Gerenciar recursos
As autoridades certificadoras (CAs) criadas pelo Certificate Authority Service usam dois tipos de recursos secundários:
- Uma versão de chave do Cloud Key Management Service, usada para assinar certificados e listas de revogação de certificados (CRLs, na sigla em inglês) emitidas pela AC. Para mais informações sobre as versões de chave, consulte Versões de chave.
- Um bucket do Cloud Storage, usado para hospedar um certificado de CA e CRLs publicadas pela CA, se essas configurações estiverem ativadas. Para mais informações sobre os buckets do Cloud Storage, consulte Buckets.
Esses dois recursos precisam existir para cada CA e não podem ser alterados após a criação da CA.
Modelos de gestão
O CA Service oferece suporte a dois modelos de gerenciamento de ciclo de vida recursos:
- Gerenciada pelo Google
- Gerenciada pelo cliente
A chave do Cloud KMS e o bucket do Cloud Storage não precisam usam o mesmo modelo de gerenciamento. Por exemplo, a chave do Cloud KMS pode ser gerenciado pelo Google, e o bucket do Cloud Storage pode ser gerenciado pelo cliente, ou por aí.
Gerenciada pelo Google
O CA Service cria e configura os recursos automaticamente seguindo esse modelo na criação da AC e exclui os recursos na exclusão da AC. Você não é cobrado separadamente por esses recursos.
Por padrão, as novas ACs usam chaves do Cloud KMS gerenciadas pelo Google e buckets do Cloud Storage. É possível escolher um algoritmo de chave específico para o Chave do Cloud KMS gerenciada pelo Google ao criar uma AC. As chaves do Cloud KMS gerenciadas pelo Google não são reutilizadas em CAs.
Para informações sobre como criar uma CA raiz, consulte Crie uma AC raiz. Para saber como criar uma AC subordinada, consulte Criar uma AC subordinada. Para orientações sobre como escolher um algoritmo de chave, consulte Escolha um algoritmo de chave.
Gerenciada pelo cliente
É possível criar recursos gerenciados pelo cliente apenas para CAs no nível Enterprise. Você precisa criar e configurar os recursos gerenciados pelo cliente antes da criação da AC. Além disso, será necessário excluir esses recursos em um momento adequado após a CA ser destruídos. Os usuários são cobrados diretamente por esses recursos.
O serviço de CA trata o projeto como o limite de segurança das chaves do Cloud KMS gerenciadas pelo cliente. Por exemplo, considere que uma usuária, Alice, usa uma chave do Cloud KMS gerenciada pelo cliente para criar uma AC no projeto test. Depois, outro usuário Beto pode usar a mesma chave do Cloud KMS para criar outra CA no mesmo projeto. Embora Alice precise ter acesso de administrador na chave para criar a primeira CA, Bob não precisa de acesso a essa chave porque Alice já ativou o uso da chave pelo serviço de AC no projeto test.
Vantagens de criar recursos gerenciados pelo cliente
Uma vantagem desse modelo é que os autores da chamada têm controle direto sobre do Google Cloud. Os autores da chamada podem atualizar diretamente atributos como gerenciamento de acesso para atender seus requisitos organizacionais.
Para criar uma AC com recursos gerenciados pelo cliente, o autor da chamada precisa ter acesso administrativo a esses recursos, a fim de conceder os devidos o acesso ao CA Service. Para mais informações, consulte Agente de serviço de CA.
Local das chaves do Cloud KMS
É necessário criar chaves do Cloud KMS gerenciadas pelo cliente no mesmo local dos recursos de serviço de AC. Para conferir a lista completa de locais do serviço de CA, consulte Locais. Para ver a lista de locais em que os recursos do Cloud KMS podem ser criados, consulte Locais do Cloud KMS.
Local dos buckets do Cloud Storage
É necessário criar buckets do Cloud Storage gerenciados pelo cliente aproximadamente no mesmo local que os recursos do CA Service. Você não é possível criar o bucket do Cloud Storage fora do continente onde você criou os recursos do CA Service.
Por exemplo, se a AC estiver em us-west1, será possível criar a
buckets do Cloud Storage em qualquer região nos EUA, como
us-west1 ou us-east1, o NAM4 birregional e o US da multirregião.
Para a lista de locais onde o Cloud Storage recursos podem ser criados, consulte Locais do Cloud Storage.
Acesso aos recursos gerenciados
Qualquer pessoa que tenha o URL do certificado de AC hospedado em um bucket do Cloud Storage ou qualquer CRL publicado pela AC pode acessar esses recursos por padrão. Para impedir o acesso público ao seu certificado de CA e CRL, adicione o projeto que contém o pool de ACs para um perímetro do VPC Service Controls.
Ao adicionar o projeto que contém o pool de ACs a um perímetro do VPC Service Controls, o bucket do Cloud Storage gerenciado pelo Google é incluído no perímetro. O perímetro do VPC Service Controls garante que o bucket do Cloud Storage não possa ser acessado de fora das redes aprovadas.
