Questions fréquentes

Qu'est-ce que Certificate Authority Service ?

Certificate Authority Service est un service Google Cloud disponibilité élevée et évolutif qui permet aux clients de simplifier, d'automatiser et de personnaliser le déploiement, la gestion et la sécurité d'autorités de certification (CA) privées tout en conservant le contrôle de leurs clés privées.

Quels sont les cas d'utilisation courants de Certificate Authority Service ?

Vous trouverez ci-dessous quelques cas d'utilisation courants du service CA.

  • Identités de charge de travail : utilisez des API pour obtenir des certificats pour les applications ou utilisez des certificats dans les applications, les conteneurs, les systèmes et d'autres ressources.
  • Scénarios Enterprise : utilisez des certificats pour le VPN, Chrome Enterprise Premium, la signature de documents, l'accès au Wi-Fi, les e-mails, les cartes à puce et plus encore.
  • Émission et gestion centralisées des certificats : configurez GKE Enterprise Service Mesh pour utiliser CA Service.
  • Identité des appareils mobiles et IoT : émettez des certificats TLS comme identité pour les points de terminaison.
  • Canal CI/CD, autorisation binaire, Istio et Kubernetes.

Quelles normes de conformité sont prises en charge par CA Service ?

Pour en savoir plus, consultez Sécurité et conformité.

Dans quels emplacements pouvons-nous créer des ressources CA Service ?

Les ressources du service d'autorité de certification peuvent être créées dans l'un des nombreux emplacements. Pour obtenir la liste complète des emplacements, consultez Emplacements.

Le service d'autorité de certification est-il compatible avec une PKI globale sous une seule racine ?

Oui, à condition que l'autorité de certification racine se trouve dans une seule région. Toutefois, vous pouvez créer plusieurs autorités de certification émettrices dans différentes régions qui sont chaînées à la même racine.

Les libellés sont-ils compatibles avec les CA ?

Oui, vous pouvez associer des libellés à des pools d'AC et à des AC lors des opérations de création et de mise à jour.

Pour savoir comment mettre à jour les libellés d'un pool d'autorités de certification, consultez Mettre à jour les libellés d'un pool d'autorités de certification.

Pour savoir comment modifier les libellés d'une autorité de certification, consultez Modifier les libellés d'une autorité de certification.

Est-il possible d'utiliser Cloud Monitoring pour suivre la création de certificats et l'expiration des CA ? Est-il possible de générer des événements Pub/Sub pour eux ?

Oui, vous pouvez surveiller tous ces événements. CA Service n'est pas compatible avec Pub/Sub de manière native, mais vous pouvez le configurer à l'aide de Cloud Monitoring. Pour en savoir plus, consultez Utiliser Cloud Monitoring avec CA Service.

Combien de temps les CA non activées sont-elles conservées ?

Les autorités de certification subordonnées sont créées à l'état AWAITING_USER_ACTIVATION et passent à l'état STAGED après activation. Si une autorité de certification subordonnée est toujours à l'état AWAITING_USER_ACTIVATION 30 jours après sa création, elle est supprimée.

Pour en savoir plus sur les différents états d'une autorité de certification au cours de son cycle de vie, consultez États des autorités de certification.

Quels contrôles d'accès CA Service prend-il en charge pour l'émission de certificats ?

CA Service permet de définir des stratégies IAM sur un pool d'autorités de certification pour contrôler qui peut émettre des certificats. Un administrateur d'autorité de certification peut associer une règle d'émission à un pool d'autorités de certification. Cette règle d'émission définit des restrictions sur le type de certificats que les autorités de certification d'un pool d'autorités de certification peuvent émettre. Ces restrictions incluent, entre autres, des limites concernant le nom de domaine, les extensions et la période de validité du certificat.

Pour savoir comment configurer une stratégie d'émission sur un pool d'autorités de certification, consultez Utiliser une stratégie d'émission.

Pour savoir comment configurer les stratégies IAM nécessaires à la création et à la gestion des ressources CA Service, consultez Configurer des stratégies IAM.

Le service CA est-il compatible avec les clés Cloud KMS multirégionales ?

Non, le service d'autorité de certification n'est pas compatible avec les clés Cloud KMS multirégionales.

CA Service limitera-t-il un jour mes requêtes ? Quel est le RPS cible pour le service CA ?

Oui, il existe un mécanisme de limitation pour le service d'autorité de certification. Pour en savoir plus, consultez la page Quotas et limites.

CA Service est-il compatible avec VPC Service Controls ?

Oui, CA Service est compatible avec VPC Service Controls. Pour en savoir plus, consultez Produits compatibles et limites > Certificate Authority Service et Sécurité et conformité.

Comment les clés publiques encodées au format PEM sont-elles censées être utilisées avec les API REST ?

Les clés publiques encodées au format PEM ne peuvent être utilisées avec les API REST qu'après avoir été encodées en Base64.

Les API en version preview pourront-elles toujours être utilisées après l'annonce de la disponibilité générale du service CA ?

Oui, les API en version preview peuvent encore être utilisées pendant une courte période après l'annonce de la disponibilité générale par CA Service. Cette période est uniquement destinée à permettre aux clients de passer en douceur aux dernières API. Elle sera de courte durée et le niveau d'assistance sera limité. Nous recommandons aux clients de migrer vers les API en disponibilité générale dès qu'elles sont disponibles.

Comment accéder aux ressources créées pendant la période d'aperçu une fois que le service CA est disponible pour tous les utilisateurs ?

Vous ne pouvez pas afficher ni gérer les ressources créées pendant la période d'aperçu à l'aide de la console Google Cloud . Pour gérer les ressources créées pendant la version bêta, utilisez les API ou les commandes gcloud de la version bêta. Les API d'aperçu sont accessibles via le point de terminaison https://privateca.googleapis.com/v1beta1/. Les commandes d'aperçu gcloud sont accessibles via gcloud privateca beta. Pour en savoir plus sur les commandes gcloud privateca beta, consultez gcloud privateca beta.

Est-il possible de créer une autorité de certification subordonnée avec le même sujet et la même clé qu'une autre autorité de certification de sa chaîne ?

Non, une autorité de certification subordonnée ne peut pas avoir le même sujet ni la même clé que l'autorité de certification racine, ni que toute autre autorité de certification de sa chaîne. La RFC 4158 recommande de ne pas répéter les noms de sujet ni les paires de clés publiques dans les chemins d'accès.

Les clés Cloud KMS gérées par le client sont-elles identiques aux CMEK ?

Non, les clés Cloud KMS gérées par le client acceptées dans le service d'autorité de certification pour les clés de signature d'autorité de certification ne sont pas les mêmes que les clés de chiffrement gérées par le client (CMEK) utilisées pour chiffrer les données au repos dans les services Google Cloud compatibles.

CA Service est compatible avec CMEK pour chiffrer certains champs des certificats, tels que le sujet et les autres noms d'objet (SAN). Pour en savoir plus, consultez Clés de chiffrement gérées par le client (CMEK) et service d'autorité de certification.

Les noms de ressources peuvent-ils être réutilisés après la suppression de la ressource ?

Non, les noms de ressources tels que les noms de pools d'AC, d'AC et de modèles de certificat ne peuvent pas être réutilisés dans une nouvelle ressource une fois la ressource d'origine supprimée. Par exemple, si vous créez un pool d'autorités de certification appelé projects/Charlie/locations/Location-1/caPools/my-pool, puis que vous le supprimez, vous ne pouvez pas créer un autre pool d'autorités de certification appelé my-pool dans le projet Charlie et à l'emplacement Location-1.

Étapes suivantes