Preguntas frecuentes

¿Qué es el Servicio de Autoridades de Certificación?

Servicio de Autoridades de Certificación es un servicio de alta disponibilidad y escalable de Google Cloud que permite a los clientes simplificar, automatizar y personalizar el despliegue, la gestión y la seguridad de las autoridades de certificación (CAs) privadas, al tiempo que mantienen el control de sus claves privadas.

¿Cuáles son los casos prácticos habituales del Servicio de Autoridades de Certificación?

A continuación se indican algunos de los usos más habituales del servicio de CA.

  • Identidades de carga de trabajo: aprovecha las APIs para obtener certificados para aplicaciones o usa certificados en aplicaciones, contenedores, sistemas y otros recursos.
  • Situaciones empresariales: usa certificados para VPN, Chrome Enterprise Premium, firma de documentos, acceso Wi-Fi, correo electrónico, tarjeta inteligente y más.
  • Emisión y gestión de certificados centralizadas: configura GKE Enterprise Service Mesh para usar el Servicio de AC.
  • Identidad de dispositivos móviles y del IoT: emite certificados TLS como identidad de los endpoints.
  • Canal de CI/CD, autorización binaria, Istio y Kubernetes.

¿Qué estándares de cumplimiento admite CA Service?

Para obtener más información, consulta Seguridad y cumplimiento.

¿En qué ubicaciones podemos crear recursos del Servicio de Autoridades de Certificación?

Los recursos de CA de servicio se pueden crear en una de las muchas ubicaciones. Para ver la lista completa de ubicaciones, consulta Ubicaciones.

¿El servicio de CA admite una infraestructura de clave pública global con una sola raíz?

Sí, siempre que la AC raíz se encuentre en una sola región. Sin embargo, puede crear varias autoridades de certificación emisoras en diferentes regiones que se encadenen a la misma raíz.

¿Se admiten etiquetas en las autoridades certificadoras?

Sí, puede asociar etiquetas a grupos de AC y AC durante las operaciones de creación y actualización.

Para obtener información sobre cómo actualizar las etiquetas de un grupo de ACs, consulta Actualizar las etiquetas de un grupo de ACs.

Para obtener información sobre cómo actualizar las etiquetas de una CA, consulta Actualizar las etiquetas de una CA.

¿Es posible usar Cloud Monitoring para monitorizar la creación de certificados y el vencimiento de las AC? ¿Es posible generar eventos de Pub/Sub para ellos?

Sí, puedes monitorizar todos estos eventos. El servicio de CA no admite Pub/Sub de forma nativa, pero puedes configurarlo con Cloud Monitoring. Para obtener más información, consulta el artículo sobre cómo usar Cloud Monitoring con el servicio de CA.

¿Durante cuánto tiempo se conservan las CAs no activadas?

Las ACs subordinadas se crean en el estado AWAITING_USER_ACTIVATION y se les asigna el estado STAGED después de la activación. Si una AC subordinada sigue en el estado AWAITING_USER_ACTIVATION 30 días después de su creación, se elimina.

Para obtener información sobre los distintos estados por los que pasa una CA a lo largo de su ciclo de vida, consulta Estados de la autoridad de certificación.

¿Qué controles de acceso admite el servicio de CA para la emisión de certificados?

El servicio de AC admite la definición de políticas de gestión de identidades y accesos en un grupo de ACs para controlar quién puede emitir certificados. Un administrador de una AC puede adjuntar una política de emisión a un grupo de ACs. Esta política de emisión define las restricciones sobre el tipo de certificados que pueden emitir las ACs de un pool de ACs. Estas restricciones incluyen, entre otras, límites en el nombre de dominio, las extensiones y el periodo de validez del certificado.

Para obtener más información sobre cómo configurar una política de emisión en un grupo de CAs, consulta Usar una política de emisión.

Para obtener información sobre cómo configurar las políticas de gestión de identidades y accesos necesarias para crear y gestionar recursos de CA Service, consulta Configurar políticas de gestión de identidades y accesos.

¿CA Service admite claves de Cloud KMS multirregión?

No, el servicio de AC no admite claves de Cloud KMS multirregión.

¿El Servicio de Autoridades de Certificación limitará alguna vez mis solicitudes? ¿Cuál es el QPS objetivo del servicio de AC?

Sí, existe un mecanismo de limitación para el servicio de CA. Para obtener más información, consulta Cuotas y límites.

¿CA Service es compatible con Controles de Servicio de VPC?

Sí, el servicio de CA admite Controles de Servicio de VPC. Para obtener más información, consulta Productos admitidos y limitaciones > Servicio de autoridad de certificación y Seguridad y cumplimiento.

¿Cómo se deben usar las claves públicas codificadas en PEM con las APIs REST?

Las claves públicas codificadas en PEM solo se pueden usar con APIs REST después de codificarse en Base64.

¿Se pueden seguir usando las APIs de la fase de vista previa después de que el servicio de Autoridades de Certificación anuncie la disponibilidad general?

Sí, las APIs de vista previa se pueden seguir usando durante un breve periodo después de que CA Service anuncie la disponibilidad general. Este periodo solo tiene como objetivo que los clientes puedan hacer la transición a las APIs más recientes sin problemas y será breve, con asistencia limitada. Recomendamos a los clientes que migren a las APIs de GA en cuanto estén disponibles.

¿Cómo se puede acceder a los recursos creados durante el periodo de vista previa después de que el Servicio de Autoridades de Certificación anuncie la disponibilidad general?

No puedes ver ni gestionar los recursos creados durante el periodo de vista previa mediante la Google Cloud consola. Para gestionar los recursos creados durante la vista previa, usa las APIs de vista previa o los comandos de gcloud de vista previa. Se puede acceder a las APIs de vista previa a través del endpoint https://privateca.googleapis.com/v1beta1/. Los comandos de la vista previa gcloud se pueden usar a través de gcloud privateca beta. Para obtener más información sobre los comandos de gcloud privateca beta, consulta gcloud privateca beta.

¿Se puede crear una AC subordinada con el mismo asunto y clave que otra AC de su cadena?

No, una CA subordinada no puede tener el mismo asunto y clave que la CA raíz ni que ninguna otra CA de su cadena. En el RFC 4158 se recomienda que los nombres de los sujetos y los pares de claves públicas no se repitan en las rutas.

¿Las claves de Cloud KMS gestionadas por el cliente son lo mismo que las CMEK?

No, las claves de Cloud KMS gestionadas por el cliente compatibles con el servicio de AC no son las mismas que las claves de cifrado gestionadas por el cliente (CMEK) que se gestionan con Cloud KMS. En el servicio de AC, puedes crear tus propias claves de Cloud KMS gestionadas por el cliente (también conocidas como claves BYO) para las ACs del nivel Enterprise. Estas claves se usan como clave de firma de la autoridad certificadora, a diferencia de las claves de cifrado, como las CMEK, que se usan para cifrar los datos en reposo en los servicios compatibles. Google Cloud El servicio de CA no admite CMEK.

¿Se pueden reutilizar los nombres de recursos después de que se eliminen?

No, los nombres de recursos, como los nombres de grupos de ACs, ACs y plantillas de certificados, no se pueden reutilizar en un nuevo recurso después de que se haya eliminado el recurso original. Por ejemplo, si crea un grupo de ACs llamado projects/Charlie/locations/Location-1/caPools/my-pool y, a continuación, lo elimina, no podrá crear otro grupo de ACs llamado my-pool en el proyecto Charlie y la ubicación Location-1.

Siguientes pasos