Gestionar recursos
Las autoridades de certificación (CAs) creadas a través del Servicio de Autoridades de Certificación dependen de dos tipos de recursos secundarios:
- Una versión de clave de Cloud Key Management Service, que se usa para firmar certificados y listas de revocación de certificados (CRL) emitidas por la autoridad de certificación. Para obtener más información sobre las versiones de clave, consulte Versiones de clave.
- Un segmento de Cloud Storage, que se usa para alojar un certificado de CA y cualquier CRL publicada por la CA, si estos ajustes están habilitados. Para obtener más información sobre los segmentos de Cloud Storage, consulta Segmentos.
Ambos recursos deben existir para cada AC y no se pueden cambiar una vez creada la AC.
Modelos de gestión
El servicio de CA admite dos modelos de gestión del ciclo de vida para estos recursos:
- Gestionado por Google
- Gestionada por el cliente
La clave de Cloud KMS y el segmento de Cloud Storage no tienen por qué usar el mismo modelo de gestión. Por ejemplo, la clave de Cloud KMS puede estar gestionada por Google y el segmento de Cloud Storage puede estar gestionado por el cliente, o viceversa.
Gestionado por Google
El Servicio de Autoridades de Certificación crea y configura automáticamente los recursos siguiendo este modelo al crear una CA, y elimina los recursos al eliminar una CA. Estos recursos no se te facturan por separado.
De forma predeterminada, las nuevas CAs usan claves de Cloud KMS gestionadas por Google y segmentos de Cloud Storage. Las claves de Cloud KMS gestionadas por Google usan el nivel de protección HSM y no se reutilizan en diferentes CAs. Puedes elegir un algoritmo de clave específico para la clave de Cloud KMS gestionada por Google al crear una AC. Las claves de Cloud KMS gestionadas por Google no se reutilizan en diferentes autoridades de certificación.
Para obtener información sobre cómo crear una CA raíz, consulta Crear una CA raíz. Para saber cómo crear una CA subordinada, consulta Crear una CA subordinada. Para obtener información sobre cómo elegir un algoritmo de clave, consulta Elegir un algoritmo de clave.
Gestionada por el cliente
Solo puedes crear recursos gestionados por el cliente para las autoridades certificadoras del nivel Enterprise. Debes crear y configurar los recursos gestionados por el cliente antes de crear la AC. Además, debe eliminar estos recursos en el momento oportuno después de que se haya destruido la CA. Estos recursos se facturan directamente a los usuarios. Las claves de Cloud KMS gestionadas por el cliente pueden usar los niveles de protección de HSM, software o externo.
CA Service trata el proyecto como el límite de seguridad de las claves de Cloud KMS gestionadas por el cliente. Por ejemplo, supongamos que una usuaria, Alicia, usa una clave de Cloud KMS gestionada por el cliente para crear una CA en el proyecto test. Después, otro usuario, Bob, puede usar la misma clave de Cloud KMS para crear otra CA en el mismo proyecto. Aunque Alicia necesita tener acceso de administrador a la clave para crear la primera CA, Bob no necesita ningún acceso a esa clave porque Alicia ya ha habilitado el uso de la clave por parte del servicio de CA en el proyecto test.
Ventajas de crear recursos gestionados por el cliente
Una de las ventajas de este modelo es que las llamadas tienen control directo sobre esos recursos. Los llamantes pueden actualizar directamente atributos como la gestión de acceso para adaptarlos a los requisitos de su organización.
Para crear una CA con recursos gestionados por el cliente, el llamante debe tener acceso de administrador a esos recursos para conceder el acceso adecuado al Servicio de Autoridades de Certificación. Para obtener más información, consulta Agente de servicio de CA.
Ubicación de las claves de Cloud KMS
Debes crear claves de Cloud KMS gestionadas por el cliente en la misma ubicación que tus recursos de CA Service. Para ver la lista completa de las ubicaciones del servicio de CA, consulta Ubicaciones. Para ver la lista de ubicaciones en las que se pueden crear recursos de Cloud KMS, consulta Ubicaciones de Cloud KMS.
Ubicación de los segmentos de Cloud Storage
Debe crear segmentos de Cloud Storage gestionados por el cliente en aproximadamente la misma ubicación que los recursos de su servicio de CA. No puedes crear el segmento de Cloud Storage fuera del continente en el que hayas creado los recursos del servicio de CA.
Por ejemplo, si tu CA está en us-west1, puedes crear los segmentos de Cloud Storage en cualquier región de EE. UU., como us-west1 o us-east1, en la región doble NAM4 y en la multirregión US.
Para ver la lista de ubicaciones en las que se pueden crear recursos de Cloud Storage, consulta Ubicaciones de Cloud Storage.
Acceso a los recursos gestionados
Cualquier persona que tenga la URL del certificado de la AC alojado en un segmento de Cloud Storage o cualquier CRL publicada por la AC puede acceder a estos recursos de forma predeterminada. Para evitar el acceso público a tu certificado de AC y a tu CRL, añade el proyecto que contiene el grupo de ACs a un perímetro de Controles de Servicio de VPC.
Si añades el proyecto que contiene el grupo de CAs a un perímetro de Controles de Servicio de VPC, el segmento de Cloud Storage gestionado por Google se unirá al perímetro. El perímetro de Controles de Servicio de VPC asegura que no se pueda acceder al segmento de Cloud Storage desde fuera de las redes aprobadas.
Los clientes que se encuentren dentro del perímetro de la red podrán seguir accediendo a las CRLs y a los certificados de la CA sin autenticación. Las solicitudes de acceso desde fuera de la red aprobada fallan.
