Häufig gestellte Fragen
Was ist Certificate Authority Service?
Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können. Dabei behalten sie die Kontrolle über ihre privaten Schlüssel.
Was sind die häufigsten Anwendungsfälle für Certificate Authority Service?
Im Folgenden sind einige häufige Anwendungsfälle für CA Service aufgeführt.
- Arbeitslastidentitäten: Nutzen Sie APIs, um Zertifikate für Anwendungen zu erhalten, oder verwenden Sie Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen.
- Unternehmensszenarien: Verwenden Sie Zertifikate für VPN, Chrome Enterprise Premium, das Signieren von Dokumenten, WLAN-Zugriff, E-Mail, Smartcards und mehr.
- Zentrale Zertifikatsausstellung und ‑verwaltung: Konfigurieren Sie GKE Enterprise Service Mesh für die Verwendung von CA Service.
- IoT- und Mobilgeräteidentität: Stellen Sie TLS-Zertifikate als Identität für Endpunkte aus.
- CI/CD-Kanal, Binärautorisierung, Istio und Kubernetes.
Welche Compliance-Standards werden von CA Service unterstützt?
Weitere Informationen finden Sie unter Sicherheit und Compliance.
An welchen Standorten können wir CA Service-Ressourcen erstellen?
CA Service-Ressourcen können an vielen Standorten erstellt werden. Die vollständige Liste der Standorte finden Sie unter Standorte.
Unterstützt CA Service eine globale PKI unter einer einzigen Stamm-CA?
Ja, sofern sich die Stamm-CA in einer einzigen Region befindet. Sie können jedoch mehrere ausstellende CAs in verschiedenen Regionen erstellen, die mit derselben Stamm-CA verkettet sind.
Werden Labels für CAs unterstützt?
Ja, Sie können CA-Pools und CAs während der Erstellung und Aktualisierung Labels zuweisen.
Informationen zum Aktualisieren von Labels für einen CA-Pool finden Sie unter Labels für einen CA-Pool aktualisieren.
Informationen zum Aktualisieren von Labels für eine CA finden Sie unter Labels für eine CA aktualisieren.
Ist es möglich, mit Cloud Monitoring die Zertifikaterstellung und den Ablauf von CAs zu verfolgen? Ist es möglich, Pub/Sub-Ereignisse dafür zu generieren?
Ja, Sie können alle diese Ereignisse beobachten. CA Service unterstützt Pub/Sub nicht nativ, kann aber mit Cloud Monitoring konfiguriert werden. Weitere Informationen finden Sie unter Cloud Monitoring mit CA Service verwenden.
Wie lange werden nicht aktivierte CAs aufbewahrt?
Untergeordnete CAs werden im Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn sich eine untergeordnete CA 30 Tage nach der Erstellung noch im Status AWAITING_USER_ACTIVATION befindet, wird sie gelöscht.
Informationen zu den verschiedenen Status, in denen sich eine CA während ihres Lebenszyklus befindet, finden Sie unter Status der Zertifizierungsstelle.
Welche Zugriffskontrollen unterstützt CA Service für die Zertifikatsausstellung?
CA Service unterstützt das Festlegen von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen kann. Ein CA-Administrator kann einem CA-Pool eine Ausstellungsrichtlinie zuweisen. Diese Ausstellungsrichtlinie definiert Einschränkungen für die Art von Zertifikaten, die die CAs in einem CA-Pool ausstellen können. Zu diesen Einschränkungen gehören unter anderem Beschränkungen für den Domainnamen, Erweiterungen und den Gültigkeitszeitraum des Zertifikats.
Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen CA-Pool finden Sie unter Ausstellungsrichtlinie verwenden.
Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen finden Sie unter IAM-Richtlinien konfigurieren.
Unterstützt CA Service Cloud KMS-Schlüssel für mehrere Regionen?
Nein, CA Service unterstützt keine Cloud KMS-Schlüssel für mehrere Regionen.
Wird CA Service meine Anfragen jemals drosseln? Wie hoch ist die Ziel-QPS für CA Service?
Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.
Unterstützt CA Service VPC Service Controls?
Ja, CA Service unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Sicherheit und Compliance.
Wie werden PEM-codierte öffentliche Schlüssel mit REST APIs verwendet?
