Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Visão geral do Certificate Authority Service
O Certificate Authority Service (CA Service) é um serviçoGoogle Cloud altamente escalonável que permite simplificar e automatizar a implantação, o gerenciamento e a segurança de autoridades de certificação (AC) particulares.
As ACs particulares emitem certificados digitais que incluem a identidade da entidade, a identidade do emissor
e assinaturas criptográficas. Os certificados privados são uma das maneiras mais comuns
de autenticar usuários, máquinas ou serviços em redes. Certificados
privados são usados com frequência em ambientes de DevOps para proteger
contêineres, microsserviços, máquinas virtuais e contas de serviço.
Com o serviço de CA, é possível fazer o seguinte:
- Crie ACs raiz e subordinadas personalizadas.
- Defina o assunto, o algoritmo de chave e o local da AC.
- Selecione a região de uma AC subordinada independente da região da AC raiz.
- Crie modelos reutilizáveis e parametrizados para cenários comuns de emissão de certificados.
- Traga sua própria AC raiz e configure outras ACs para se conectar à AC raiz
existente em execução no local ou em qualquer outro lugar fora do Google Cloud.
- Armazene suas chaves privadas da AC usando o Cloud HSM, que é validado por FIPS
140-2 de nível 3 e está disponível em várias regiões nas Américas,
Europa e Ásia-Pacífico.
- Tenha registros e saiba quem fez o quê, quando e onde com os Registros de auditoria do Cloud.
- Defina controles de acesso granulares com o gerenciamento de identidade e acesso (IAM) e
perímetros virtuais de segurança com o VPC Service Controls.
- Gerencie grandes volumes de certificados sabendo que o serviço de AC
suporta a emissão de até 25 certificados por segundo por AC (nível DevOps), o que
significa que cada AC pode emitir milhões de certificados. É possível criar várias
ACs em um endpoint de emissão chamado pool de ACs e distribuir as solicitações de certificado
para todas as ACs. Com esse recurso, é possível emitir até 100 certificados por segundo.
- Gerencie, automatize e integre ACs particulares da forma mais
conveniente para você: usando APIs, a CLI do Google Cloud, o Google Cloud console ou o
Terraform.
Casos de uso de certificados
É possível usar as ACs particulares para emitir certificados para os seguintes casos de uso:
- Integridade da cadeia de suprimentos de software e identidade do código: assinatura de código, autenticação
de artefatos e certificados de identidade do aplicativo.
- Identidade do usuário: certificados de autenticação do cliente usados como identidade do usuário
para redes de confiança zero, VPN, assinatura de documentos, e-mail, smartcard e muito mais.
- Identidade de dispositivos móveis e IoT: certificados de autenticação do cliente usados
como identidade e autenticação do dispositivo, por exemplo, acesso sem fio.
- Identidade intraserviço: certificados mTLS usados por microsserviços.
- Canais de integração e entrega contínuas (CI/CD): certificados de assinatura
de código usados em todo o build de CI/CD para melhorar a integridade e a
segurança do código.
- Kubernetes e Istio: certificados para proteger conexões entre os
componentes do Kubernetes e do Istio.
Por que escolher uma PKI privada
Em uma infraestrutura de chave pública (PKI) típica da Web, milhões de clientes em todo o
mundo confiam em um conjunto de autoridades certificadoras (ACs) independentes para declarar identidades
(como nomes de domínio) em certificados. Como parte das responsabilidades, as ACs se comprometem
a emitir certificados somente quando validam de forma independente a identidade
no certificado. Por exemplo, uma AC geralmente precisa verificar se
alguém que solicita um certificado para o nome de domínio example.com realmente
controla esse domínio antes de emitir um certificado para ele. Como essas ACs
podem emitir certificados para milhões de clientes sem ter um
relacionamento direto, elas são limitadas a declarar identidades
públicamente verificáveis. Essas ACs são limitadas a determinados processos de verificação
bem definidos que são aplicados de forma consistente na PKI da Web.
Ao contrário da PKI da Web, uma PKI particular geralmente envolve uma hierarquia de AC menor, que é
gerenciada diretamente por uma organização. Uma PKI privada envia certificados apenas para clientes
que confiam inerentemente na organização para ter os controles adequados (por
exemplo, máquinas pertencentes a essa organização). Como os administradores de ACs geralmente têm
próprias maneiras de validar identidades para as quais eles emitem certificados (por
exemplo, emitir certificados para os próprios funcionários), eles não são limitados pelos
mesmos requisitos da PKI da Web. Essa flexibilidade é uma das principais vantagens
da PKI privada em relação à PKI da Web. Uma PKI privada permite novos casos de uso, como a proteção
de sites internos com nomes de domínio curtos sem exigir a propriedade exclusiva
desses nomes ou codificar formatos de identidade alternativos (como
IDs SPIFFE) em
um certificado.
Além disso, a PKI da Web exige que todas as ACs registrem todos os certificados que emitiram
nos registros públicos de Transparência dos certificados, o que pode não ser necessário para organizações que emitem certificados para seus
serviços internos. A PKI privada permite que as organizações mantenham a topologia da infraestrutura interna, como os nomes dos serviços de rede ou
aplicativos, privados do resto do mundo.
