Häufig gestellte Fragen

Was ist der Certificate Authority Service?

Certificate Authority Service ist ein hochverfügbarer, skalierbarer Google Cloud-Dienst, mit dem Kunden die Bereitstellung, Verwaltung und Sicherheit privater Zertifizierungsstellen (Certificate Authorities, CAs) vereinfachen, automatisieren und anpassen können. Dabei behalten sie die Kontrolle über ihre privaten Schlüssel.

Was sind häufige Anwendungsfälle für den Certificate Authority Service?

Im Folgenden finden Sie einige gängige Anwendungsfälle für CA Service.

• Workload Identities: Nutzen Sie APIs, um Zertifikate für Anwendungen abzurufen oder Zertifikate in Anwendungen, Containern, Systemen und anderen Ressourcen zu verwenden.
• Unternehmensszenarien: Verwenden Sie Zertifikate für VPN, Chrome Enterprise Premium, das Signieren von Dokumenten, WLAN-Zugriff, E-Mail, Smartcards und mehr.
• Zentrale Zertifikatausstellung und -verwaltung: Konfigurieren Sie GKE Enterprise Service Mesh für die Verwendung von CA Service.
• IoT- und Mobilgeräteidentität: Stellen Sie TLS-Zertifikate als Identität für Endpunkte aus.
• CI/CD-Channel, Binärautorisierung, Istio und Kubernetes.

Welche Compliance-Standards werden von CA Service unterstützt?

Weitere Informationen finden Sie unter Sicherheit und Compliance.

An welchen Standorten können wir CA Service-Ressourcen erstellen?

CA Service-Ressourcen können an einem von vielen Standorten erstellt werden. Eine vollständige Liste der Standorte finden Sie unter Standorte.

Unterstützt CA Service eine globale PKI unter einer einzelnen Root?

Ja, sofern sich die Root-CA in einer einzelnen Region befindet. Sie können jedoch mehrere ausstellende Zertifizierungsstellen in verschiedenen Regionen erstellen, die mit derselben Stammzertifizierungsstelle verkettet sind.

Werden Labels für Zertifizierungsstellen unterstützt?

Ja, Sie können CA-Pools und CAs während der Erstellung und Aktualisierung Labels zuweisen.

Informationen zum Aktualisieren von Labels in einem CA-Pool finden Sie unter Labels in einem CA-Pool aktualisieren.

Informationen zum Aktualisieren von Labels für eine CA finden Sie unter Labels für eine CA aktualisieren.

Ist es möglich, mit Cloud Monitoring die Erstellung von Zertifikaten und den Ablauf von Zertifizierungsstellen zu verfolgen? Ist es möglich, Pub/Sub-Ereignisse für sie zu generieren?

Ja, Sie können alle diese Ereignisse überwachen. CA Service unterstützt Pub/Sub nicht nativ, kann aber mit Cloud Monitoring konfiguriert werden. Weitere Informationen finden Sie unter Cloud Monitoring mit CA Service verwenden.

Wie lange werden nicht aktivierte CAs aufbewahrt?

Untergeordnete CAs werden im Status AWAITING_USER_ACTIVATION erstellt und nach der Aktivierung auf den Status STAGED gesetzt. Wenn sich eine untergeordnete CA 30 Tage nach ihrer Erstellung immer noch im Status AWAITING_USER_ACTIVATION befindet, wird sie gelöscht.

Informationen zu den verschiedenen Zuständen, in denen sich eine Zertifizierungsstelle während ihres Lebenszyklus befindet, finden Sie unter Zertifizierungsstellenstatus.

Welche Zugriffssteuerungen unterstützt CA Service für die Zertifikatsausstellung?

CA Service unterstützt das Festlegen von IAM-Richtlinien für einen CA-Pool, um zu steuern, wer Zertifikate ausstellen kann. Ein CA-Administrator kann eine Ausstellungsrichtlinie an einen CA-Pool anhängen. Diese Ausstellungsrichtlinie definiert Einschränkungen für den Typ von Zertifikaten, die die Zertifizierungsstellen in einem CA-Pool ausstellen können. Diese Einschränkungen umfassen unter anderem Beschränkungen für Domainnamen, Erweiterungen und den Gültigkeitszeitraum von Zertifikaten.

