Domande frequenti

Che cos'è Certificate Authority Service?

Certificate Authority Service è un servizio Google Cloud scalabile e ad alta disponibilità che consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private, mantenendo il controllo delle proprie chiavi private.

Quali sono i casi d'uso comuni di Certificate Authority Service?

Di seguito sono riportati alcuni casi d'uso comuni per il servizio CA.

  • Identità di carico di lavoro: utilizza le API per ottenere certificati per le applicazioni o utilizzarli in applicazioni, container, sistemi e altre risorse.
  • Scenari aziendali: utilizza i certificati per VPN, Chrome Enterprise Premium, firma dei documenti, accesso Wi-Fi, email, smart card e altro ancora.
  • Emissione e gestione centralizzata dei certificati: configura GKE Enterprise Service Mesh per utilizzare il servizio CA.
  • Identità di dispositivi mobili e IoT: emetti certificati TLS come identità per gli endpoint.
  • Canale CI/CD, Autorizzazione binaria, Istio e Kubernetes.

Quali standard di conformità supporta il servizio CA?

Per informazioni, vedi Sicurezza e conformità.

In quali località possiamo creare risorse del servizio CA?

Le risorse del servizio CA possono essere create in una delle numerose località. Per l'elenco completo delle località, consulta Località.

Il servizio CA supporta una PKI globale sotto un'unica radice?

Sì, a condizione che la CA principale si trovi in un'unica regione. Tuttavia, puoi creare più CA emittenti in regioni diverse che si collegano alla stessa radice.

Le etichette sono supportate per le CA?

Sì, puoi associare le etichette ai pool di CA e alle CA durante le operazioni di creazione e aggiornamento.

Per informazioni sull'aggiornamento delle etichette in un pool di CA, vedi Aggiornare le etichette in un pool di CA.

Per informazioni su come aggiornare le etichette in una CA, consulta Aggiornare le etichette in una CA.

È possibile utilizzare Cloud Monitoring per monitorare la creazione dei certificati e la scadenza della CA? È possibile generare eventi Pub/Sub per questi?

Sì, puoi monitorare tutti questi eventi. Il servizio CA non supporta in modo nativo Pub/Sub, ma puoi configurarlo utilizzando Cloud Monitoring. Per saperne di più, consulta Utilizzare il monitoraggio cloud con il servizio CA.

Per quanto tempo vengono conservate le CA non attivate?

Le CA subordinate vengono create nello stato AWAITING_USER_ACTIVATION e impostate sullo stato STAGED dopo l'attivazione. Se una CA secondaria è ancora nello stato AWAITING_USER_ACTIVATION 30 giorni dopo la sua creazione, viene eliminata.

Per informazioni sui vari stati di un'autorità di certificazione durante il suo ciclo di vita, consulta Stati delle autorità di certificazione.

Quali controlli di accesso supporta CA Service per l'emissione di certificati?

Il servizio CA supporta l'impostazione di criteri IAM in un pool di CA per controllare chi può emettere certificati. Un amministratore CA può associare un criterio di emissione a un pool di CA. Questo criterio di emissione definisce le limitazioni relative al tipo di certificati che le CA in un pool di CA possono emettere. Queste limitazioni includono, tra le altre cose, limiti al nome di dominio, alle estensioni e al periodo di validità del certificato.

Per ulteriori informazioni su come configurare un criterio di emissione in un pool di CA, consulta Utilizzare un criterio di emissione.

Per informazioni su come configurare i criteri IAM necessari per creare e gestire le risorse di CA Service, consulta Configurare i criteri IAM.

Il servizio CA supporta le chiavi Cloud KMS multiregione?

No, il servizio CA non supporta le chiavi Cloud KMS multiregione.

Il servizio CA ridurrà mai le mie richieste? Qual è il QPS target per il servizio CA?

Sì, esiste un meccanismo di throttling per il servizio CA. Per ulteriori informazioni, consulta Quote e limiti.

Il servizio CA supporta i Controlli di servizio VPC?

Sì, il servizio CA supporta i Controlli di servizio VPC. Per ulteriori informazioni, consulta Prodotti supportati e limitazioni > Servizio delle autorità di certificazione e Sicurezza e conformità.

Come devono essere utilizzate le chiavi pubbliche con codifica PEM con le API REST?

Le chiavi pubbliche con codifica PEM possono essere utilizzate con le API REST solo dopo essere state sottoposte a codifica Base64.

Le API della fase di anteprima possono essere utilizzate anche dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Sì, le API di anteprima possono essere utilizzate ancora per un breve periodo dopo l'annuncio della disponibilità generale del servizio CA. Questo periodo è inteso solo per consentire ai clienti di passare senza problemi all'utilizzo delle API più recenti e sarà di breve durata con un supporto limitato. Consigliamo ai clienti di eseguire la migrazione all'utilizzo delle API GA non appena saranno disponibili.

Come è possibile accedere alle risorse create durante il periodo di anteprima dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Non puoi visualizzare o gestire le risorse create durante il periodo di anteprima utilizzando la console Google Cloud. Per gestire le risorse create durante l'anteprima, utilizza le API di anteprima o i comandi gcloud di anteprima. Le API di anteprima sono accessibili tramite l'endpoint https://privateca.googleapis.com/v1beta1/. I comandi di anteprima gcloud sono accessibili tramite gcloud privateca beta. Per ulteriori informazioni sui comandi gcloud privateca beta, consulta gcloud privateca beta.

È possibile creare una CA subordinata con lo stesso soggetto e la stessa chiave di un'altra CA nella catena?

No, una CA subordinata non può avere lo stesso soggetto e la stessa chiave della CA principale o di qualsiasi altra CA nella catena. L'RFC 4158 consiglia di non ripetere i nomi degli oggetti e le coppie di chiavi pubbliche nei percorsi.

Le chiavi Cloud KMS gestite dal cliente sono uguali alle chiavi CMEK?

No, le chiavi Cloud KMS gestite dal cliente supportate nel servizio CA non sono uguali alle chiavi di crittografia gestite dal cliente (CMEK) gestite utilizzando Cloud KMS. In CA Service, puoi creare le tue chiavi Cloud KMS gestite dal cliente (chiavi BYO), per le CA nel livello Enterprise. Queste chiavi vengono utilizzate come chiave di firma della CA, diversamente dalle chiavi di crittografia come CMEK che vengono utilizzate per criptare i dati a riposo all'interno dei servizi Google Cloud supportati. Il servizio CA non supporta CMEK.

I nomi delle risorse possono essere riutilizzati dopo l'eliminazione della risorsa?

No, i nomi delle risorse, come i nomi dei pool di CA, delle CA e dei modelli di certificato, non possono essere riutilizzati in una nuova risorsa dopo l'eliminazione della risorsa originale. Ad esempio, se crei un pool di CA denominato projects/Charlie/locations/Location-1/caPools/my-pool e poi lo elimini, non puoi creare un altro pool di CA denominato my-pool nel progetto Charlie e nella località Location-1.

Passaggi successivi