Perguntas frequentes

O que é o Certificate Authority Service?

O Certificate Authority Service é um serviço do Google Cloud altamente disponível e escalável que permite aos clientes simplificar, automatizar e personalizar a implementação, a gestão e a segurança de autoridades de certificação (ACs) privadas, mantendo o controlo das respetivas chaves privadas.

Quais são os exemplos de utilização comuns do serviço de autoridade de certificação?

Seguem-se alguns exemplos de utilização comuns do serviço de CA.

  • Identidades de carga de trabalho: tire partido das APIs para obter certificados para aplicações ou usar certificados em aplicações, contentores, sistemas e outros recursos.
  • Cenários empresariais: use certificados para VPN, Chrome Enterprise Premium, assinatura de documentos, acesso Wi-Fi, email, cartão inteligente e muito mais.
  • Emissão e gestão centralizadas de certificados: configure o GKE Enterprise Service Mesh para usar o serviço de AC.
  • Identidade de dispositivos móveis e IoT: emita certificados TLS como identidade para pontos finais.
  • Canal de CI/CD, Autorização binária, Istio e Kubernetes.

Que normas de conformidade são suportadas pelo CA Service?

Para mais informações, consulte o artigo Segurança e conformidade.

Em que localizações podemos criar recursos do serviço de AC?

Os recursos do serviço de AC podem ser criados numa de várias localizações. Para ver a lista completa de localizações, consulte Localizações.

O serviço de AC suporta uma ICP global numa única raiz?

Sim, desde que a AC de raiz esteja numa única região. No entanto, pode criar várias ACs de emissão em diferentes regiões que se encadeiam até à mesma raiz.

As etiquetas são suportadas para CAs?

Sim, pode associar etiquetas a conjuntos de CA e CAs durante as operações de criação e atualização.

Para obter informações sobre a atualização de etiquetas num conjunto de ACs, consulte o artigo Atualizar etiquetas num conjunto de ACs.

Para obter informações sobre a atualização de etiquetas num CA, consulte o artigo Atualizar etiquetas num CA.

É possível usar o Cloud Monitoring para acompanhar a criação de certificados e a expiração da CA? É possível gerar eventos Pub/Sub para eles?

Sim, pode monitorizar todos estes eventos. O serviço de AC não suporta nativamente o Pub/Sub, mas pode configurá-lo através do Cloud Monitoring. Para mais informações, consulte o artigo Usar o Cloud Monitoring com o CA Service.

Durante quanto tempo são retidas as ACs não ativadas?

As ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION e são definidas para o estado STAGED após a ativação. Se uma AC subordinada ainda estiver no estado AWAITING_USER_ACTIVATION 30 dias após a sua criação, é eliminada.

Para informações sobre os vários estados em que uma AC se encontra ao longo do respetivo ciclo de vida, consulte o artigo Estados da autoridade de certificação.

Que controlos de acesso são suportados pelo serviço de AC para a emissão de certificados?

O serviço de AC suporta a definição de políticas IAM num conjunto de ACs para controlar quem pode emitir certificados. Um administrador da AC pode anexar uma política de emissão a um conjunto da AC. Esta política de emissão define restrições sobre o tipo de certificados que as ACs num conjunto de ACs podem emitir. Estas restrições incluem a colocação de limites no nome do domínio, nas extensões e no período de validade do certificado, entre outras coisas.

Para mais informações sobre como configurar uma política de emissão num conjunto de ACs, consulte o artigo Usar uma política de emissão.

Para obter informações sobre como configurar as políticas IAM necessárias para criar e gerir recursos do serviço de AC, consulte o artigo Configurar políticas IAM.

O serviço de CA suporta chaves do Cloud KMS multirregionais?

Não, o serviço de CA não suporta chaves do Cloud KMS multirregionais.

O serviço CA vai limitar as minhas solicitações? Qual é o QPS alvo para o serviço de CA?

Sim, existe um mecanismo de limitação para o serviço de CA. Para mais informações, consulte o artigo Quotas e limites.

O CA Service suporta os VPC Service Controls?

Sim, o serviço de CA suporta os VPC Service Controls. Para mais informações, consulte os artigos Produtos suportados e limitações > Serviço de autoridade de certificação e Segurança e conformidade.

Como devem ser usadas as chaves públicas codificadas em PEM com APIs REST?

As chaves públicas codificadas em PEM só podem ser usadas com APIs REST depois de terem sido codificadas em Base64.

As APIs de fase de pré-visualização podem continuar a ser usadas após o serviço CA anunciar a disponibilidade geral (GA)?

Sim, as APIs de pré-visualização podem continuar a ser usadas durante um curto período após o serviço de CA anunciar a disponibilidade geral. Este período destina-se apenas a permitir que os clientes façam a transição sem problemas para a utilização das APIs mais recentes e terá uma duração curta com apoio técnico limitado. Recomendamos que os clientes façam a migração para a utilização das APIs GA assim que estiverem disponíveis.

Como é possível aceder aos recursos criados durante o período de pré-visualização após o serviço de AC anunciar a disponibilidade geral (GA)?

Não pode ver nem gerir recursos criados durante o período de pré-visualização através da Google Cloud consola. Para gerir os recursos criados durante a pré-visualização, use as APIs de pré-visualização ou os comandos gcloud de pré-visualização. As APIs de pré-visualização são acessíveis através do ponto final https://privateca.googleapis.com/v1beta1/. Os comandos de gcloud pré-visualização são acessíveis através de gcloud privateca beta. Para mais informações sobre os comandos gcloud privateca beta, consulte gcloud privateca beta.

Pode ser criada uma AC subordinada com o mesmo assunto e chave que outra AC na respetiva cadeia?

Não, uma AC subordinada não pode ter o mesmo assunto e chave que a AC raiz ou qualquer outra AC na respetiva cadeia. A RFC 4158 recomenda que os nomes dos assuntos e os pares de chaves públicas não sejam repetidos nos caminhos.

As chaves do Cloud KMS geridas pelo cliente são iguais às CMEK?

Não, as chaves do Cloud KMS geridas pelo cliente suportadas no serviço de CA não são iguais às chaves de encriptação geridas pelo cliente (CMEK) que são geridas através do Cloud KMS. No serviço de AC, pode criar as suas próprias chaves do Cloud KMS geridas pelo cliente (também conhecidas como BYO-key) para ACs no nível Enterprise. Estas chaves são usadas como a chave de assinatura da AC, ao contrário das chaves de encriptação, como a CMEK, que são usadas para encriptar dados em repouso nos serviços Google Cloud suportados. O serviço de AC não suporta CMEK.

Os nomes dos recursos podem ser reutilizados após a eliminação do recurso?

Não, não é possível reutilizar nomes de recursos, como os nomes de conjuntos de ACs, ACs e modelos de certificados, num novo recurso após a eliminação do recurso original. Por exemplo, se criar um grupo de ACs denominado projects/Charlie/locations/Location-1/caPools/my-pool e, em seguida, eliminar o grupo de ACs, não pode criar outro grupo de ACs denominado my-pool no projeto Charlie e na localização Location-1.

O que se segue?