Weitere Informationen zum Konfigurieren einer Ausstellungsrichtlinie für einen CA-Pool finden Sie unter Ausstellungsrichtlinie verwenden.

Informationen zum Konfigurieren der erforderlichen IAM-Richtlinien zum Erstellen und Verwalten von CA Service-Ressourcen finden Sie unter IAM-Richtlinien konfigurieren.

Werden multiregionale Cloud KMS-Schlüssel vom CA Service unterstützt?

Nein, CA Service unterstützt keine Cloud KMS-Schlüssel für mehrere Regionen.

Werden meine Anfragen durch CA Service gedrosselt? Was ist der Ziel-QPS für den CA-Dienst?

Ja, es gibt einen Drosselungsmechanismus für CA Service. Weitere Informationen finden Sie unter Kontingente und Limits.

Unterstützt CA Service VPC Service Controls?

Ja, CA Service unterstützt VPC Service Controls. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > Certificate Authority Service und Sicherheit und Compliance.

Wie werden PEM-codierte öffentliche Schlüssel mit REST APIs verwendet?

PEM-codierte öffentliche Schlüssel können nur mit REST APIs verwendet werden, nachdem sie Base64-codiert wurden.

Können APIs in der Vorschauphase noch verwendet werden, nachdem CA Service allgemein verfügbar (GA) ist?

Ja, Preview-APIs können noch für kurze Zeit verwendet werden, nachdem CA Service die allgemeine Verfügbarkeit angekündigt hat. Dieser Zeitraum ist nur dazu gedacht, Kunden einen reibungslosen Übergang zur Verwendung der neuesten APIs zu ermöglichen, und ist kurzlebig mit eingeschränktem Support. Wir empfehlen Kunden, so bald wie möglich auf die GA-APIs umzustellen.

Wie kann auf Ressourcen zugegriffen werden, die während der Vorschauphase erstellt wurden, nachdem CA Service allgemein verfügbar (GA) ist?

Ressourcen, die während des Vorschauzeitraums erstellt wurden, können nicht über die Google Cloud Console aufgerufen oder verwaltet werden. Verwenden Sie zum Verwalten von Ressourcen, die während der Vorschau erstellt wurden, die Vorschau-APIs oder die gcloud-Vorschau-Befehle. Die Preview-APIs sind über den https://privateca.googleapis.com/v1beta1/-Endpunkt zugänglich. Die gcloud-Vorschau-Befehle sind über gcloud privateca beta verfügbar. Weitere Informationen zu gcloud privateca beta-Befehlen finden Sie unter gcloud privateca beta.

Kann eine untergeordnete CA mit demselben Betreff und Schlüssel wie eine andere CA in ihrer Kette erstellt werden?

Nein, eine untergeordnete CA darf nicht dasselbe Subjekt und denselben Schlüssel wie die Stamm-CA oder eine andere CA in ihrer Kette haben. Gemäß RFC 4158 sollten Antragstellernamen und Paare aus öffentlichem und privatem Schlüssel nicht in Pfaden wiederholt werden.

Sind kundenverwaltete Cloud KMS-Schlüssel dasselbe wie CMEK?

Nein, die vom Kunden verwalteten Cloud KMS-Schlüssel, die im CA-Dienst für die CA-Signaturschlüssel unterstützt werden, sind nicht dieselben wie die vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK), die zum Verschlüsseln ruhender Daten in unterstützten Google Cloud Diensten verwendet werden.

Der CA Service unterstützt CMEK zum Verschlüsseln bestimmter Felder in Zertifikaten, z. B. des Zertifikatsubjekts und der alternativen Namen (Subject Alternative Names, SANs). Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) und CA Service.

Können Ressourcennamen nach dem Löschen der Ressource wiederverwendet werden?

Nein. Ressourcennamen wie die Namen von CA-Pools, CAs und Zertifikatsvorlagen können in einer neuen Ressource nicht wiederverwendet werden, nachdem die ursprüngliche Ressource gelöscht wurde. Wenn Sie beispielsweise einen CA-Pool namens projects/Charlie/locations/Location-1/caPools/my-pool erstellen und dann löschen, können Sie keinen weiteren CA-Pool namens my-pool im Projekt Charlie und am Standort Location-1 erstellen.

Nächste Schritte

• Bekannte Einschränkungen
• Versionshinweise lesen
• Support anfordern