Gestisci risorse

Le autorità di certificazione (CA) create tramite Certificate Authority Service si basano su due tipi di risorse secondari:

  • Una versione della chiave di Cloud Key Management Service, utilizzata per firmare certificati e Elenchi di revoche di certificati (CRL) emessi dall'autorità di certificazione. Per saperne di più sulle versioni della chiave, consulta Versioni della chiave.
  • Un bucket Cloud Storage, utilizzato per ospitare un certificato CA. Eventuali CRL pubblicati dalla CA, se queste impostazioni sono abilitate. Per ulteriori informazioni sui bucket Cloud Storage, consulta Bucket.

Entrambe queste risorse devono esistere per ogni CA e non possono essere modificate dopo viene creata la CA.

Modelli di gestione

Il servizio CA supporta due modelli di gestione del ciclo di vita per queste risorse:

  • Gestita da Google
  • Gestita dal cliente

Non è necessario che la chiave Cloud KMS e il bucket Cloud Storage usano lo stesso modello di gestione. Ad esempio, la chiave Cloud KMS può essere gestito da Google e il bucket Cloud Storage può essere gestito dal cliente, oppure come spostarsi.

Gestita da Google

CA Service crea e configura automaticamente le risorse seguendo questo modello alla creazione della CA ed elimina le risorse al momento dell'eliminazione della CA. Non ti vengono addebitati costi separati per queste risorse.

Per impostazione predefinita, le nuove CA utilizzano le chiavi Cloud KMS gestite da Google di archiviazione dei bucket Cloud Storage. Puoi scegliere un algoritmo chiave specifico per Chiave Cloud KMS gestita da Google durante la creazione di una CA. Le chiavi Cloud KMS gestite da Google non vengono riutilizzate nelle CA.

Per informazioni sulla creazione di una CA radice, consulta Creare una CA radice. Per scoprire come creare una CA subordinata, consulta Creare una CA subordinata. Per indicazioni sulla scelta di un algoritmo chiave, consulta Scegli un algoritmo chiave.

Gestita dal cliente

Puoi creare risorse gestite dal cliente solo per le CA nel livello Enterprise. Devi creare e gestire e configurare le risorse gestite dal cliente prima della creazione della CA. Inoltre, devi eliminare queste risorse al momento giusto dopo che la CA distrutte. Agli utenti vengono addebitati direttamente i costi per queste risorse.

Il servizio CA tratta il progetto come il confine di sicurezza per le chiavi Cloud KMS gestite dal cliente. Ad esempio, supponiamo che un utente Alice utilizzi una chiave Cloud KMS gestita dal cliente per creare una CA nel progetto test. Successivamente, un altro utente Roberto può utilizzare la stessa chiave Cloud KMS per creare un'altra CA nello stesso progetto. Anche se Alice deve disporre dell'accesso amministrativo alla chiave per creare la prima CA, Roberto non ha bisogno di accedere a quella chiave perché Alice ha già abilitato l'utilizzo della chiave da parte del servizio CA nel progetto test.

Vantaggi della creazione di risorse gestite dal cliente

Un vantaggio di questo modello è che i chiamanti hanno il controllo diretto su queste risorse. I chiamanti possono aggiornare direttamente attributi come la gestione degli accessi i requisiti organizzativi.

Per creare una CA con risorse gestite dal cliente è necessario che il chiamante abbia nonché l'accesso amministrativo a tali risorse, in modo da concedere l'accesso a CA Service. Per ulteriori informazioni, consulta Agente di servizio CA.

Posizione delle chiavi Cloud KMS

Devi creare chiavi Cloud KMS gestite dal cliente nella stessa località delle risorse del servizio CA. Per l'elenco completo delle località per CA Service, vedi Località. Per l'elenco delle località in cui è possibile creare le risorse Cloud KMS, vedi Località di Cloud KMS.

Località dei bucket Cloud Storage

Devi creare bucket Cloud Storage gestiti dal cliente nella stessa località delle risorse del servizio CA. Tu non puoi creare il bucket Cloud Storage al di fuori del continente in cui si trova ha creato le risorse del servizio CA.

Ad esempio, se la tua CA si trova in us-west1, puoi creare il nei bucket Cloud Storage in qualsiasi singola regione degli Stati Uniti, ad esempio us-west1 o us-east1, NAM4 a due regioni e US (più regioni).

Per l'elenco delle località in cui Cloud Storage possono essere create, consulta Località Cloud Storage.

Accesso alle risorse gestite

Per impostazione predefinita, chiunque disponga dell'URL del certificato CA ospitato su un bucket Cloud Storage o di eventuali CRL pubblicati dalla CA può accedere a queste risorse. Per impedire l'accesso pubblico al certificato CA e alla CRL, aggiungi il progetto contenente il pool di CA a un perimetro di Controlli di servizio VPC.

Aggiungendo il progetto contenente il pool di CA a un perimetro Controlli di servizio VPC, il bucket Cloud Storage gestito da Google entra nel perimetro. Il perimetro Controlli di servizio VPC garantisce che non sia possibile accedere al bucket Cloud Storage dall'esterno delle reti approvate.

I client all'interno del perimetro della rete possono comunque accedere ai CRL e alle CA certificati senza autenticazione. Le richieste di accesso dall'esterno una rete approvata non riesce.

