Certificate Authority Service – Übersicht

Certificate Authority Service (CA Service) ist ein hochskalierbarerGoogle Cloud -Dienst, mit dem Sie die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen und automatisieren können. Private Zertifizierungsstellen stellen digitale Zertifikate aus, die Entitätsidentität, Ausstelleridentität und kryptografische Signaturen enthalten. Private Zertifikate sind eine der gängigsten Methoden zur Authentifizierung von Nutzern, Computern oder Diensten über Netzwerke. Private Zertifikate werden häufig in DevOps-Umgebungen verwendet, um Container, Mikrodienste, virtuelle Maschinen und Dienstkonten zu schützen.

Mit CA Service haben Sie folgende Möglichkeiten:

  • Benutzerdefinierte Stamm- und untergeordnete CAs erstellen
  • Definieren Sie das Subjekt, den Schlüsselalgorithmus und den Standort der CA.
  • Wählen Sie die Region einer untergeordneten Zertifizierungsstelle unabhängig von der Region der zugehörigen Stammzertifizierungsstelle aus.
  • Wiederverwendbare und parametrisierte Vorlagen für gängige Szenarien für die Zertifikatausstellung erstellen.
  • Sie können Ihre eigene Root-Zertifizierungsstelle mitbringen und andere Zertifizierungsstellen so konfigurieren, dass sie mit der vorhandenen Root-Zertifizierungsstelle verknüpft werden, die lokal oder an einem anderen Ort außerhalb von Google Cloudausgeführt wird.
  • Speichern Sie Ihre privaten CA-Schlüssel mit Cloud HSM. Dieser Dienst entspricht FIPS 140-2 Level 3 und ist in mehreren Regionen in Amerika, Europa und dem asiatisch-pazifischen Raum verfügbar.
  • Cloud-Audit-Logs liefern Ihnen Logs, aus denen Sie genau ersehen können, wer was wann und wo getan hat.
  • Definieren Sie detaillierte Zugriffskontrollen mit Identity and Access Management (IAM) und virtuelle Sicherheitsbereiche mit VPC Service Controls.
  • Sie können große Mengen an Zertifikaten verwalten, da CA Service die Ausstellung von bis zu 25 Zertifikaten pro Sekunde und Zertifizierungsstelle (DevOps-Stufe) unterstützt. Das bedeutet, dass jede Zertifizierungsstelle Millionen von Zertifikaten ausstellen kann. Sie können mehrere Zertifizierungsstellen hinter einem Ausstellungs-Endpunkt erstellen, der als CA-Pool bezeichnet wird, und die eingehenden Zertifikatsanfragen auf alle Zertifizierungsstellen verteilen. Mit dieser Funktion können Sie bis zu 100 Zertifikate pro Sekunde ausstellen.
  • Sie können private CAs so verwalten, automatisieren und einbinden, wie es für Sie am praktischsten ist: über APIs, die Google Cloud CLI, die Google Cloud Console oder Terraform.

Anwendungsfälle für Zertifikate

Sie können Ihre privaten Zertifizierungsstellen verwenden, um Zertifikate für die folgenden Anwendungsfälle auszustellen:

  • Integrität der Softwarelieferkette und Codeidentität: Codesignatur, Artefaktauthentifizierung und Zertifikate für die Anwendungsidentität.
  • Nutzeridentität: Clientauthentifizierungszertifikate, die als Nutzeridentität für Zero-Trust-Netzwerke, VPN, Dokumentsignaturen, E-Mails, Smartcards usw. verwendet werden.
  • IoT- und Mobilgeräteidentität: Client-Authentifizierungszertifikate, die als Geräteidentität und zur Authentifizierung verwendet werden, z. B. für den drahtlosen Zugriff.
  • Intraservice-Identität: mTLS-Zertifikate, die von Microservices verwendet werden.
  • Channels für Continuous Integration und Continuous Delivery (CI/CD): Codesignaturzertifikate, die während des gesamten CI/CD-Builds verwendet werden, um die Codeintegrität und ‑sicherheit zu verbessern.
  • Kubernetes und Istio: Zertifikate zum Sichern von Verbindungen zwischen den Kubernetes- und Istio-Komponenten.

Vorteile einer privaten PKI

In einer typischen Web-PKI (Public-Key-Infrastruktur) vertrauen Millionen von Clients weltweit einer Reihe unabhängiger Zertifizierungsstellen (Certificate Authorities, CAs), die Identitäten (z. B. Domainnamen) in Zertifikaten bestätigen. Im Rahmen ihrer Aufgaben verpflichten sich CAs, Zertifikate nur auszustellen, wenn sie die Identität in diesem Zertifikat unabhängig validiert haben. Eine Zertifizierungsstelle muss beispielsweise in der Regel bestätigen, dass eine Person, die ein Zertifikat für den Domainnamen example.com anfordert, tatsächlich die Kontrolle über die betreffende Domain hat, bevor sie ein Zertifikat für sie ausstellt. Da diese CAs Zertifikate für Millionen von Kunden ausstellen können, mit denen sie möglicherweise keine direkte Beziehung haben, dürfen sie nur öffentlich überprüfbare Identitäten bestätigen. Diese CAs sind auf bestimmte, genau definierte Überprüfungsverfahren beschränkt, die in der gesamten Web-PKI einheitlich angewendet werden.

Im Gegensatz zur Web-PKI umfasst eine private PKI oft eine kleinere CA-Hierarchie, die direkt von einer Organisation verwaltet wird. Bei einer privaten PKI werden Zertifikate nur an Clients gesendet, die der Organisation von Natur aus vertrauen, dass sie die entsprechenden Kontrollen hat (z. B. Maschinen, die der Organisation gehören). Da CA-Administratoren oft eigene Methoden zum Validieren von Identitäten haben, für die sie Zertifikate ausstellen (z. B. das Ausstellen von Zertifikaten für ihre eigenen Mitarbeiter), unterliegen sie nicht denselben Anforderungen wie für Web-PKI. Diese Flexibilität ist einer der Hauptvorteile von privater PKI gegenüber Web-PKI. Eine private PKI ermöglicht neue Anwendungsfälle, z. B. das Sichern interner Websites mit kurzen Domainnamen, ohne dass ein eindeutiger Besitz dieser Namen erforderlich ist, oder das Codieren alternativer Identitätsformate (z. B. SPIFFE-IDs) in einem Zertifikat.

Außerdem müssen alle CAs gemäß der Web-PKI jedes von ihnen ausgestellte Zertifikat in öffentlichen Certificate Transparency-Protokollen protokollieren. Dies ist möglicherweise nicht erforderlich für Organisationen, die Zertifikate für ihre internen Dienste ausstellen. Mit einer privaten PKI können Organisationen die Topologie ihrer internen Infrastruktur, z. B. die Namen ihrer Netzwerkdienste oder Anwendungen, vor dem Rest der Welt schützen.

Nächste Schritte