Gerenciar recursos

As autoridades certificadoras (CAs) criadas com o Certificate Authority Service dependem de dois tipos de recursos secundários:

  • Uma versão de chave do Cloud Key Management Service, usada para assinar certificados e listas de revogação de certificados (CRLs) emitidos pela CA. Para mais informações sobre as versões de chave, consulte Versões de chave.
  • Um bucket do Cloud Storage, usado para hospedar um certificado de CA e todas as CRLs publicadas pela CA, se essas configurações estiverem ativadas. Para mais informações sobre os buckets do Cloud Storage, consulte Buckets.

Ambos os recursos precisam existir para cada CA e não podem ser alterados depois que a CA é criada.

Modelos de gerenciamento

O CA Service oferece suporte a dois modelos de gerenciamento de ciclo de vida para estes recursos:

  • Gerenciado pelo Google
  • Gerenciado pelo cliente

A chave do Cloud KMS e o bucket do Cloud Storage não precisam usar o mesmo modelo de gerenciamento. Por exemplo, a chave do Cloud KMS pode ser gerenciada pelo Google, e o bucket do Cloud Storage pode ser gerenciado pelo cliente ou vice-versa.

Gerenciado pelo Google

O CA Service cria e configura automaticamente os recursos seguindo esse modelo na criação da CA e exclui os recursos na exclusão da CA. Esses recursos não são cobrados separadamente.

Por padrão, as novas CAs usam chaves do Cloud KMS gerenciadas pelo Google e buckets do Cloud Storage. É possível escolher um algoritmo de chave específico para a chave do Cloud KMS gerenciada pelo Google ao criar uma CA. As chaves do Cloud KMS gerenciadas pelo Google não são reutilizadas em CAs.

Para informações sobre como criar uma CA raiz, consulte Criar uma CA raiz. Para saber como criar uma CA subordinada, consulte Criar uma CA subordinada. Para saber como escolher um algoritmo de chave, consulte Escolher um algoritmo de chave.

Gerenciado pelo cliente

É possível criar recursos gerenciados pelo cliente apenas para CAs no nível Enterprise. Antes de criar a CA, é necessário criar e configurar os recursos gerenciados pelo cliente. Além disso, exclua esses recursos em um momento adequado após a destruição da CA. Os usuários são cobrados diretamente por esses recursos.

O CA Service trata o projeto como o limite de segurança para as chaves do Cloud KMS gerenciadas pelo cliente. Por exemplo, considere que um usuário Alice usa uma chave do Cloud KMS gerenciada pelo cliente para criar uma CA no projeto test. Depois, outro usuário Beto pode usar a mesma chave do Cloud KMS para criar outra CA no mesmo projeto. Embora Alice precise ter acesso de administrador na chave para criar a primeira CA, Bob não precisa de acesso a essa chave porque Alice já ativou o uso da chave pelo serviço de CA no projeto test.

Vantagens de criar recursos gerenciados pelo cliente

Uma vantagem desse modelo é que os autores das chamadas têm controle direto sobre esses recursos. Os autores de chamadas podem atualizar diretamente atributos, como o gerenciamento de acesso, para atender aos requisitos organizacionais.

A criação de uma CA com recursos gerenciados pelo cliente exige que o autor da chamada tenha acesso administrativo a esses recursos para conceder o acesso adequado ao serviço de CA. Para mais informações, consulte Agente de serviço de CA.

Local das chaves do Cloud KMS

É preciso criar as chaves do Cloud KMS gerenciadas pelo cliente no mesmo local dos recursos do serviço de CA. Para ver a lista completa de locais para o serviço de CA, consulte Locais. Para conferir a lista de locais onde os recursos do Cloud KMS podem ser criados, consulte Locais do Cloud KMS.

Localização dos buckets do Cloud Storage

É preciso criar buckets do Cloud Storage gerenciados pelo cliente em aproximadamente o mesmo local que os recursos do serviço de AC. Não é possível criar o bucket do Cloud Storage fora do continente onde você criou os recursos de serviço de CA.

Por exemplo, se a CA estiver em us-west1, será possível criar os buckets do Cloud Storage em qualquer região dos EUA, como us-west1 ou us-east1, a birregional NAM4 e a multirregional US.

Para ver a lista de locais em que os recursos do Cloud Storage podem ser criados, consulte Locais do Cloud Storage.

Acesso aos recursos gerenciados

Qualquer pessoa que tenha o URL do certificado de CA hospedado em um bucket do Cloud Storage ou qualquer CRL publicada pela CA pode acessar esses recursos por padrão. Para impedir o acesso público ao certificado de CA e à CRL, adicione o projeto que contém o pool de ACs a um perímetro do VPC Service Controls.

Ao adicionar o projeto que contém o pool de ACs a um perímetro do VPC Service Controls, o bucket do Cloud Storage gerenciado pelo Google junta-se ao perímetro. O perímetro do VPC Service Controls garante que o bucket do Cloud Storage não seja acessado de fora das redes aprovadas.

