Determinar la configuración de la autoridad de certificación

En esta página se proporciona información sobre los distintos ajustes de una autoridad de certificación (CA).

Configuración permanente

No puedes cambiar los ajustes mencionados en esta sección después de crear la AC.

Configuración específica de servicios

Tipo de AC

El servicio de AC te permite crear tanto ACs raíz como ACs subordinadas.

CA raíz Autoridad de certificación subordinada
Una CA raíz es una CA con firma automática. Las partes que necesiten autenticar certificados creados a partir de una CA raíz (una parte de confianza) deben conocer el certificado de la CA de antemano. El certificado de CA raíz se suele denominar ancla de confianza.

Cambiar una CA raíz con frecuencia es difícil. Para cambiar la CA raíz, primero debes informar a todas las partes de confianza sobre el nuevo anclaje de confianza. De lo contrario, no podrán autenticar los certificados de la nueva AC raíz.

Las ACs raíz no se pueden revocar con las CRLs de la AC emisora porque están autofirmadas. Para revocar una CA raíz, debes quitarla del almacén de confianza de todos los clientes que confíen en ella. Este proceso puede ser largo y tedioso. Por lo tanto, recomendamos proteger las CAs raíz.		 Una AC subordinada es una AC firmada por una AC raíz u otra AC subordinada. Siguiendo una cadena de CAs subordinadas, la cadena siempre termina con una CA raíz.

Una tercera parte que solo conoce una CA raíz también puede confiar implícitamente en una CA subordinada que se encadena al certificado de CA raíz de confianza explícita. La AC subordinada solo se puede considerar de confianza si la parte que confía puede validar criptográficamente la cadena de certificados que forma una ruta al certificado de la AC raíz.

Una cadena que contenga una AC raíz y una o varias ACs subordinadas puede incluir ACs gestionadas en el servicio de AC y ACs que no lo estén.

Clave de Cloud KMS

De forma predeterminada, las nuevas CAs usan una clave de Cloud Key Management Service (Cloud KMS) gestionada por Google. Puedes elegir un algoritmo de clave específico para la clave de Cloud KMS gestionada por Google. También puedes conceder acceso a CA Service a una clave que ya exista. Para obtener más información, consulta Elegir un algoritmo de clave.

Para obtener más información sobre los modelos de gestión de claves de Cloud KMS y segmentos de Cloud Storage, consulta el artículo Gestionar recursos.

Contenedor de Cloud Storage

De forma predeterminada, el servicio de AC crea un segmento de Cloud Storage gestionado por Google en la misma ubicación que la AC. También puedes usar un contenedor autogestionado que ya tengas o crear uno. Para minimizar la latencia al publicar CRLs, te recomendamos que crees el segmento de Cloud Storage en la misma ubicación que tu autoridad de certificación. Para obtener más información, consulta el artículo sobre cómo gestionar recursos.

Configuración de certificados de AC

Los siguientes ajustes se reflejan directamente en el certificado de la CA:

Ajuste Descripción
Desde siempre hasta hoy Especifica la duración de una CA. Tiempo de vida es el periodo de tiempo, a partir de la creación de la CA, durante el que la CA es válida.
Asunto Una CA puede especificar un nombre distintivo y nombres alternativos de la entidad. En muchos casos, estos campos son meramente informativos. Sin embargo, una parte de confianza puede tratar de forma diferente los certificados emitidos por una CA con atributos de asunto concretos.

Si quieres especificar un nombre alternativo de la entidad para el certificado de tu CA, debes usar la CLI de Google Cloud.

Ajustes opcionales de la autoridad de certificación

Los siguientes ajustes de la CA son opcionales. Puede cambiar el siguiente ajuste después de crear la AC.

Ajuste Descripción
Etiqueta Una AC puede tener una o varias etiquetas de usuario asociadas. Las etiquetas no tienen ningún significado semántico para el Servicio de Autoridades de Certificación.

Siguientes pasos