Pertanyaan umum (FAQ)

Apa yang dimaksud dengan Certificate Authority Service?

Certificate Authority Service adalah layanan Google Cloud yang skalabel dan sangat tersedia untuk memudahkan pelanggan menyederhanakan, mengotomatiskan, dan menyesuaikan deployment, pengelolaan, dan pengamanan certificate authority (CA) pribadi sekaligus tetap mengontrol kunci pribadinya.

Apa saja kasus penggunaan umum untuk Certificate Authority Service?

Berikut beberapa kasus penggunaan umum untuk CA Service.

  • Identitas beban kerja: Manfaatkan API untuk mendapatkan sertifikat bagi aplikasi atau menggunakan sertifikat dalam aplikasi, container, sistem, dan resource lainnya.
  • Skenario perusahaan: Gunakan sertifikat untuk VPN, Chrome Enterprise Premium, penandatanganan dokumen, akses Wi-Fi, email, smartcard, dan lainnya.
  • Penerbitan dan pengelolaan sertifikat terpusat: Konfigurasi GKE Enterprise Service Mesh untuk menggunakan CA Service.
  • Identitas perangkat IoT dan seluler: Terbitkan sertifikat TLS sebagai identitas untuk endpoint.
  • Saluran CI/CD, Otorisasi Biner, Istio, dan Kubernetes.

Standar kepatuhan mana yang didukung CA Service?

Untuk mengetahui informasi selengkapnya, lihat Keamanan dan Kepatuhan.

Di lokasi mana kita dapat membuat resource CA Service?

Resource CA Service dapat dibuat di salah satu dari banyak lokasi. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.

Apakah CA Service mendukung PKI global di bawah satu root?

Ya, asalkan CA root berada di satu region. Namun, Anda dapat membuat beberapa CA penerbit di berbagai region yang dirantai ke root yang sama.

Apakah label didukung untuk CA?

Ya, Anda dapat mengaitkan label ke kumpulan CA dan CA selama operasi pembuatan dan pembaruan.

Untuk mengetahui informasi tentang cara memperbarui label di kumpulan CA, lihat Memperbarui label di kumpulan CA.

Untuk mengetahui informasi tentang cara memperbarui label di CA, lihat Memperbarui label di CA.

Apakah Cloud Monitoring dapat digunakan untuk melacak pembuatan sertifikat dan masa berlaku CA? Apakah peristiwa Pub/Sub dapat dibuat untuk keduanya?

Ya, Anda dapat memantau semua peristiwa ini. CA Service tidak mendukung Pub/Sub secara native, tetapi Anda dapat mengonfigurasinya menggunakan Cloud Monitoring. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Cloud Monitoring dengan CA Service.

Berapa lama CA yang tidak diaktifkan dipertahankan?

CA subordinat dibuat dalam status AWAITING_USER_ACTIVATION, dan ditetapkan ke status STAGED setelah aktivasi. Jika CA subordinat masih dalam status AWAITING_USER_ACTIVATION 30 hari setelah dibuat, CA tersebut akan dihapus.

Untuk mengetahui informasi tentang berbagai status CA selama siklus prosesnya, lihat Status certificate authority.

Kontrol akses apa yang didukung CA Service untuk penerbitan sertifikat?

CA Service mendukung penetapan kebijakan IAM pada kumpulan CA untuk mengontrol siapa yang dapat menerbitkan sertifikat. Admin CA dapat melampirkan kebijakan penerbitan ke kumpulan CA. Kebijakan penerbitan ini menentukan batasan pada jenis sertifikat yang dapat diterbitkan oleh CA dalam kumpulan CA. Batasan ini mencakup penetapan batas pada nama domain, ekstensi, dan periode validitas sertifikat, serta hal lainnya.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan penerbitan pada kumpulan CA, lihat Menggunakan kebijakan penerbitan.

Untuk mengetahui informasi tentang cara mengonfigurasi kebijakan IAM yang diperlukan untuk membuat dan mengelola resource CA Service, lihat Mengonfigurasi kebijakan IAM.

Apakah CA Service mendukung kunci Cloud KMS multi-region?

Tidak, CA Service tidak mendukung kunci Cloud KMS multi-region.

