Certificate Authority Service – Übersicht

Certificate Authority Service (CA Service) ist ein hochskalierbarer Google Cloud-Dienst, mit dem Sie die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen und automatisieren können. Private Zertifizierungsstellen stellen digitale Zertifikate aus, die Entitätsidentität, Ausstelleridentität und kryptografische Signaturen enthalten. Private Zertifikate sind eine der gängigsten Methoden zur Authentifizierung von Nutzern, Maschinen oder Diensten über Netzwerke. Private Zertifikate werden häufig in DevOps-Umgebungen verwendet, um Container, Mikrodienste, virtuelle Maschinen und Dienstkonten zu schützen.

Mit CA Service haben Sie folgende Möglichkeiten:

  • Benutzerdefinierte Stamm- und untergeordnete Zertifizierungsstellen erstellen
  • Geben Sie das Subjekt, den Schlüsselalgorithmus und den Standort der Zertifizierungsstelle an.
  • Wählen Sie die Region einer untergeordneten Zertifizierungsstelle unabhängig von der Region der Stammzertifizierungsstelle aus.
  • Wiederverwendbare und parametrisierte Vorlagen für gängige Szenarien zur Ausstellung von Zertifikaten erstellen
  • Verwenden Sie Ihre eigene Stamm-CA und konfigurieren Sie andere CAs so, dass sie mit der vorhandenen Stamm-CA verknüpft werden, die lokal oder anderswo außerhalb von Google Cloud ausgeführt wird.
  • Speichern Sie Ihre privaten CA-Schlüssel mit Cloud HSM. Dieser Dienst entspricht FIPS 140-2 Level 3 und ist in mehreren Regionen in Amerika, Europa und dem asiatisch-pazifischen Raum verfügbar.
  • Cloud-Audit-Logs liefern Ihnen Logs, aus denen Sie genau ersehen können, wer was wann und wo getan hat.
  • Definieren Sie detaillierte Zugriffssteuerungen mit Identity and Access Management (IAM) und virtuelle Sicherheitsbereiche mit VPC Service Controls.
  • Sie können große Mengen von Zertifikaten verwalten, da der CA-Dienst die Ausstellung von bis zu 25 Zertifikaten pro Sekunde und CA (DevOps-Stufe) unterstützt. Das bedeutet, dass jede Zertifizierungsstelle Millionen von Zertifikaten ausstellen kann. Sie können mehrere Zertifizierungsstellen hinter einem einzigen Ausstell-Endpunkt erstellen, der als CA-Pool bezeichnet wird, und die eingehenden Zertifikatsanfragen auf alle Zertifizierungsstellen verteilen. Mit dieser Funktion können Sie bis zu 100 Zertifikate pro Sekunde ausstellen.
  • Sie können private Zertifizierungsstellen so verwalten, automatisieren und einbinden, wie es für Sie am praktischsten ist: über APIs, die Google Cloud CLI, die Google Cloud Console oder Terraform.

Anwendungsfälle für Zertifikate

Sie können Ihre privaten Zertifizierungsstellen verwenden, um Zertifikate für die folgenden Anwendungsfälle auszustellen:

  • Integrität der Softwarelieferkette und Codeidentität: Codesignatur, Authentifizierung von Artefakten und Zertifikate für Anwendungsidentitäten.
  • Nutzeridentität: Clientauthentifizierungszertifikate, die als Nutzeridentität für Zero-Trust-Netzwerke, VPN, Dokumentensignatur, E-Mail, Smartcard usw. verwendet werden.
  • IoT- und Mobilgeräte-Identität: Clientauthentifizierungszertifikate, die als Geräteidentität und Authentifizierung verwendet werden, z. B. für den drahtlosen Zugriff.
  • Intraservice-Identität: mTLS-Zertifikate, die von Microservices verwendet werden.
  • CI/CD-Kanäle (Continuous Integration und Continuous Delivery): Zertifikate zur Codesignatur, die während des CI/CD-Builds verwendet werden, um die Codeintegrität und -sicherheit zu verbessern.
  • Kubernetes und Istio: Zertifikate zum Schützen von Verbindungen zwischen den Kubernetes- und Istio-Komponenten.

Vorteile einer privaten PKI

In einer typischen Web-Public-Key-Infrastruktur (PKI) vertrauen Millionen von Kunden auf der ganzen Welt einer Reihe unabhängiger Zertifizierungsstellen (CAs), um Identitäten (z. B. Domainnamen) in Zertifikaten zu bestätigen. Im Rahmen ihrer Zuständigkeit verpflichten sich Zertifizierungsstellen, nur Zertifikate auszustellen, wenn sie die Identität in diesem Zertifikat unabhängig bestätigt haben. Beispielsweise muss eine Zertifizierungsstelle in der Regel prüfen, ob eine Person, die ein Zertifikat für den Domainnamen example.com anfordert, tatsächlich die Domain verwaltet, bevor sie ihr ein Zertifikat ausstellt. Da diese Zertifizierungsstellen Zertifikate für Millionen von Kunden ausstellen können, zu denen sie möglicherweise keine direkte Beziehung haben, sind sie auf die Bestätigung von Identitäten beschränkt, die öffentlich nachprüfbar sind. Diese Zertifizierungsstellen sind auf bestimmte, klar definierte Überprüfungsverfahren beschränkt, die in der Web PKI einheitlich angewendet werden.

Im Gegensatz zu Web PKI umfasst eine private PKI oft eine kleinere Zertifizierungsstellenhierarchie, die direkt von einer Organisation verwaltet wird. Eine private PKI sendet Zertifikate nur an Clients, die der Organisation vertrauen, dass sie die entsprechenden Kontrollen hat (z. B. Maschinen, die dieser Organisation gehören). Da die Administratoren der Zertifizierungsstelle häufig eigene Methoden zur Validierung von Identitäten haben, für die sie Zertifikate ausstellen (z. B. Zertifikate für ihre eigenen Mitarbeiter), sind sie nicht durch dieselben Anforderungen wie bei der Web PKI eingeschränkt. Diese Flexibilität ist einer der Hauptvorteile der privaten PKI gegenüber der Web-PKI. Eine private PKI ermöglicht neue Anwendungsfälle, z. B. die Sicherung interner Websites mit kurzen Domainnamen, ohne dass eine eindeutige Inhaberschaft dieser Namen erforderlich ist, oder die Codierung alternativer Identitätsformate (z. B. SPIFFE-IDs) in einem Zertifikat.

Darüber hinaus müssen alle Zertifizierungsstellen gemäß der Web PKI jedes von ihnen ausgestellte Zertifikat in öffentlichen Zertifikatstransparenz-Protokollen erfassen. Dies ist für Organisationen, die Zertifikate für ihre internen Dienste ausstellen, möglicherweise nicht erforderlich. Mit einer privaten PKI können Organisationen ihre interne Infrastrukturtopologie, z. B. die Namen ihrer Netzwerkdienste oder Anwendungen, vor dem Rest der Welt verbergen.

Nächste Schritte