Questions fréquentes

Qu'est-ce que Certificate Authority Service ?

Certificate Authority Service est un service Google Cloud disponibilité élevée et évolutif qui permet aux clients de simplifier, d'automatiser et de personnaliser le déploiement, la gestion et la sécurité d'autorités de certification privées tout en conservant le contrôle de leurs clés privées.

Quels sont les cas d'utilisation courants de Certificate Authority Service ?

Vous trouverez ci-dessous quelques cas d'utilisation courants du service de certification.

  • Identités de charge de travail: exploitez les API pour obtenir des certificats pour des applications ou utiliser des certificats dans des applications, des conteneurs, des systèmes et d'autres ressources.
  • Scénarios d'entreprise: utilisez des certificats pour le VPN, Chrome Enterprise Premium, la signature de documents, l'accès au Wi-Fi, la messagerie, la carte à puce, etc.
  • Émission et gestion centralisées des certificats: configurez GKE Enterprise Service Mesh pour utiliser CA Service.
  • Identité des appareils IoT et mobiles: émettez des certificats TLS en tant qu'identité pour les points de terminaison.
  • Canal CI/CD, autorisation binaire, Istio et Kubernetes

Quelles normes de conformité sont acceptées par CA Service ?

Pour en savoir plus, consultez la section Sécurité et conformité.

Dans quels emplacements pouvons-nous créer des ressources du service d'autorité de certification ?

Les ressources du service d'autorité de certification peuvent être créées dans l'un des nombreux emplacements. Pour obtenir la liste complète des emplacements, consultez la section Emplacements.

Le service CA est-il compatible avec une PKI globale sous une racine unique ?

Oui, à condition que l'autorité de certification racine se trouve dans une seule région. Toutefois, vous pouvez créer plusieurs autorités de certification émettrices dans différentes régions qui se rattachent à la même racine.

Les libellés sont-ils acceptés pour les autorités de certification ?

Oui, vous pouvez associer des libellés aux pools d'autorités de certification et aux autorités de certification lors des opérations de création et de mise à jour.

Pour savoir comment mettre à jour les libellés d'un pool d'autorités de certification, consultez Mettre à jour les libellés d'un pool d'autorités de certification.

Pour savoir comment mettre à jour les libellés d'une autorité de certification, consultez Mettre à jour les libellés d'une autorité de certification.

Est-il possible d'utiliser Cloud Monitoring pour suivre la création de certificats et l'expiration des autorités de certification ? Est-il possible de générer des événements Pub/Sub pour eux ?

Oui, vous pouvez surveiller tous ces événements. Le service CA n'est pas compatible nativement avec Pub/Sub, mais vous pouvez le configurer à l'aide de Cloud Monitoring. Pour en savoir plus, consultez Utiliser la surveillance cloud avec le service CA.

Combien de temps les autorités de certification non activées sont-elles conservées ?

Les autorités de certification subordonnées sont créées à l'état AWAITING_USER_ACTIVATION et sont définies sur l'état STAGED après activation. Si une autorité de certification secondaire est toujours à l'état AWAITING_USER_ACTIVATION 30 jours après sa création, elle est supprimée.

Pour en savoir plus sur les différents états d'une autorité de certification au cours de son cycle de vie, consultez la section États des autorités de certification.

Quels contrôles d'accès CA Service prend en charge pour l'émission de certificats ?

CA Service permet de définir des stratégies IAM sur un pool d'autorités de certification pour contrôler qui peut émettre des certificats. Un administrateur d'une autorité de certification peut associer une règle d'émission à un pool d'autorités de certification. Cette règle d'émission définit des restrictions sur le type de certificats que les autorités de certification d'un pool d'autorités de certification peuvent émettre. Ces restrictions incluent, entre autres, des limites concernant le nom de domaine, les extensions et la période de validité du certificat.

Pour savoir comment configurer une stratégie d'émission sur un pool d'autorités de certification, consultez la section Utiliser une stratégie d'émission.