URL basati su HTTP per certificati CA e CRL

I certificati CA e CRL sono disponibili negli URL basati su HTTP per: motivi:

  • Un certificato CA pubblicato in un bucket Cloud Storage non deve essere considerato attendibile dai client così com'è. I certificati CA fanno parte di una catena di certificati, che inizia con il certificato della CA radice. Ciascuna nella catena di certificati sia firmato dal certificato CA che più in alto nella catena per preservare l'integrità del certificato. Pertanto, non c'è alcun vantaggio aggiuntivo nell'utilizzo del protocollo HTTPS.

  • Alcuni client rifiutano gli URL basati su HTTPS durante la convalida dei certificati.

Abilita la pubblicazione di certificati CA e CRL per le CA in un pool di CA

Quando crei un nuovo pool di CA, per impostazione predefinita il servizio CA abilita la pubblicazione del certificato CA e dell'elenco revoche certificati nei bucket Cloud Storage. Se ha disabilitato la pubblicazione del certificato CA e dell'elenco revoche certificati durante la creazione del pool di CA e vuoi per attivarle ora, puoi seguire le istruzioni riportate in questa sezione.

Per attivare la pubblicazione di certificati CA e di CRL per tutte le CA in una CA pool, segui questi passaggi:

Console

  1. Vai alla pagina Certificate Authority Service nella console Google Cloud.

    Vai a Certificate Authority Service

  2. Nella scheda Gestore del pool di CA, fai clic sul nome del pool di CA desiderato per modificare.

  3. Nella pagina Pool di CA, fai clic su Modifica.

    Modifica un pool di CA esistente utilizzando la console Cloud.

  4. In Configura gli algoritmi e le dimensioni della chiave consentiti, fai clic su Avanti.

  5. In Configura i metodi di richiesta di certificato accettati, fai clic su Avanti.

  6. In Configura opzioni di pubblicazione, fai clic sul pulsante di attivazione/disattivazione per Pubblica CA al bucket Cloud Storage per le CA in questo pool.

  7. Fai clic sul pulsante di attivazione/disattivazione per Pubblica CRL nel bucket Cloud Storage per le CA in questo pool.

gcloud

Esegui questo comando:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Sostituisci POOL_ID con il nome del pool di CA.

Se attivi --publish-ca-cert, il servizio CA scrive il certificato CA di ogni CA in un bucket Cloud Storage, il cui percorso è specificato nella risorsa CA. L'estensione AIA in tutti i certificati emessi rimanda allo URL dell'oggetto Cloud Storage che contiene il certificato CA. CRL L'estensione Distribution Point (CDP) in tutti i certificati emessi rimanda a l'URL dell'oggetto Cloud Storage che contiene il CRL.

Per scoprire di più sull'abilitazione della pubblicazione di CRL per la revoca dei certificati, vedi Revoca dei certificati.

Per maggiori informazioni sul comando gcloud privateca pools update, consulta gcloud privateca pool update.

Disattivare la pubblicazione del certificato CA e dell'elenco revoche certificati (CRL) per le CA in un pool di CA

Per disabilitare la pubblicazione di certificati CA o CRL per tutte le CA in un Pool di CA, segui questi passaggi:

Console

  1. Vai alla pagina Certificate Authority Service nella console Google Cloud.

    Vai a Certificate Authority Service

  2. Nella scheda Gestore pool di CA, fai clic sul nome del pool di CA che vuoi modificare.

  3. Nella pagina Pool di CA, fai clic su Modifica.

  4. In Configura gli algoritmi e le dimensioni della chiave consentiti, fai clic su Avanti.

  5. In Configura i metodi di richiesta di certificato accettati, fai clic su Avanti.

  6. In Configura opzioni di pubblicazione, fai clic sul pulsante di attivazione/disattivazione per Pubblica CA al bucket Cloud Storage per le CA in questo pool.

  7. Fai clic sul pulsante di attivazione/disattivazione per Pubblica CRL nel bucket Cloud Storage per le CA in questo pool.

gcloud

Esegui questo comando:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

Sostituisci POOL_ID con il nome del pool di CA.

La disattivazione dei punti di distribuzione non comporta l'eliminazione del bucket Cloud Storage o delle relative autorizzazioni e non rimuove i certificati CA o gli elenchi revoche certificati già ospitati al suo interno. Tuttavia, ciò significa che i futuri CRL non saranno più nel bucket Cloud Storage e i certificati futuri non saranno le estensioni AIA e CDP.

Aggiorna il formato di codifica dei certificati CA e degli elenchi CRL pubblicati

Per aggiornare il formato di codifica dei certificati CA e CRL pubblicati, segui questi passaggi:

Console

  1. Vai alla pagina Certificate Authority Service nella console Google Cloud.

    Vai a Certificate Authority Service

  2. Nella scheda Gestore del pool di CA, fai clic sul nome del pool di CA desiderato per modificare.

  3. Nella pagina Pool di CA, fai clic su Modifica.

  4. In Configura gli algoritmi e le dimensioni della chiave consentiti, fai clic su Avanti.

  5. In Configura i metodi di richiesta di certificato accettati, fai clic su Avanti.

  6. In Configura opzioni di pubblicazione, fai clic sul menu a discesa per Formato di codifica di pubblicazione.

  7. Seleziona il formato di codifica di pubblicazione.

gcloud

Esegui questo comando:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Sostituisci quanto segue:

  • POOL_ID: il nome del pool di CA.
  • PUBLISHING_ENCODING_FORMAT: PEM o DER.

Per maggiori informazioni sul comando gcloud privateca pools update, consulta gcloud privateca pool update.

Passaggi successivi