Os clientes no perímetro da rede ainda podem acessar as CRLs e os certificados de CA sem autenticação. As solicitações de acesso de fora da rede aprovada falham.

URLs baseados em HTTP para certificados de CA e CRLs

Os certificados de CA e as CRLs estão disponíveis em URLs baseados em HTTP pelos seguintes motivos:

  • Um certificado de CA publicado em um bucket do Cloud Storage não deve ser confiável para os clientes no estado em que se encontra. Os certificados de CA fazem parte de uma cadeia de certificados, que começa com o certificado da CA raiz. Cada certificado na cadeia de certificados é assinado pelo certificado de CA que está em uma posição superior na cadeia para preservar a integridade do certificado. Portanto, não há vantagem adicional de usar o protocolo HTTPS.

  • Alguns clientes rejeitam URLs baseados em HTTPS ao validar certificados.

Ativar a publicação do certificado de CA e da CRL para CAs em um pool de CAs

O serviço de CA permite a publicação do certificado de CA e da CRL em buckets do Cloud Storage por padrão quando você cria um novo pool de CA. Se você desativou a publicação de certificado de CA e de CRL durante a criação do pool de ACs e quer ativá-las agora, siga as instruções nesta seção.

Para ativar a publicação de certificados de CA e de CRL para todas as CAs em um pool de ACs, faça o seguinte:

Console

  1. Acesse a página Certificate Authority Service no console do Google Cloud.

    Acessar o Certificate Authority Service (em inglês)

  2. Na guia Gerenciador de pools de CAs, clique no nome do pool de ACs que você quer editar.

  3. Na página Pool de CAs, clique em Editar.

    Edite um pool de CAs usando o console do Cloud.

  4. Em Configurar algoritmos e tamanhos de chave permitidos, clique em Próxima.

  5. Em Configurar os métodos de solicitação de certificado aceitos, clique em Próxima.

  6. Em Configurar opções de publicação, clique no botão de alternância Publicar certificado de CA no bucket do Cloud Storage para CAs neste pool.

  7. Clique no botão de alternância Publicar CRL no bucket do Cloud Storage para CAs neste pool.

gcloud

Execute este comando:

gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert

Substitua POOL_ID pelo nome do pool de ACs.

Se você ativar --publish-ca-cert, o serviço de CA vai gravar o certificado de CA de cada AC em um bucket do Cloud Storage com o caminho especificado no recurso da AC. A extensão AIA em todos os certificados emitidos aponta para o URL do objeto do Cloud Storage que contém o certificado de CA. A extensão CRL (CDP) em todos os certificados emitidos aponta para o URL do objeto do Cloud Storage que contém a CRL.

Para saber mais sobre como ativar a publicação da CRL para revogar certificados, consulte Como revogar certificados.

Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.

Desativar a publicação do certificado de CA e da CRL para CAs em um pool de CAs

Para desativar a publicação de certificados de CA ou de CRL para todas as CAs em um pool de CAs, faça o seguinte:

Console

  1. Acesse a página Certificate Authority Service no console do Google Cloud.

    Acessar o Certificate Authority Service (em inglês)

  2. Na guia Gerenciador de pools de CAs, clique no nome do pool de ACs que você quer editar.

  3. Na página Pool de CAs, clique em Editar.

  4. Em Configurar algoritmos e tamanhos de chave permitidos, clique em Próxima.

  5. Em Configurar os métodos de solicitação de certificado aceitos, clique em Próxima.

  6. Em Configurar opções de publicação, clique no botão de alternância Publicar certificado de CA no bucket do Cloud Storage para CAs neste pool.

  7. Clique no botão de alternância Publicar CRL no bucket do Cloud Storage para CAs neste pool.

gcloud

Execute este comando:

gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert

Substitua POOL_ID pelo nome do pool de ACs.

Desativar os pontos de distribuição não exclui o bucket do Cloud Storage ou as permissões dele nem remove quaisquer certificados de CA ou CRLs que já estejam hospedados lá. No entanto, isso significa que futuras CRLs não serão mais publicadas no bucket do Cloud Storage e que os certificados futuros não terão as extensões AIA e CDP.

Atualizar o formato de codificação de certificados de CA e CRLs publicados

Para atualizar o formato de codificação de certificados de CA e CRLs publicados, faça o seguinte:

Console

  1. Acesse a página Certificate Authority Service no console do Google Cloud.

    Acessar o Certificate Authority Service (em inglês)

  2. Na guia Gerenciador de pools de CAs, clique no nome do pool de ACs que você quer editar.

  3. Na página Pool de CAs, clique em Editar.

  4. Em Configurar algoritmos e tamanhos de chave permitidos, clique em Próxima.

  5. Em Configurar os métodos de solicitação de certificado aceitos, clique em Próxima.

  6. Em Configurar opções de publicação, clique no menu suspenso Formato de codificação de publicação.

  7. Selecione o formato de codificação de publicação.

gcloud

Execute este comando:

gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Substitua:

  • POOL_ID: o nome do pool de ACs.
  • PUBLISHING_ENCODING_FORMAT: PEM ou DER.

Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.

A seguir