Perguntas frequentes
O que é o Certificate Authority Service?
O Certificate Authority Service é um serviço do Google Cloud com escalonamento e alta disponibilidade. Com ele, os clientes simplificam, automatizam e personalizam as implantações, o gerenciamento e a segurança de autoridades de certificação (AC) privadas, sem abrir mão do controle sobre as chaves privadas.
Quais são os casos de uso comuns do Certificate Authority Service?
Confira abaixo alguns casos de uso comuns do serviço de AC.
- Identidades de carga de trabalho: use APIs para receber certificados de aplicativos ou use certificados em aplicativos, contêineres, sistemas e outros recursos.
- Cenários empresariais: use certificados para VPN, Chrome Enterprise Premium, assinatura de documentos, acesso Wi-Fi, e-mail, smartcard e muito mais.
- Emissão e gerenciamento centralizados de certificados: configure o GKE Enterprise Service Mesh para usar o serviço de AC.
- Identidade de dispositivos móveis e IoT: emita certificados TLS como identidade para endpoints.
- Canal de CI/CD, autorização binária, Istio e Kubernetes.
Quais padrões de conformidade são compatíveis com o serviço de AC?
Para mais informações, consulte Segurança e conformidade.
Em quais locais podemos criar recursos do serviço de AC?
Os recursos do serviço de AC podem ser criados em vários locais. Para conferir a lista completa de locais, consulte Locais.
O serviço de AC oferece suporte a uma PKI global em uma única raiz?
Sim, desde que a AC raiz esteja em uma única região. No entanto, é possível criar várias ACs emissoras em regiões diferentes que se encadeiam à mesma raiz.
Os rótulos são compatíveis com as ACs?
Sim, é possível associar rótulos a pools de AC e ACs durante as operações de criação e atualização.
Para informações sobre como atualizar rótulos em um pool de AC, consulte Atualizar rótulos em um pool de AC.
Para informações sobre como atualizar rótulos em uma AC, consulte Atualizar rótulos em uma AC.
É possível usar o Cloud Monitoring para rastrear a criação de certificados e o vencimento da AC? É possível gerar eventos do Pub/Sub para eles?
Sim, é possível monitorar todos esses eventos. O serviço de AC não oferece suporte nativo ao Pub/Sub, mas é possível configurá-lo usando o Cloud Monitoring. Para mais informações, consulte Como usar o Cloud Monitoring com o serviço de AC.
Por quanto tempo as ACs não ativadas são mantidas?
As ACs subordinadas são criadas no estado AWAITING_USER_ACTIVATION e são definidas como STAGED após a ativação. Se uma AC subordinada ainda estiver no estado AWAITING_USER_ACTIVATION 30 dias após a criação, ela será excluída.
Para informações sobre os vários estados em que uma AC está durante o ciclo de vida, consulte Estados da autoridade de certificação.
Quais controles de acesso o serviço de AC oferece suporte para emissão de certificados?
O serviço de AC oferece suporte à definição de políticas do IAM em um pool de AC para controlar quem pode emitir certificados. Um administrador de AC pode anexar uma política de emissão a um pool de AC. Essa política de emissão define restrições sobre o tipo de certificados que as ACs em um pool de AC podem emitir. Essas restrições incluem limites no nome de domínio, extensões e período de validade do certificado, entre outras coisas.
Para mais informações sobre como configurar uma política de emissão em um pool de AC, consulte Como usar uma política de emissão.
Para informações sobre como configurar as políticas do IAM necessárias para criar e gerenciar recursos do serviço de AC, consulte Como configurar políticas do IAM.
O serviço de AC oferece suporte a chaves do Cloud KMS de várias regiões?
Não, o serviço de AC não oferece suporte a chaves do Cloud KMS de várias regiões.
O serviço de AC vai limitar minhas solicitações? Qual é o QPS de destino para o serviço de AC?
Sim, existe um mecanismo de limitação para o serviço de AC. Para mais informações, consulte Cotas e limites.
