Esta página foi traduzida pela API Cloud Translation.

Determine as definições da autoridade de certificação

Esta página fornece informações sobre as várias definições de uma autoridade de certificação (AC).

Definições permanentes

Não pode alterar as definições mencionadas nesta secção após criar a CA.

Definições específicas do serviço

Tipo de AC

O serviço de AC permite-lhe criar ACs de raiz e ACs subordinadas.

CA de raiz	CA subordinada
Uma CA de raiz é uma CA autoassinada. As partes que precisam de autenticar certificados criados a partir de uma AC raiz (uma parte fidedigna) têm de conhecer o respetivo certificado da AC antecipadamente. O certificado da CA de raiz é frequentemente designado por ponto de confiança. É difícil alterar frequentemente uma CA de raiz. Para alterar a AC raiz, tem primeiro de atualizar todas as partes fidedignas acerca da nova âncora de confiança. Caso contrário, não vão poder autenticar certificados da nova CA de raiz. Não é possível revogar CAs de raiz através das CRLs da CA de emissão, porque as CAs de raiz são autoassinadas. Para revogar uma AC raiz, tem de a remover do repositório de confiança de todos os clientes que confiam nela. Este processo pode ser longo e fastidioso. Por isso, recomendamos proteger as ACs raiz.	Uma CA subordinada é uma CA que é assinada por uma CA de raiz ou outra CA subordinada. Seguindo uma cadeia de ACs subordinadas, a cadeia termina sempre com uma AC raiz. Uma parte fidedigna que só conhece uma AC raiz também pode confiar implicitamente numa AC subordinada que se encadeia ao certificado de AC raiz explicitamente fidedigno. A AC subordinada só pode ser fidedigna se a parte fidedigna conseguir validar criptograficamente a cadeia de certificados que forma um caminho para o certificado da AC de raiz. Uma cadeia que contenha uma raiz e uma ou mais ACs subordinadas pode incluir ACs geridas no serviço de AC e ACs que não são.

CA de raiz

CA subordinada

Uma CA de raiz é uma CA autoassinada. As partes que precisam de autenticar certificados criados a partir de uma AC raiz (uma parte fidedigna) têm de conhecer o respetivo certificado da AC antecipadamente. O certificado da CA de raiz é frequentemente designado por ponto de confiança.

É difícil alterar frequentemente uma CA de raiz. Para alterar a AC raiz, tem primeiro de atualizar todas as partes fidedignas acerca da nova âncora de confiança. Caso contrário, não vão poder autenticar certificados da nova CA de raiz.

Não é possível revogar CAs de raiz através das CRLs da CA de emissão, porque as CAs de raiz são autoassinadas. Para revogar uma AC raiz, tem de a remover do repositório de confiança de todos os clientes que confiam nela. Este processo pode ser longo e fastidioso. Por isso, recomendamos proteger as ACs raiz.

Uma CA subordinada é uma CA que é assinada por uma CA de raiz ou outra CA subordinada. Seguindo uma cadeia de ACs subordinadas, a cadeia termina sempre com uma AC raiz.

Uma parte fidedigna que só conhece uma AC raiz também pode confiar implicitamente numa AC subordinada que se encadeia ao certificado de AC raiz explicitamente fidedigno. A AC subordinada só pode ser fidedigna se a parte fidedigna conseguir validar criptograficamente a cadeia de certificados que forma um caminho para o certificado da AC de raiz.

Uma cadeia que contenha uma raiz e uma ou mais ACs subordinadas pode incluir ACs geridas no serviço de AC e ACs que não são.

Chave do Cloud KMS

Por predefinição, as novas ACs usam uma chave do Cloud Key Management Service (Cloud KMS) gerida pela Google. Pode escolher um algoritmo de chave específico para a chave do Cloud KMS gerida pela Google. Em alternativa, pode conceder ao serviço de AC acesso a uma chave já existente. Para mais informações, consulte Escolha um algoritmo de chave.

Para mais informações sobre os modelos de gestão das chaves do Cloud KMS e dos contentores do Cloud Storage, consulte o artigo Faça a gestão dos recursos.

Contentor do Cloud Storage

Por predefinição, o serviço de AC cria um novo contentor do Cloud Storage gerido pela Google na mesma localização que a AC. Também pode optar por usar um contentor autogerido existente ou criar um novo contentor. Para minimizar a latência durante a publicação de CRLs, recomendamos que crie o contentor do Cloud Storage na mesma localização que a sua AC. Para mais informações, consulte o artigo Faça a gestão dos recursos.

Definições do certificado da AC

As seguintes definições refletem-se diretamente no certificado da AC:

Definição	Descrição
Duração	Especifica a duração total de uma AC. A duração é o período de tempo, a partir da criação da CA, durante o qual a CA é válida.
Assunto	Uma AC pode especificar um nome distinto e nomes alternativos do requerente. Em muitos casos, estes campos são puramente informativos. No entanto, uma parte fidedigna pode optar por tratar os certificados emitidos por uma CA com atributos de assunto específicos de forma diferente. Se quiser especificar um nome alternativo do requerente para o certificado da sua AC, tem de usar a Google Cloud CLI.

Definição

Descrição

Duração

Especifica a duração total de uma AC. A duração é o período de tempo, a partir da criação da CA, durante o qual a CA é válida.

Assunto

Uma AC pode especificar um nome distinto e nomes alternativos do requerente. Em muitos casos, estes campos são puramente informativos. No entanto, uma parte fidedigna pode optar por tratar os certificados emitidos por uma CA com atributos de assunto específicos de forma diferente.

Se quiser especificar um nome alternativo do requerente para o certificado da sua AC, tem de usar a Google Cloud CLI.

Definições de CA opcionais

As seguintes definições de CA são opcionais. Pode alterar a seguinte definição após criar a CA.

Definição	Descrição
Etiqueta	Uma CA pode ter uma ou mais etiquetas de utilizador anexadas. As etiquetas não têm significado semântico para o serviço de AC.

O que se segue?

Saiba como criar uma AC raiz.
Saiba como criar uma AC subordinada.
Saiba como criar uma AC subordinada a partir de uma AC externa.