Determina la configuración de la autoridad certificadora

En esta página, se proporciona información sobre los diversos parámetros de configuración de una AC.

Configuración permanente

No puedes cambiar la configuración que se menciona en esta sección después de crear la AC.

Configuración específica del servicio

Tipo de AC

El servicio de AC te permite crear AC raíz y AC subordinadas.

CA raíz CA subordinada
Una AC raíz es una AC autofirmada. Las partes que necesitan autenticar los certificados creados a partir de una AC raíz (una parte de confianza) deben conocer su certificado de AC con anticipación. A menudo, el certificado de la AC raíz se conoce como ancla de confianza.

Cambiar con frecuencia una AC raíz es difícil. Para cambiar la AC raíz, primero debes actualizar a todas las partes de confianza sobre el nuevo ancla de confianza. De lo contrario, no podrán autenticar los certificados de la nueva AC raíz.

Las AC raíz no se pueden revocar con las CRL de la AC emisora porque las AC raíz están autofirmadas. Para revocar una AC raíz, debes quitarla del almacén de confianza de cada cliente que confía en ella. Este proceso puede ser largo y tedioso. Por lo tanto, te recomendamos que protejas las AC raíz.		 Una AC subordinada es una AC que firma una AC raíz o otra AC subordinada. Después de una cadena de AC subalternas, la cadena siempre termina con una AC raíz.

Una parte de confianza que solo conoce una AC raíz también puede confiar de forma implícita en una AC subalterna que encadena al certificado de AC raíz de confianza explícita. Se puede confiar en la AC subordinada solo si la parte de confianza puede validar de forma criptográfica la cadena de certificados que forma una ruta de acceso al certificado de la AC raíz.

Una cadena que contiene una AC raíz y una o más AC subordinadas puede incluir AC que se administran en CA Service y AC que no se administran.

Clave de Cloud KMS

De forma predeterminada, las AC nuevas usan una clave de Cloud Key Management Service (Cloud KMS) administrada por Google. Puedes elegir un algoritmo de clave específico para la clave de Cloud KMS administrada por Google. Como alternativa, puedes otorgar acceso al servicio de AC a una clave que ya existe. Para obtener más información, consulta Elige un algoritmo de clave.

Para obtener más información sobre los modelos de administración de las claves de Cloud KMS y los buckets de Cloud Storage, consulta Administra recursos.

Bucket de Cloud Storage

De forma predeterminada, el servicio de AC crea un bucket de Cloud Storage nuevo administrado por Google en la misma ubicación que la AC. También puedes usar un bucket autoadministrado existente o crear uno nuevo. Para minimizar la latencia durante la publicación de las CRL, te recomendamos que crees el bucket de Cloud Storage en la misma ubicación que tu AC. Para obtener más información, consulta Administra recursos.

Configuración del certificado de la AC

La siguiente configuración se refleja directamente en el certificado de la AC:

Configuración Descripción
Duración Especifica la vida útil de una AC. La vida útil es la cantidad de tiempo, a partir de la creación de la AC, durante la cual esta es válida.
Asunto Una AC puede especificar un nombre distinguido y nombres alternativos de asunto. En muchos casos, estos campos son solo informativos. Sin embargo, una parte de confianza puede optar por tratar de manera diferente los certificados emitidos por una AC con atributos de sujeto en particular.

Si deseas especificar un nombre alternativo de entidad para el certificado de la AC, debes usar Google Cloud CLI.

Configuración opcional de la AC

La siguiente configuración de AC es opcional. Puedes cambiar el siguiente parámetro de configuración después de crear la AC.

Configuración Descripción
Etiqueta Una AC puede tener una o más etiquetas de usuario adjuntas. Las etiquetas no tienen significado semántico para el servicio de AC.

¿Qué sigue?