A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2025-08-12 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-12 UTC."],[[["\u003cp\u003eCertificate Authority Service (CA Service) is a scalable Google Cloud service for managing and securing private certificate authorities (CAs), which are used for authenticating users, machines, or services over networks.\u003c/p\u003e\n"],["\u003cp\u003eCA Service allows the creation of custom root and subordinate CAs, and includes features such as customizable templates, bring-your-own root CA, secure key storage with Cloud HSM, audit logging, and granular access controls.\u003c/p\u003e\n"],["\u003cp\u003eCA Service supports high-volume certificate issuance, up to 25 certificates per second per CA, with the ability to create multiple CAs behind one CA pool to issue up to 100 certificates per second.\u003c/p\u003e\n"],["\u003cp\u003ePrivate CAs are advantageous over Web PKI because they allow organizations greater flexibility in validating identities and enable use cases like securing internal sites with short domain names and encoding alternative identity formats.\u003c/p\u003e\n"],["\u003cp\u003ePrivate CAs also offer enhanced privacy, as they do not require public logging of issued certificates, thus allowing organizations to keep their internal network structure confidential.\u003c/p\u003e\n"]]],[],null,["# Certificate Authority Service overview\n======================================\n\nCertificate Authority Service (CA Service) is a highly scalable\nGoogle Cloud service that lets you simplify and automate the\ndeployment, management, and security of private certificate authorities (CA).\nPrivate CAs issue digital certificates that include entity identity, issuer identity,\nand cryptographic signatures. Private certificates are one of the most common\nways to authenticate users, machines, or services over networks. Private\ncertificates are often used in DevOps environments to protect\ncontainers, microservices, virtual machines, and service accounts.\n\nUsing CA Service, you can do the following:\n\n- Create custom root and subordinate CAs.\n- Define the subject, key algorithm, and location of the CA.\n- Select a subordinate CA's region independent of its root CA's region.\n- Create reusable and parameterized templates for common certificate issuance scenarios.\n- Bring your own root CA and configure other CAs to chain up to the existing root CA running on-premises or anywhere else outside Google Cloud.\n- Store your private CA keys using [Cloud HSM](/kms/docs/hsm), which is FIPS 140-2 Level 3 validated and available in several regions across the Americas, Europe, and Asia Pacific.\n- Obtain logs and gain visibility into who did what, when, and where with [Cloud Audit Logs](/audit-logs).\n- Define granular access controls with [Identity and Access Management (IAM)](/iam) and virtual security perimeters with [VPC Service Controls](/vpc-service-controls?hl=en).\n- Manage high volumes of certificates knowing that CA Service supports issuing up to 25 certificates per second per CA (DevOps tier), which means that each CA can issue millions of certificates. You can create multiple CAs behind one issuance endpoint called a CA pool and distribute the incoming certificate requests across all the CAs. Using this feature, you can effectively issue up to 100 certificates per second.\n- Manage, automate, and integrate private CAs in whichever way is most convenient for you: using APIs, the Google Cloud CLI, the Google Cloud console, or [Terraform](https://www.terraform.io/).\n\nCertificate use cases\n---------------------\n\nYou can use your private CAs to issue certificates for the following use cases:\n\n- **Software supply chain integrity and code identity**: Code signing, artifact authentication, and application identity certificates.\n- **User identity**: Client authentication certificates used as user identity for zero trust networking, VPN, document signing, email, smartcard, and more.\n- **IoT and mobile device identity**: Client authentication certificates used as device identity and authentication, for example, wireless access.\n- **Intraservice identity**: mTLS certificates used by microservices.\n- **Continuous integration and continuous delivery (CI/CD) channels**: Code signing certificates used throughout the CI/CD build to improve code integrity and security.\n- **Kubernetes and Istio**: Certificates to secure connections between the Kubernetes and Istio components.\n\nWhy choose a private PKI\n------------------------\n\nIn a typical Web Public Key Infrastructure (PKI), millions of clients across the\nworld trust a set of independent certificate authorities (CAs) to assert identities\n(such as domain names) in certificates. As part of their responsibilities, CAs commit\nto only issuing certificates when they have independently validated the identity\nin that certificate. For example, a CA typically needs to verify that\nsomebody requesting a certificate for the domain name `example.com` actually\ncontrols the said domain before they issue a certificate to them. Since those CAs\ncan issue certificates for millions of customers where they might not have an\nexisting direct relationship, they are limited to asserting identities that are\npublicly verifiable. Those CAs are limited to certain well-defined verification\nprocesses that are consistently applied across the Web PKI.\n\nUnlike Web PKI, a private PKI often involves a smaller CA hierarchy, which is\ndirectly managed by an organization. A private PKI sends certificates only to clients\nthat inherently trust the organization to have the appropriate controls (for\nexample, machines owned by that organization). Since the CA admins often have\ntheir own ways of validating identities for which they issue certificates (for\nexample, issuing certificates to their own employees), they aren't limited by\nthe same requirements as for Web PKI. This flexibility is one of the main advantages\nof private PKI over Web PKI. A private PKI enables new use cases such as securing\ninternal websites with short domain names without requiring unique ownership of\nthose names, or encoding alternative identities formats (such\nas [SPIFFE IDs](https://spiffe.io/docs/latest/spiffe-about/spiffe-concepts/)) into\na certificate.\n\nIn addition, the Web PKI requires all CAs to log every certificate they've\nissued to public [Certificate Transparency](https://certificate.transparency.dev/howctworks/)\nlogs, which may not be required for organizations issuing certificates to their\ninternal services. Private PKI allows organizations to keep their internal\ninfrastructure topology, such as the names of their network services or\napplications, private from the rest of the world.\n\nWhat's next\n-----------\n\n- Understand [CA Service pricing](/certificate-authority-service/pricing).\n- Learn about [security and compliance](/certificate-authority-service/docs/certificate-authority-compliance).\n- Review CA Service [locations](/certificate-authority-service/docs/locations).\n- Get started with the [CA Service](/certificate-authority-service/docs/create-certificate)."]]
