Questions fréquentes

Qu'est-ce que Certificate Authority Service ?

Certificate Authority Service est un service Google Cloud disponibilité élevée et évolutif qui permet aux clients de simplifier, d'automatiser et de personnaliser le déploiement, la gestion et la sécurité des autorités de certification privées tout en conservant le contrôle de leurs clés privées.

Quels sont les cas d'utilisation courants de Certificate Authority Service ?

Vous trouverez ci-dessous quelques cas d'utilisation courants de CA Service.

  • Identités de charge de travail : exploitez les API pour obtenir des certificats pour les applications ou utilisez des certificats dans les applications, les conteneurs, les systèmes et d'autres ressources.
  • Scénarios d'entreprise : utilisez des certificats pour les VPN, Chrome Enterprise Premium, la signature de documents, l'accès Wi-Fi, les e-mails, les cartes à puce, etc.
  • Émission et gestion centralisées des certificats : configurez GKE Enterprise Service Mesh pour utiliser CA Service.
  • Identité des appareils IoT et mobiles : émettez des certificats TLS en tant qu'identité pour les points de terminaison.
  • Canal CI/CD, autorisation binaire, Istio et Kubernetes.

Quelles normes de conformité sont compatibles avec CA Service ?

Pour en savoir plus, consultez Sécurité et conformité.

Dans quels emplacements pouvons-nous créer des ressources CA Service ?

Les ressources CA Service peuvent être créées dans de nombreux emplacements. Pour obtenir la liste complète des emplacements, consultez Emplacements.

CA Service est-il compatible avec une infrastructure à clé publique globale sous une seule racine ?

Oui, à condition que l'autorité de certification racine se trouve dans une seule région. Toutefois, vous pouvez créer plusieurs autorités de certification émettrices dans différentes régions qui sont chaînées à la même racine.

Les libellés sont-ils compatibles avec les autorités de certification ?

Oui, vous pouvez associer des libellés aux pools d'autorités de certification et aux autorités de certification lors des opérations de création et de mise à jour.

Pour en savoir plus sur la mise à jour des libellés dans un pool d'autorités de certification, consultez Mettre à jour les libellés dans un pool d'autorités de certification.

Pour en savoir plus sur la mise à jour des libellés dans une autorité de certification, consultez Mettre à jour les libellés dans une autorité de certification.

Est-il possible d'utiliser Cloud Monitoring pour suivre la création de certificats et l'expiration des autorités de certification ? Est-il possible de générer des événements Pub/Sub pour eux ?

Oui, vous pouvez surveiller tous ces événements. CA Service n'est pas compatible de manière native avec Pub/Sub, mais vous pouvez le configurer à l'aide de Cloud Monitoring. Pour en savoir plus, consultez Utiliser Cloud Monitoring avec CA Service.

Combien de temps les autorités de certification non activées sont-elles conservées ?

Les autorités de certification subordonnées sont créées à l'état AWAITING_USER_ACTIVATION, puis passent à l'état STAGED après l'activation. Si une autorité de certification subordonnée est toujours à l'état AWAITING_USER_ACTIVATION 30 jours après sa création, elle est supprimée.

Pour en savoir plus sur les différents états d'une autorité de certification tout au long de son cycle de vie, consultez États des autorités de certification.

Quels contrôles d'accès CA Service prend-il en charge pour l'émission de certificats ?

CA Service permet de définir des stratégies IAM dans un pool d'autorités de certification pour contrôler qui peut émettre des certificats. Un administrateur d'autorité de certification peut associer une stratégie d'émission à un pool d'autorités de certification. Cette stratégie d'émission définit des restrictions sur le type de certificats que les autorités de certification d'un pool d'autorités de certification peuvent émettre. Ces restrictions incluent, entre autres, la limitation du nom de domaine, des extensions et de la période de validité du certificat.

Pour en savoir plus sur la configuration d'une stratégie d'émission dans un pool d'autorités de certification, consultez Utiliser une stratégie d'émission.

Pour en savoir plus sur la configuration des stratégies IAM nécessaires à la création et à la gestion des ressources CA Service, consultez Configurer des stratégies IAM.

CA Service est-il compatible avec les clés Cloud KMS multirégionales ?