Os clientes no perímetro da rede ainda podem acessar as CRLs e a CA. certificados sem autenticação. As solicitações de acesso de fora na rede aprovada.
URLs baseados em HTTP para certificados de CA e CRLs
Os certificados de CA e as CRLs estão disponíveis em URLs baseados em HTTP para os seguintes motivos:
Não é esperado que um certificado de CA publicado em um bucket do Cloud Storage de confiança dos clientes no estado em que se encontram. Os certificados de CA fazem parte de um cadeia de certificados, que começa com o certificado da CA raiz. Cada certificado na cadeia de certificados é assinado pelo certificado da AC que é mais acima na cadeia para preservar a integridade do certificado. Portanto, não há vantagem adicional em usar o protocolo HTTPS.
Alguns clientes rejeitam URLs baseados em HTTPS durante a validação de certificados.
Ativar a publicação de certificados de CA e CRLs para CAs em um pool de CAs
O CA Service permite que o certificado de CA e a publicação de CRL buckets do Cloud Storage por padrão quando você cria um novo pool de ACs. Se você desativou a publicação de certificados de AC e CRL ao criar o pool de AC e quer ativá-los agora, siga as instruções desta seção.
Ativar a publicação de certificados de CA e de CRL para todas as CAs em uma CA faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Na guia Gerenciador de pool de CAs, clique no nome do pool de CAs que você quer usar. editar.
Na página Pool de CAs, clique em Editar.
Em Configurar algoritmos e tamanhos de chave permitidos, clique em Próxima.
Em Configurar métodos de solicitação de certificado aceitos, clique em Próxima.
Em Configurar opções de publicação, clique no botão de alternância para Publicar CA certificado para o bucket do Cloud Storage para ACs neste pool.
Clique no botão de alternância Publicar CRL no bucket do Cloud Storage para CAs neste pool.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --publish-crl --publish-ca-cert
Substitua POOL_ID pelo nome do pool de ACs.
Se você ativar --publish-ca-cert, o serviço de CA gravará a CA de cada CA
certificado para um bucket do Cloud Storage, com o caminho especificado no
recurso. A extensão AIA em todos os certificados emitidos aponta para o
URL de objeto do Cloud Storage que contém o certificado de CA. CRL
A extensão do ponto de distribuição (CDP) em todos os certificados emitidos apontam para
o URL do objeto do Cloud Storage que contém a CRL.
Para saber mais sobre como ativar a publicação de CRL para revogar certificados, consulte Como revogar certificados.
Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.
Desativar o certificado de CA e a publicação de CRL para CAs em um pool de CAs
Para desativar a publicação de certificados de AC ou de CRL para todas as ACs em um pool de ACs, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Na guia Gerenciador de pool de CAs, clique no nome do pool de CAs que você quer usar. editar.
Na página Pool de CAs, clique em Editar.
Em Configurar algoritmos e tamanhos de chaves permitidos, clique em Próxima.
Em Configurar métodos de solicitação de certificado aceitos, clique em Próxima.
Em Configurar opções de publicação, clique no botão de alternância para Publicar CA certificado para o bucket do Cloud Storage para ACs neste pool.
Clique no botão de alternância Publicar CRL no bucket do Cloud Storage para CAs neste pool.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --no-publish-crl --no-publish-ca-cert
Substitua POOL_ID pelo nome do pool de ACs.
Desativar pontos de distribuição não exclui o bucket do Cloud Storage nem as permissões e não remove nenhum certificado CA ou CRL que esteja já hospedados lá. No entanto, isso significa que as CRLs futuras não serão mais serão publicadas no bucket do Cloud Storage, e os certificados futuros não terão as extensões AIA e CDP.
Atualizar o formato de codificação de certificados de CA e CRLs publicados
Para atualizar o formato de codificação de certificados de AC e CRLs publicados, faça o seguinte:
Console
Acesse a página Certificate Authority Service no console do Google Cloud.
Na guia Gerenciador de pools de AC, clique no nome do pool de AC que você quer editar.
Na página Pool de CAs, clique em Editar.
Em Configurar algoritmos e tamanhos de chaves permitidos, clique em Próxima.
Em Configurar métodos de solicitação de certificado aceitos, clique em Próxima.
Em Configurar opções de publicação, clique no menu suspenso para Formato de codificação de publicação.
Selecione o formato de codificação da publicação.
gcloud
Execute este comando:
gcloud privateca pools update POOL_ID --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Substitua:
- POOL_ID: o nome do seu pool de ACs.
- PUBLISHING_ENCODING_FORMAT:
PEMouDER.
Para mais informações sobre o comando gcloud privateca pools update, consulte gcloud privateca pools update.
A seguir
- Saiba como criar pools de ACs.
- Saiba como criar uma AC raiz.
- Saiba como criar uma AC subordinada.
- Saiba como criar uma AC subordinada usando uma AC externa.