio CA abilita la pubblicazione del certificato CA e dei CRL nei bucket Cloud Storage per impostazione predefinita quando crei un nuovo pool di CA. Se hai disabilitato la pubblicazione di certificati CA e CRL durante la creazione del pool di CA e vuoi abilitarli ora, puoi seguire le istruzioni in questa sezione.

Per abilitare la pubblicazione dei certificati CA e dei CRL per tutte le CA in un pool di CA:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Per ulteriori informazioni sul comando gcloud privateca pools update, vedi gcloud privateca pool update.

Disabilita la pubblicazione del certificato CA e dei CRL per le CA in un pool di CA

Per disabilitare la pubblicazione del certificato CA o dei CRL per tutte le CA in un pool di CA:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

La disabilitazione dei punti di distribuzione non elimina il bucket Cloud Storage o le relative autorizzazioni e non rimuove i certificati CA o CRL già ospitati lì. Tuttavia, ciò significa che i CRL futuri non saranno più pubblicati nel bucket Cloud Storage e i certificati futuri non avranno le estensioni AIA e CDP.

Aggiorna il formato di codifica dei certificati CA pubblicati e dei CRL

Per aggiornare il formato di codifica dei certificati CA e dei CRL pubblicati, procedi nel seguente modo:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Per ulteriori informazioni sul comando gcloud privateca pools update, vedi gcloud privateca pool update.

Passaggi successivi

• Scopri come creare pool di CA.
• Scopri come creare una CA principale.
• Scopri come creare una CA subordinata.
• Scopri come creare una CA subordinata da una CA esterna.