Apakah CA Service akan membatasi permintaan saya? Berapa QPS target untuk CA Service?

Ya, ada mekanisme pembatasan untuk CA Service. Untuk mengetahui informasi selengkapnya, lihat Kuota dan batas.

Apakah CA Service mendukung Kontrol Layanan VPC?

Ya, CA Service mendukung Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat Produk dan batasan yang didukung > Certificate Authority Service dan Keamanan dan Kepatuhan.

Bagaimana kunci publik yang dienkode PEM seharusnya digunakan dengan REST API?

Kunci publik yang dienkode PEM hanya dapat digunakan dengan REST API setelah dienkode Base64.

Dapatkah API tahap pratinjau tetap digunakan setelah CA Service mengumumkan ketersediaan umum (GA)?

Ya, API pratinjau masih dapat digunakan untuk jangka waktu singkat setelah CA Service mengumumkan GA. Periode ini hanya ditujukan agar pelanggan dapat bertransisi dengan lancar ke penggunaan API terbaru dan akan berumur pendek dengan dukungan terbatas. Sebaiknya pelanggan bermigrasi ke penggunaan API GA segera setelah tersedia.

Bagaimana cara mengakses resource yang dibuat selama periode pratinjau setelah CA Service mengumumkan ketersediaan umum (GA)?

Anda tidak dapat melihat atau mengelola resource yang dibuat selama periode pratinjau menggunakan Google Cloud Konsol. Untuk mengelola resource yang dibuat selama pratinjau, gunakan API pratinjau atau perintah gcloud pratinjau. API pratinjau dapat diakses melalui endpoint https://privateca.googleapis.com/v1beta1/. Perintah pratinjau gcloud dapat diakses melalui gcloud privateca beta. Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca beta, lihat gcloud privateca beta.

Dapatkah CA subordinat dibuat dengan subjek dan kunci yang sama dengan CA lain dalam rantainya?

Tidak, CA subordinat tidak dapat memiliki subjek dan kunci yang sama dengan CA root, atau CA lain dalam rantainya. RFC 4158 merekomendasikan agar nama subjek dan pasangan kunci publik tidak diulang dalam jalur.

Apakah kunci Cloud KMS yang dikelola pelanggan sama dengan CMEK?

Tidak, kunci Cloud KMS yang dikelola pelanggan yang didukung di CA Service untuk kunci penandatanganan CA tidak sama dengan kunci enkripsi yang dikelola pelanggan (CMEK) yang digunakan untuk mengenkripsi data dalam penyimpanan di layanan Google Cloud yang didukung.

CA Service mendukung CMEK untuk mengenkripsi kolom tertentu dalam sertifikat, seperti subjek sertifikat dan Nama Alternatif Subjek (SAN). Untuk mengetahui informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK) dan CA Service.

Dapatkah nama resource digunakan kembali setelah resource dihapus?

Tidak, nama resource seperti nama kumpulan CA, CA, dan template sertifikat tidak dapat digunakan kembali dalam resource baru setelah resource asli dihapus. Misalnya, jika Anda membuat kumpulan CA bernama projects/Charlie/locations/Location-1/caPools/my-pool, lalu menghapus kumpulan CA, Anda tidak dapat membuat kumpulan CA lain bernama my-pool di project Charlie dan lokasi Location-1.

Apakah CA Service membuat pasangan kunci untuk sertifikat?

Tidak, CA Service tidak membuat pasangan kunci untuk sertifikat. CA Service tidak pernah berinteraksi dengan kunci pribadi Anda, sehingga membantu menegakkan non-penyangkalan. Hanya klien yang membuat permintaan sertifikat yang boleh mengakses kunci pribadi sertifikat.

Untuk meminta sertifikat, Anda harus melakukan langkah-langkah berikut di mesin klien:

  1. Buat pasangan kunci baru yang terdiri dari kunci publik dan kunci pribadi.
  2. Simpan kunci pribadi dengan aman.
  3. Kirim hanya kunci publik ke CA Service sebagai bagian dari permintaan sertifikat.

Beberapa alat klien, seperti gcloud CLI, menyediakan flag --generate-key yang membuat pasangan kunci secara lokal dan hanya mengirim kunci publik ke CA Service.

Langkah berikutnya