O serviço de AC oferece suporte ao VPC Service Controls?
Sim, o serviço de AC oferece suporte ao VPC Service Controls. Para mais informações, consulte Produtos e limitações com suporte > Certificate Authority Service e Segurança e conformidade.
Como as chaves públicas codificadas em PEM devem ser usadas com APIs REST?
As chaves públicas codificadas em PEM só podem ser usadas com APIs REST depois de serem codificadas em Base64.
As APIs de estágio de pré-lançamento ainda podem ser usadas depois que o serviço de AC anunciar a disponibilidade geral (GA)?
Sim, as APIs de pré-lançamento ainda podem ser usadas por um curto período após o anúncio da GA do serviço de AC. Esse período é destinado apenas para que os clientes façam a transição para o uso das APIs mais recentes e será de curta duração com suporte limitado. Recomendamos que os clientes migrem para o uso das APIs de GA assim que elas estiverem disponíveis.
Como os recursos criados durante o período de pré-lançamento podem ser acessados depois que o serviço de AC anunciar a disponibilidade geral (GA)?
Não é possível visualizar ou gerenciar recursos criados durante o período de pré-lançamento usando o Google Cloud console.
Para gerenciar recursos criados durante o pré-lançamento, use as APIs de pré-lançamento ou os comandos gcloud de pré-lançamento.
As APIs de pré-lançamento podem ser acessadas pelo endpoint https://privateca.googleapis.com/v1beta1/.
Os comandos de pré-lançamento gcloud podem ser acessados por gcloud privateca beta. Para mais informações sobre os comandos gcloud privateca beta, consulte gcloud privateca beta.
Uma AC subordinada pode ser criada com o mesmo assunto e chave de outra AC na cadeia?
Não, uma AC subordinada não pode ter o mesmo assunto e chave da AC raiz ou de qualquer outra AC na cadeia. A RFC 4158 recomenda que os nomes de assunto e os pares de chaves públicas não sejam repetidos em caminhos.
As chaves do Cloud KMS gerenciadas pelo cliente são as mesmas que a CMEK?
Não, as chaves do Cloud KMS gerenciadas pelo cliente com suporte no serviço de AC para as chaves de assinatura de AC não são as mesmas que as chaves de criptografia gerenciadas pelo cliente (CMEK) usadas para criptografar dados em repouso em serviços Google Cloud com suporte.
O serviço de AC oferece suporte à CMEK para criptografar determinados campos em certificados, como o assunto do certificado e os nomes alternativos do assunto (SANs). Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK) e serviço de AC.
Os nomes de recursos podem ser reutilizados depois que o recurso é excluído?
Não, os nomes de recursos, como os nomes de pools de AC, ACs e modelos de certificado, não podem ser reutilizados em um novo recurso depois que o recurso original é excluído. Por exemplo, se você criar um pool de AC chamado projects/Charlie/locations/Location-1/caPools/my-pool e excluir o pool de AC
, não será possível criar outro pool de AC chamado my-pool no projeto Charlie e no local Location-1.
O serviço de AC gera pares de chaves para certificados?
Não, o serviço de AC não gera pares de chaves para certificados. O serviço de AC nunca interage com suas chaves privadas, ajudando a aplicar a não repudiação. Somente o cliente que gerou a solicitação de certificado deve acessar a chave privada do certificado.
Para solicitar um certificado, siga estas etapas na máquina cliente:
- Gere um novo par de chaves que consiste em uma chave pública e uma chave privada.
- Armazene a chave privada com segurança.
- Envie apenas a chave pública para o serviço de AC como parte da solicitação de certificado.
Algumas ferramentas de cliente, como a CLI gcloud, fornecem uma flag --generate-key que gera o par de chaves localmente e envia apenas a chave pública para o serviço de AC.
A seguir
- Saiba mais sobre as limitações conhecidas.
- Leia as notas da versão.
- Saiba como receber suporte.