Déterminer les paramètres de l'autorité de certification
Cette page fournit des informations sur les différents paramètres d'une autorité de certification (AC).
Paramètres permanents
Une fois l'autorité de certification créée, vous ne pouvez plus modifier les paramètres mentionnés dans cette section.
Paramètres spécifiques des services
Type d'autorité de certification
CA Service vous permet de créer à la fois des autorités de certification racine et des autorités de certification subordonnées.
| Certificat émanant d'une autorité de certification racine | Autorité de certification subordonnée |
|---|---|
| Une autorité de certification racine est une autorité de certification autosignée.
Les parties qui doivent authentifier les certificats créés à partir d'une autorité de certification racine (une partie de confiance) doivent connaître son certificat d'autorité de certification à l'avance. Le certificat de l'autorité de certification racine est souvent appelé ancre de confiance. Il est difficile de modifier fréquemment une autorité de certification racine. Pour modifier l'autorité de certification racine, vous devez d'abord informer toutes les parties de confiance du nouvel ancrage de confiance. Sinon, elles ne pourront pas authentifier les certificats de la nouvelle autorité de certification racine. Les autorités de certification racine ne peuvent pas être révoquées à l'aide des listes de révocation de l'autorité de certification émettrice, car elles sont autosignées. Pour révoquer une autorité de certification racine, vous devez la supprimer du magasin de confiance de chaque client qui lui fait confiance. Ce processus peut être long et fastidieux. C'est pourquoi nous vous recommandons de protéger les autorités de certification racine. |
Une autorité de certification subordonnée est une autorité de certification signée par une autorité de certification racine ou une autre autorité de certification subordonnée. Une chaîne d'autorités de certification subordonnées se termine toujours par une autorité de certification racine. Une partie de confiance qui ne connaît qu'une autorité de certification racine peut également faire implicitement confiance à une autorité de certification subordonnée qui chaîne le certificat de l'autorité de certification racine explicitement approuvée. L'autorité de certification subordonnée ne peut être approuvée que si la partie de confiance est en mesure de valider de manière cryptographique la chaîne de certificats qui forme un chemin d'accès au certificat de l'autorité de certification racine. Une chaîne contenant une racine et une ou plusieurs autorités de certification subordonnées peut inclure des autorités de certification gérées dans CA Service et d'autres qui ne le sont pas. |
Clé Cloud KMS
Par défaut, les nouvelles autorités de certification utilisent une clé Cloud Key Management Service (Cloud KMS) gérée par Google. Vous pouvez choisir un algorithme de clé spécifique pour la clé Cloud KMS gérée par Google. Vous pouvez également accorder à l'autorité de certification l'accès à une clé existante. Pour en savoir plus, consultez la section Choisir un algorithme de clé.
Pour en savoir plus sur les modèles de gestion des clés Cloud KMS et des buckets Cloud Storage, consultez Gérer les ressources.
Bucket Cloud Storage
Par défaut, CA Service crée un bucket Cloud Storage géré par Google au même emplacement que l'autorité de certification. Vous pouvez également choisir d'utiliser un bucket autogéré existant ou de créer un bucket. Pour réduire la latence lors de la publication des CRL, nous vous recommandons de créer le bucket Cloud Storage au même emplacement que votre autorité de certification. Pour en savoir plus, consultez Gérer les ressources.
Paramètres du certificat CA
Les paramètres suivants sont directement reflétés dans le certificat de la CA:
| Paramètre | Description |
|---|---|
| Durée de vie | Spécifie la durée de vie d'une autorité de certification. La durée de vie correspond à la durée pendant laquelle l'autorité de certification est valide, à compter de sa création. |
| Objet | Une autorité de certification peut spécifier un nom distinctif et des noms d'objet alternatifs. Dans de nombreux cas, ces champs sont purement informatifs.
Toutefois, une partie de confiance peut choisir de traiter différemment les certificats émis par une autorité de certification avec des attributs d'objet particuliers. Si vous souhaitez spécifier un autre nom d'objet pour le certificat de votre autorité de certification, vous devez utiliser la Google Cloud CLI. |
Paramètres facultatifs de l'autorité de certification
Les paramètres de l'autorité de certification suivants sont facultatifs. Vous pouvez modifier le paramètre suivant après avoir créé l'autorité de certification.
| Paramètre | Description |
|---|---|
| Libellé | Une autorité de certification peut être associée à un ou plusieurs libellés utilisateur. Les libellés n'ont aucune signification sémantique pour le service d'autorité de certification. |
Étape suivante
- Découvrez comment créer une autorité de certification racine.
- Découvrez comment créer une autorité de certification subordonnée.
- Découvrez comment créer une autorité de certification subordonnée à partir d'une autorité de certification externe.