PEM-codierte öffentliche Schlüssel können nur mit REST APIs verwendet werden, nachdem sie Base64-codiert wurden.
Können APIs in der Vorschauphase noch verwendet werden, nachdem CA Service allgemein verfügbar ist?
Ja, APIs in der Vorschauphase können noch für kurze Zeit verwendet werden, nachdem CA Service allgemein verfügbar ist. Dieser Zeitraum ist nur für Kunden gedacht, um reibungslos zu den neuesten APIs zu wechseln. Er ist kurz und der Support ist begrenzt. Wir empfehlen Kunden, so bald wie möglich zu den APIs der allgemeinen Verfügbarkeit zu migrieren.
Wie kann auf Ressourcen zugegriffen werden, die während der Vorschauphase erstellt wurden, nachdem CA Service allgemein verfügbar ist?
Sie können Ressourcen, die während der Vorschauphase erstellt wurden, nicht über die Google Cloud Console ansehen oder verwalten.
Verwenden Sie zum Verwalten von Ressourcen, die während der Vorschauphase erstellt wurden, die APIs in der Vorschauphase oder die gcloud-Befehle in der Vorschauphase.
Die APIs in der Vorschauphase sind über den Endpunkt https://privateca.googleapis.com/v1beta1/ zugänglich.
Die Befehle in der Vorschauphase sind über gcloud privateca beta zugänglich.gcloud Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.
Kann eine untergeordnete CA mit demselben Betreff und Schlüssel wie eine andere CA in ihrer Kette erstellt werden?
Nein, eine untergeordnete CA kann nicht denselben Betreff und Schlüssel wie die Stamm-CA oder eine andere CA in ihrer Kette haben. In RFC 4158 wird empfohlen, dass Betreffnamen und öffentliche Schlüsselpaare in Pfaden nicht wiederholt werden.
Sind vom Kunden verwaltete Cloud KMS-Schlüssel dasselbe wie CMEK?
Nein, die vom Kunden verwalteten Cloud KMS Schlüssel , die in CA Service für die CA-Signaturschlüssel unterstützt werden, sind nicht dieselben wie vom Kunden verwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), die zum Verschlüsseln von inaktiven Daten in unterstützten Google Cloud Diensten verwendet werden.
CA Service unterstützt CMEK zum Verschlüsseln bestimmter Felder in Zertifikaten, z. B. des Zertifikatbetreffs und der alternativen Betreffnamen (Subject Alternative Names, SANs). Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) und CA Service.
Können Ressourcennamen wiederverwendet werden, nachdem die Ressource gelöscht wurde?
Nein, Ressourcennamen wie die Namen von CA-Pools, CAs und Zertifikatsvorlagen können in einer neuen Ressource nicht wiederverwendet werden, nachdem die ursprüngliche Ressource gelöscht wurde. Wenn Sie beispielsweise einen CA-Pool mit dem Namen projects/Charlie/locations/Location-1/caPools/my-pool erstellen und ihn dann löschen, können Sie keinen weiteren CA-Pool mit dem Namen my-pool im Projekt Charlie und am Standort Location-1 erstellen.
Generiert CA Service Schlüsselpaare für Zertifikate?
Nein, CA Service generiert keine Schlüsselpaare für Zertifikate. CA Service interagiert niemals mit Ihren privaten Schlüsseln, um die Nichtabstreitbarkeit zu erzwingen. Nur der Client, der die Zertifikatanfrage generiert hat, sollte auf den privaten Schlüssel des Zertifikats zugreifen.
Um ein Zertifikat anzufordern, müssen Sie die folgenden Schritte auf dem Clientcomputer ausführen:
- Generieren Sie ein neues Schlüsselpaar aus einem öffentlichen und einem privaten Schlüssel.
- Speichern Sie den privaten Schlüssel sicher.
- Senden Sie nur den öffentlichen Schlüssel als Teil der Zertifikatanfrage an CA Service.
Einige Clienttools wie die gcloud CLI bieten das Flag --generate-key, mit dem das Schlüsselpaar lokal generiert und nur der öffentliche Schlüssel an CA Service gesendet wird.
Nächste Schritte
- Informationen zu den bekannten Einschränkungen.
- Versionshinweise lesen
- Support anfordern