URLs basadas en HTTP para certificados de CA y CRLs
Los certificados de AC y las CRLs están disponibles en URLs basadas en HTTP por los siguientes motivos:
Los clientes no deben confiar en los certificados de CA publicados en un bucket de Cloud Storage tal cual. Los certificados de CA forman parte de una cadena de certificados, que empieza con el certificado de la CA raíz. Cada certificado de la cadena de certificados está firmado por el certificado de la AC que se encuentra en un nivel superior de la cadena para mantener la integridad del certificado. Por lo tanto, no hay ninguna ventaja adicional en usar el protocolo HTTPS.
Algunos clientes rechazan las URLs basadas en HTTPS al validar certificados.
Habilitar la publicación de certificados de AC y CRLs para las ACs de un grupo de ACs
El servicio de AC permite publicar certificados de AC y CRL en segmentos de Cloud Storage de forma predeterminada al crear un grupo de AC. Si has inhabilitado la publicación de certificados de AC y CRLs al crear el grupo de ACs y quieres habilitarlos ahora, puedes seguir las instrucciones de esta sección.
Para habilitar la publicación de certificados de AC y de CRLs para todas las ACs de un grupo de ACs, siga estos pasos:
Consola
Ve a la página Servicio de autoridad de certificación en la consola deGoogle Cloud .
En la pestaña Gestor de grupos de CAs, haga clic en el nombre del grupo de CAs que quiera editar.
En la página Grupo de CAs, haz clic en Editar.
En Configurar los algoritmos y tamaños de clave permitidos, haz clic en Siguiente.
En Configure accepted certificate request methods (Configurar métodos de solicitud de certificado aceptados), haz clic en Next (Siguiente).
En Configurar opciones de publicación, haz clic en el interruptor de Publicar certificado de CA en el segmento de Cloud Storage de las CAs de este grupo.
Haz clic en el interruptor Publicar la lista de revocación de certificados en el segmento de Cloud Storage de las autoridades de certificación de este grupo.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert
Haz los cambios siguientes:
- POOL_ID: el nombre del grupo de autoridades de certificación.
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
Si habilitas --publish-ca-cert, el Servicio de Autoridades de Certificación escribe el certificado de cada autoridad de certificación en un segmento de Cloud Storage, cuya ruta se especifica en el recurso de la autoridad de certificación. La extensión AIA de todos los certificados emitidos apunta a la URL del objeto de Cloud Storage que contiene el certificado de la AC. La extensión CDP de todos los certificados emitidos apunta a la URL del objeto de Cloud Storage que contiene la CRL.
Para obtener más información sobre el comando gcloud privateca pools update, consulta gcloud privateca pools
update.
Para obtener más información sobre cómo habilitar la publicación de CRL para revocar certificados, consulta el artículo Revocar certificados.
Inhabilitar la publicación de certificados de AC y CRLs de las ACs de un grupo de ACs
Para inhabilitar la publicación de certificados de CA o de CRLs para todas las CAs de un grupo de CAs, haz lo siguiente:
Consola
Ve a la página Servicio de autoridad de certificación en la consola deGoogle Cloud .
En la pestaña Gestor de grupos de CAs, haga clic en el nombre del grupo de CAs que quiera editar.
En la página Grupo de CAs, haz clic en Editar.
En Configurar algoritmos y tamaños de clave permitidos, haz clic en Siguiente.
En Configure accepted certificate request methods (Configurar métodos de solicitud de certificado aceptados), haz clic en Next (Siguiente).
En Configurar opciones de publicación, haz clic en el interruptor de Publicar certificado de CA en el segmento de Cloud Storage de las CAs de este grupo.
Haz clic en el interruptor Publicar la lista de revocación de certificados en el segmento de Cloud Storage de las autoridades de certificación de este grupo.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert
Haz los cambios siguientes:
- POOL_ID: el nombre del grupo de autoridades de certificación.
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
Si inhabilita los puntos de distribución, no se eliminará el segmento de Cloud Storage ni sus permisos, y tampoco se eliminarán los certificados de CA ni las CRLs que ya estén alojados en él. Sin embargo, esto significa que las CRLs futuras ya no se publicarán en el segmento de Cloud Storage y que los certificados futuros no tendrán las extensiones AIA y CDP.
Actualizar el formato de codificación de los certificados de AC y las CRLs publicados
Para actualizar el formato de codificación de los certificados de CA y las CRLs publicadas, haz lo siguiente:
Consola
Ve a la página Servicio de autoridad de certificación en la consola deGoogle Cloud .
En la pestaña Gestor de grupos de CAs, haga clic en el nombre del grupo de CAs que quiera editar.
En la página Grupo de CAs, haz clic en Editar.
En Configurar algoritmos y tamaños de clave permitidos, haz clic en Siguiente.
En Configure accepted certificate request methods (Configurar métodos de solicitud de certificado aceptados), haz clic en Next (Siguiente).
En Configurar opciones de publicación, haz clic en el menú desplegable de Formato de codificación de publicación.
Selecciona el formato de codificación de publicación.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Haz los cambios siguientes:
- POOL_ID: el nombre de tu grupo de autoridades de certificación.
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- PUBLISHING_ENCODING_FORMAT:
PEMoDER.
Para obtener más información sobre el comando gcloud privateca pools update, consulta gcloud privateca pools update.
Siguientes pasos
- Consulta cómo crear grupos de CAs.
- Consulta cómo crear una CA raíz.
- Consulta cómo crear una CA subordinada.
- Consulta cómo crear una CA subordinada a partir de una CA externa.