Non, CA Service n'est pas compatible avec les clés Cloud KMS multirégionales.

CA Service limitera-t-il un jour mes requêtes ? Quel est le RPS cible pour CA Service ?

Oui, il existe un mécanisme de limitation pour CA Service. Pour en savoir plus, consultez Quotas et limites.

CA Service est-il compatible avec VPC Service Controls ?

Oui, CA Service est compatible avec VPC Service Controls. Pour en savoir plus, consultez Produits compatibles et limites > Certificate Authority Service et Sécurité et conformité.

Comment les clés publiques encodées au format PEM sont-elles censées être utilisées avec les API REST ?

Les clés publiques encodées au format PEM ne peuvent être utilisées avec les API REST qu'après avoir été encodées en Base64.

Les API en version preview peuvent-elles toujours être utilisées après l'annonce de la disponibilité générale de CA Service ?

Oui, les API en version preview peuvent toujours être utilisées pendant une courte période après l'annonce de la disponibilité générale de CA Service. Cette période est uniquement destinée aux clients pour passer en douceur à l'utilisation des dernières API. Elle sera de courte durée et l'assistance sera limitée. Nous recommandons aux clients de migrer vers les API en disponibilité générale dès qu'elles sont disponibles.

Comment accéder aux ressources créées pendant la période de preview après l'annonce de la disponibilité générale de CA Service ?

Vous ne pouvez pas afficher ni gérer les ressources créées pendant la période de preview à l'aide de la Google Cloud console. Pour gérer les ressources créées pendant la preview, utilisez les API en version preview ou les commandes gcloud en version preview. Les API en version preview sont accessibles via le point de terminaison https://privateca.googleapis.com/v1beta1/. Les commandes gcloud en version preview sont accessibles via gcloud privateca beta. Pour en savoir plus sur les commandes gcloud privateca beta, consultez gcloud privateca beta.

Une autorité de certification subordonnée peut-elle être créée avec le même objet et la même clé qu'une autre autorité de certification de sa chaîne ?

Non, une autorité de certification subordonnée ne peut pas avoir le même objet et la même clé que l'autorité de certification racine ou toute autre autorité de certification de sa chaîne. La RFC 4158 recommande de ne pas répéter les noms d'objet et les paires de clés publiques dans les chemins.

Les clés Cloud KMS gérées par le client sont-elles identiques aux clés CMEK ?

Non, les clés Cloud KMS gérées par le client compatibles avec CA Service pour les clés de signature de l'autorité de certification ne sont pas identiques aux clés de chiffrement gérées par le client (CMEK) utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles.

CA Service est compatible avec les clés CMEK pour chiffrer certains champs des certificats, tels que l'objet du certificat et les autres noms de l'objet (SAN). Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) et CA Service.

Les noms de ressources peuvent-ils être réutilisés après la suppression de la ressource ?

Non, les noms de ressources tels que les noms des pools d'autorités de certification, des autorités de certification et des modèles de certificat ne peuvent pas être réutilisés dans une nouvelle ressource après la suppression de la ressource d'origine. Par exemple, si vous créez un pool d'autorités de certification appelé projects/Charlie/locations/Location-1/caPools/my-pool, puis que vous supprimez le pool d'autorités de certification, vous ne pouvez pas créer un autre pool d'autorités de certification appelé my-pool dans le projet Charlie et l'emplacement Location-1.

CA Service génère-t-il des paires de clés pour les certificats ?

Non, CA Service ne génère pas de paires de clés pour les certificats. CA Service n'interagit jamais avec vos clés privées, ce qui contribue à appliquer la non-répudiation. Seul le client qui a généré la demande de certificat doit accéder à la clé privée du certificat.

Pour demander un certificat, vous devez effectuer les étapes suivantes sur la machine cliente :

  1. Générez une paire de clés composée d'une clé publique et d'une clé privée.
  2. Stockez la clé privée de manière sécurisée.
  3. N'envoyez que la clé publique à CA Service dans le cadre de la demande de certificat.

Certains outils clients, tels que gcloud CLI, fournissent un indicateur --generate-key qui génère la paire de clés localement et n'envoie que la clé publique à CA Service.

Étape suivante