Questa pagina è stata tradotta dall'API Cloud Translation.

Determinare le impostazioni dell'autorità di certificazione

Questa pagina fornisce informazioni sulle varie impostazioni di un'autorità di certificazione (CA).

Impostazioni permanenti

Non puoi modificare le impostazioni indicate in questa sezione dopo aver creato la CA.

Impostazioni specifiche dei servizi

Tipo di CA

CA Service ti consente di creare sia CA radice che CA subordinate.

CA radice	CA subordinata
Una CA radice è una CA autofirmata. Le parti che devono autenticare i certificati creati da un'autorità di certificazione radice (una parte attendibile) devono conoscere in anticipo il certificato dell'autorità di certificazione. Il certificato CA radice viene spesso definito trust anchor. Modificare spesso una CA radice è difficile. Per cambiare la CA radice, devi prima aggiornare tutte le parti attendibili in merito al nuovo trust anchor. In caso contrario, non potranno autenticare i certificati della nuova CA radice. Le CA radice non possono essere revocate utilizzando i CRL della CA emittente perché sono firmate autonomamente. Per revocare una CA principale, devi rimuoverla dal trust store di ogni singolo client che la considera attendibile. Questo processo può essere lungo e laborioso. Pertanto, consigliamo di proteggere le CA di primo livello.	Una CA subordinata è una CA firmata da una CA radice o da un'altra CA subordinata. Una catena di CA subordinate termina sempre con una CA radice. Una terza parte attendibile che conosce solo una CA radice può anche considerare implicitamente attendibile una CA subordinata che è collegata al certificato della CA radice considerata attendibile in modo esplicito. L'autorità di certificazione subordinata può essere considerata attendibile solo se la terza parte attendibile è in grado di convalidare in modo crittografico la catena di certificati che forma un percorso per il certificato dell'autorità di certificazione principale. Una catena contenente un'autorità di certificazione principale e una o più autorità di certificazione subordinate può includere autorità di certificazione gestite nel servizio CA e altre non gestite.

CA radice

CA subordinata

Una CA radice è una CA autofirmata. Le parti che devono autenticare i certificati creati da un'autorità di certificazione radice (una parte attendibile) devono conoscere in anticipo il certificato dell'autorità di certificazione. Il certificato CA radice viene spesso definito trust anchor.

Modificare spesso una CA radice è difficile. Per cambiare la CA radice, devi prima aggiornare tutte le parti attendibili in merito al nuovo trust anchor. In caso contrario, non potranno autenticare i certificati della nuova CA radice.

Le CA radice non possono essere revocate utilizzando i CRL della CA emittente perché sono firmate autonomamente. Per revocare una CA principale, devi rimuoverla dal trust store di ogni singolo client che la considera attendibile. Questo processo può essere lungo e laborioso. Pertanto, consigliamo di proteggere le CA di primo livello.

Una CA subordinata è una CA firmata da una CA radice o da un'altra CA subordinata. Una catena di CA subordinate termina sempre con una CA radice.

Una terza parte attendibile che conosce solo una CA radice può anche considerare implicitamente attendibile una CA subordinata che è collegata al certificato della CA radice considerata attendibile in modo esplicito. L'autorità di certificazione subordinata può essere considerata attendibile solo se la terza parte attendibile è in grado di convalidare in modo crittografico la catena di certificati che forma un percorso per il certificato dell'autorità di certificazione principale.

Una catena contenente un'autorità di certificazione principale e una o più autorità di certificazione subordinate può includere autorità di certificazione gestite nel servizio CA e altre non gestite.

Chiave Cloud KMS

Per impostazione predefinita, le nuove CA utilizzano una chiave Cloud Key Management Service (Cloud KMS) gestita da Google. Puoi scegliere un algoritmo della chiave specifico per la chiave Cloud KMS gestita da Google. In alternativa, puoi concedere al servizio CA accesso a una chiave esistente. Per ulteriori informazioni, consulta Scegliere un algoritmo per le chiavi.

Per ulteriori informazioni sui modelli di gestione per le chiavi Cloud KMS e i bucket Cloud Storage, vedi Gestire le risorse.

Bucket Cloud Storage

Per impostazione predefinita, il servizio CA crea un nuovo bucket Cloud Storage gestito da Google nella stessa posizione della CA. Puoi anche scegliere di utilizzare un bucket autogestito esistente o creare un nuovo bucket. Per ridurre al minimo la latenza durante la pubblicazione degli elenchi revoche certificati (CRL), consigliamo di creare il bucket Cloud Storage nella stessa posizione della CA. Per saperne di più, consulta Gestire le risorse.

Impostazioni del certificato CA

Le seguenti impostazioni vengono applicate direttamente al certificato della CA:

Impostazione	Descrizione
Durata	Specifica la durata di una CA. La durata indica il periodo di tempo, a partire dalla creazione della CA, durante il quale la CA è valida.
Oggetto	Una CA può specificare un nome distinto e nomi alternativi dell'oggetto. In molti casi, questi campi sono puramente informativi. Tuttavia, una terza parte attendibile può scegliere di trattare in modo diverso i certificati emessi da un'autorità di certificazione con attributi soggetti specifici. Se vuoi specificare un nome alternativo dell'oggetto per il certificato della tua CA, devi utilizzare Google Cloud CLI.

Impostazione

Descrizione

Durata

Specifica la durata di una CA. La durata indica il periodo di tempo, a partire dalla creazione della CA, durante il quale la CA è valida.

Oggetto

Una CA può specificare un nome distinto e nomi alternativi dell'oggetto. In molti casi, questi campi sono puramente informativi. Tuttavia, una terza parte attendibile può scegliere di trattare in modo diverso i certificati emessi da un'autorità di certificazione con attributi soggetti specifici.

Se vuoi specificare un nome alternativo dell'oggetto per il certificato della tua CA, devi utilizzare Google Cloud CLI.

Impostazioni CA facoltative

Le seguenti impostazioni CA sono facoltative. Puoi modificare la seguente impostazione dopo aver creato la CA.

Impostazione	Descrizione
Etichetta	A una CA possono essere associate una o più etichette utente. Le etichette non hanno alcun significato semantico per il servizio CA.

Passaggi successivi

Scopri come creare una CA radice.
Scopri come creare una CA subordinata.
Scopri come creare una CA subordinata da una CA esterna.