Pour savoir comment configurer les stratégies IAM nécessaires à la création et à la gestion des ressources du service de certification, consultez Configurer des stratégies IAM.

Certificate Authority Service est-il compatible avec les clés Cloud KMS multirégionales ?

Non, le service d'autorité de certification n'est pas compatible avec les clés Cloud KMS multirégionales.

CA Service limitera-t-il mes requêtes ? Quel est le RPS cible pour le service CA ?

Oui, il existe un mécanisme de limitation pour le service d'autorité de certification. Pour en savoir plus, consultez la page Quotas et limites.

Le service CA est-il compatible avec VPC Service Controls ?

Oui, le service CA est compatible avec VPC Service Controls. Pour en savoir plus, consultez les pages Produits compatibles et limites > Certificate Authority Service et Sécurité et conformité.

Comment les clés publiques encodées en PEM doivent-elles être utilisées avec les API REST ?

Les clés publiques encodées en PEM ne peuvent être utilisées avec les API REST qu'après avoir été encodées en base64.

Les API de la phase Preview peuvent-elles toujours être utilisées après l'annonce de la disponibilité générale du service CA ?

Oui, les API en version preview peuvent toujours être utilisées pendant une courte période après l'annonce de la disponibilité générale du service CA. Cette période n'est destinée qu'à permettre aux clients de passer facilement aux dernières API. Elle sera de courte durée et l'assistance sera limitée. Nous recommandons aux clients de passer aux API GA dès qu'elles seront disponibles.

Comment accéder aux ressources créées pendant la période de preview une fois que le service CA annonce sa disponibilité générale ?

Vous ne pouvez pas afficher ni gérer les ressources créées pendant la période de preview à l'aide de la console Google Cloud. Pour gérer les ressources créées pendant la phase de prévisualisation, utilisez les API de prévisualisation ou les commandes gcloud de prévisualisation. Les API Preview sont accessibles via le point de terminaison https://privateca.googleapis.com/v1beta1/. Les commandes gcloud d'aperçu sont accessibles via gcloud privateca beta. Pour en savoir plus sur les commandes gcloud privateca beta, consultez la page gcloud privateca beta.

Une autorité de certification subordonnée peut-elle être créée avec le même sujet et la même clé qu'une autre autorité de certification de sa chaîne ?

Non, une autorité de certification subordonnée ne peut pas avoir le même sujet et la même clé que l'autorité de certification racine ni toute autre autorité de certification de sa chaîne. La RFC 4158 recommande de ne pas répéter les noms d'objet et les paires de clés publiques dans les chemins.

Les clés Cloud KMS gérées par le client sont-elles identiques aux clés CMEK ?

Non, les clés Cloud KMS gérées par le client compatibles avec le service d'autorité de certification ne sont pas les mêmes que les clés de chiffrement gérées par le client (CMEK) gérées à l'aide de Cloud KMS. Dans le service d'autorité de certification, vous pouvez créer vos propres clés Cloud KMS gérées par le client (également appelées clés BYO) pour les autorités de certification du niveau Enterprise. Ces clés sont utilisées comme clé de signature de l'autorité de certification, contrairement aux clés de chiffrement telles que la CSEK, qui sont utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles. CA Service n'est pas compatible avec les clés CMEK.

Les noms de ressources peuvent-ils être réutilisés après la suppression de la ressource ?

Non, les noms de ressources tels que les noms de pools d'autorités de certification, d'autorités de certification et de modèles de certificat ne peuvent pas être réutilisés dans une nouvelle ressource après la suppression de la ressource d'origine. Par exemple, si vous créez un pool d'autorités de certification appelé projects/Charlie/locations/Location-1/caPools/my-pool, puis que vous le supprimez, vous ne pouvez pas créer un autre pool d'autorités de certification appelé my-pool dans le projet Charlie et l'emplacement Location-1.

Étape suivante