Domande frequenti

Che cos'è Certificate Authority Service?

Certificate Authority Service è un servizio Google Cloud scalabile e ad alta disponibilità che consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private, mantenendo il controllo delle proprie chiavi private.

Quali sono i casi d'uso comuni per Certificate Authority Service?

Di seguito sono riportati alcuni casi d'uso comuni per CA Service.

  • Identità dei workload: utilizza le API per ottenere certificati per le applicazioni o utilizza i certificati in applicazioni, container, sistemi e altre risorse.
  • Scenari aziendali: utilizza i certificati per VPN, Chrome Enterprise Premium, firma di documenti, accesso Wi-Fi, email, smart card e altro ancora.
  • Emissione e gestione centralizzate dei certificati: configura GKE Enterprise Service Mesh per utilizzare CA Service.
  • Identità di dispositivi mobili e IoT: emetti certificati TLS come identità per gli endpoint.
  • Canale CI/CD, Autorizzazione binaria, Istio e Kubernetes.

Quali standard di conformità supporta CA Service?

Per informazioni, vedi Sicurezza e conformità.

In quali località possiamo creare risorse del servizio CA?

Le risorse del servizio CA possono essere create in una delle tante località. Per l'elenco completo delle località, consulta Località.

CA Service supporta una PKI globale con una singola radice?

Sì, a condizione che la CA radice si trovi in una singola regione. Tuttavia, puoi creare più CA emittenti in regioni diverse che si concatenano alla stessa CA radice.

Le etichette sono supportate per le CA?

Sì, puoi associare etichette a pool di CA e CA durante le operazioni di creazione e aggiornamento.

Per informazioni sull'aggiornamento delle etichette in un pool di CA, vedi Aggiornamento delle etichette in un pool di CA.

Per informazioni sull'aggiornamento delle etichette in una CA, vedi Aggiornamento delle etichette in una CA.

È possibile utilizzare Cloud Monitoring per monitorare la creazione dei certificati e la scadenza delle CA? È possibile generare eventi Pub/Sub per questi utenti?

Sì, puoi monitorare tutti questi eventi. CA Service non supporta in modo nativo Pub/Sub, ma puoi configurarlo utilizzando Cloud Monitoring. Per ulteriori informazioni, consulta Utilizzo di Cloud Monitoring con il servizio CA.

Per quanto tempo vengono conservate le CA non attivate?

Le CA subordinate vengono create nello stato AWAITING_USER_ACTIVATION e vengono impostate sullo stato STAGED dopo l'attivazione. Se una CA subordinata si trova ancora nello stato AWAITING_USER_ACTIVATION 30 giorni dopo la creazione, viene eliminata.

Per informazioni sui vari stati in cui si trova una CA durante il suo ciclo di vita, consulta Stati dell'autorità di certificazione.

Quali controlli dell'accesso supporta il servizio CA per l'emissione di certificati?

CA Service supporta l'impostazione di criteri IAM su un pool di CA per controllare chi può emettere certificati. Un amministratore CA può allegare una policy di emissione a un pool di CA. Questa norma di emissione definisce le limitazioni al tipo di certificati che le CA in un pool di CA possono emettere. Queste limitazioni includono, tra le altre cose, l'imposizione di limiti al nome di dominio, alle estensioni e al periodo di validità del certificato.

Per saperne di più su come configurare una policy di emissione in un pool di CA, consulta Utilizzare una policy di emissione.

Per informazioni su come configurare i criteri IAM necessari per creare e gestire le risorse di CA Service, consulta Configurazione dei criteri IAM.

CA Service supporta le chiavi Cloud KMS multiregionali?

No, CA Service non supporta le chiavi Cloud KMS multiregionali.

Il servizio CA limiterà mai le mie richieste? Qual è il QPS target per CA Service?

Sì, esiste un meccanismo di limitazione per il servizio CA. Per saperne di più, consulta Quote e limiti.

CA Service supporta i Controlli di servizio VPC?

Sì, CA Service supporta i Controlli di servizio VPC. Per saperne di più, consulta Prodotti supportati e limitazioni > Servizio CA e Sicurezza e conformità.

Come devono essere utilizzate le chiavi pubbliche codificate PEM con le API REST?

Le chiavi pubbliche con codifica PEM possono essere utilizzate con le API REST solo dopo essere state codificate in base64.

Le API di anteprima possono ancora essere utilizzate dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Sì, le API di anteprima possono ancora essere utilizzate per un breve periodo di tempo dopo l'annuncio della disponibilità generale di CA Service. Questo periodo è destinato esclusivamente ai clienti per passare senza problemi all'utilizzo delle API più recenti e sarà di breve durata con un supporto limitato. Consigliamo ai clienti di eseguire la migrazione all'utilizzo delle API GA non appena saranno disponibili.

Come è possibile accedere alle risorse create durante il periodo di anteprima dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Non puoi visualizzare o gestire le risorse create durante il periodo di anteprima utilizzando la console Google Cloud . Per gestire le risorse create durante l'anteprima, utilizza le API di anteprima o i comandi gcloud di anteprima. Le API di anteprima sono accessibili tramite l'endpoint https://privateca.googleapis.com/v1beta1/. I comandi di anteprima gcloud sono accessibili tramite gcloud privateca beta. Per saperne di più sui comandi gcloud privateca beta, consulta gcloud privateca beta.

È possibile creare una CA subordinata con lo stesso soggetto e la stessa chiave di un'altra CA nella sua catena?

No, una CA subordinata non può avere lo stesso soggetto e la stessa chiave della CA radice o di qualsiasi altra CA nella sua catena. La RFC 4158 consiglia di non ripetere i nomi dei soggetti e le coppie di chiavi pubbliche nei percorsi.

Le chiavi Cloud KMS gestite dal cliente sono uguali alle CMEK?

No, le chiavi Cloud KMS gestite dal cliente supportate in CA Service per le chiavi di firma CA non sono le stesse delle chiavi di crittografia gestite dal cliente (CMEK) utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati.

CA Service supporta CMEK per la crittografia di determinati campi nei certificati, come l'oggetto del certificato e i nomi alternativi del soggetto (SAN). Per saperne di più, vedi Chiavi di crittografia gestite dal cliente (CMEK) e CA Service.

I nomi delle risorse possono essere riutilizzati dopo l'eliminazione della risorsa?

No, i nomi delle risorse, come i nomi di pool di CA, CA e modelli di certificato, non possono essere riutilizzati in una nuova risorsa dopo l'eliminazione della risorsa originale. Ad esempio, se crei un pool di CA chiamato projects/Charlie/locations/Location-1/caPools/my-pool ed elimini il pool di CA, non puoi creare un altro pool di CA chiamato my-pool nel progetto Charlie e nella località Location-1.

CA Service genera coppie di chiavi per i certificati?

No, CA Service non genera coppie di chiavi per i certificati. CA Service non interagisce mai con le tue chiavi private, contribuendo a garantire il non ripudio. Solo il client che ha generato la richiesta di certificato deve accedere alla chiave privata del certificato.

Per richiedere un certificato, devi eseguire i seguenti passaggi sulla macchina client:

  1. Genera una nuova coppia di chiavi composta da una chiave pubblica e una chiave privata.
  2. Conserva in modo sicuro la chiave privata.
  3. Invia solo la chiave pubblica al servizio CA nell'ambito della richiesta di certificato.

Alcuni strumenti client, come gcloud CLI, forniscono un flag --generate-key che genera la coppia di chiavi localmente e invia solo la chiave pubblica a CA Service.

Passaggi successivi