Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Preguntas frecuentes

¿Qué es Certificate Authority Service?

Certificate Authority Service es un servicio de Google Cloud escalable y con alta disponibilidad que permite a los clientes simplificar, automatizar y personalizar la implementación, administración y seguridad de las autoridades certificadoras (AC) privadas, al mismo tiempo que mantienen el control de sus claves privadas.

¿Cuáles son los casos de uso comunes de Certificate Authority Service?

A continuación, se indican algunos casos de uso comunes del servicio de CA.

Identidades de cargas de trabajo: Aprovecha las APIs para obtener certificados para aplicaciones o usar certificados en aplicaciones, contenedores, sistemas y otros recursos.
Situaciones empresariales: Usa certificados para VPN, Chrome Enterprise Premium, firma de documentos, acceso a Wi-Fi, correo electrónico, tarjetas inteligentes y mucho más.
Emisión y administración de certificados centralizadas: Configura GKE Enterprise Service Mesh para usar el servicio de CA.
Identidad de dispositivos móviles y de IoT: Emite certificados TLS como identidad para los extremos.
Canal de CI/CD, Autorización binaria, Istio y Kubernetes.

¿Qué estándares de cumplimiento admite el servicio de CA?

Para obtener más información, consulta Seguridad y cumplimiento.

¿En qué ubicaciones podemos crear recursos del servicio de CA?

Los recursos de CA Service se pueden crear en una de varias ubicaciones. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.

¿El servicio de CA admite una PKI global con una sola raíz?

Sí, siempre y cuando la CA raíz se encuentre en una sola región. Sin embargo, puedes crear varias CA de emisión en diferentes regiones que se encadenen a la misma raíz.

¿Se admiten etiquetas para las CAs?

Sí, puedes asociar etiquetas a los grupos de AC y a las AC durante las operaciones de creación y actualización.

Para obtener información sobre cómo actualizar las etiquetas en un grupo de AC, consulta Cómo actualizar las etiquetas en un grupo de AC.

Para obtener información sobre cómo actualizar las etiquetas en una CA, consulta Cómo actualizar las etiquetas en una CA.

¿Es posible usar Cloud Monitoring para hacer un seguimiento de la creación de certificados y el vencimiento de la CA? ¿Es posible generar eventos de Pub/Sub para ellos?

Sí, puedes supervisar todos estos eventos. El servicio de CA no admite Pub/Sub de forma nativa, pero puedes configurarlo con Cloud Monitoring. Para obtener más información, consulta Cómo usar Cloud Monitoring con CA Service.

¿Durante cuánto tiempo se retienen las CA no activadas?

Las CA subordinadas se crean en el estado AWAITING_USER_ACTIVATION y se establecen en el estado STAGED después de la activación. Si una CA subordinada sigue en el estado AWAITING_USER_ACTIVATION 30 días después de su creación, se borrará.

Para obtener información sobre los distintos estados en los que se encuentra una CA a lo largo de su ciclo de vida, consulta Estados de la autoridad certificadora.

¿Qué controles de acceso admite el servicio de CA para la emisión de certificados?

CA Service admite la configuración de políticas de IAM en un grupo de CA para controlar quién puede emitir certificados. Un administrador de la CA puede adjuntar una política de emisión a un grupo de CA. Esta política de emisión define restricciones sobre el tipo de certificados que pueden emitir las CA en un grupo de CA. Estas restricciones incluyen límites en el nombre de dominio, las extensiones y el período de validez del certificado, entre otros.

Para obtener más información sobre cómo configurar una política de emisión en un grupo de CA, consulta Usa una política de emisión.

Para obtener información sobre cómo configurar las políticas de IAM necesarias para crear y administrar recursos de CA Service, consulta Configura políticas de IAM.

¿CA Service admite claves multirregionales de Cloud KMS?

No, CA Service no admite claves de Cloud KMS multirregionales.

¿El Servicio de CA alguna vez limitará mis solicitudes? ¿Cuál es el QPS objetivo para el servicio de CA?

Sí, existe un mecanismo de limitación para el servicio de CA. Para obtener más información, consulta Cuotas y límites.

¿CA Service admite los Controles del servicio de VPC?

Sí, CA Service admite los Controles del servicio de VPC. Para obtener más información, consulta Productos admitidos y limitaciones > Certificate Authority Service y Seguridad y cumplimiento.

¿Cómo se deben usar las claves públicas codificadas en PEM con las APIs de REST?

Las claves públicas codificadas en PEM solo se pueden usar con las APIs de REST después de que se codifican en Base64.

¿Se pueden seguir usando las APIs en etapa de vista previa después de que el servicio de CA anuncie la disponibilidad general (DG)?

Sí, las APIs en versión preliminar se pueden seguir usando durante un breve período después de que el Servicio de CA anuncie la DG. Este período solo está destinado a que los clientes realicen una transición sin problemas al uso de las APIs más recientes y será de corta duración con asistencia limitada. Recomendamos que los clientes migren al uso de las APIs de GA tan pronto como estén disponibles.

¿Cómo se puede acceder a los recursos creados durante el período de vista previa después de que el servicio de CA anuncie la disponibilidad general (DG)?

No puedes ver ni administrar los recursos creados durante el período de vista previa con la consola de Google Cloud . Para administrar los recursos creados durante la versión preliminar, usa las APIs de versión preliminar o los comandos gcloud de versión preliminar. Se puede acceder a las APIs de vista previa a través del extremo https://privateca.googleapis.com/v1beta1/. Se puede acceder a los comandos de gcloud de la versión preliminar a través de gcloud privateca beta. Para obtener más información sobre los comandos de gcloud privateca beta, consulta gcloud privateca beta.

¿Se puede crear una CA subordinada con el mismo asunto y clave que otra CA de su cadena?

No, una CA subordinada no puede tener el mismo sujeto y clave que la CA raíz ni ninguna otra CA de su cadena. En el RFC 4158, se recomienda que los nombres de los sujetos y los pares de claves públicas no se repitan en las rutas.

¿Las claves de Cloud KMS administradas por el cliente son las mismas que las CMEK?

No, las claves de Cloud KMS administradas por el cliente que se admiten en el servicio de CA para las claves de firma de la CA no son las mismas que las claves de encriptación administradas por el cliente (CMEK) que se usan para encriptar los datos en reposo dentro de los servicios Google Cloud compatibles.

El servicio de CA admite la CMEK para encriptar ciertos campos en los certificados, como el sujeto del certificado y los nombres alternativos del sujeto (SAN). Para obtener más información, consulta Claves de encriptación administradas por el cliente (CMEK) y CA Service.

¿Se pueden volver a usar los nombres de los recursos después de que se borran?

No, los nombres de recursos, como los nombres de grupos de AC, AC y plantillas de certificados, no se pueden volver a usar en un recurso nuevo después de que se borra el recurso original. Por ejemplo, si creas un grupo de CA llamado projects/Charlie/locations/Location-1/caPools/my-pool y, luego, lo borras, no podrás crear otro grupo de CA llamado my-pool en el proyecto Charlie y la ubicación Location-1.

¿Qué sigue?

Obtén información sobre las limitaciones conocidas.
Lee las notas de la versión.
Obtén más información para obtener asistencia.