Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שאלות נפוצות

מהו Certificate Authority Service?

‫Certificate Authority Service הוא שירות של Google Cloud עם זמינות גבוהה וגמישות בהתאמה לעומס, שמאפשר ללקוחות לפשט, לבצע אוטומציה ולהתאים אישית את הפריסה, הניהול והאבטחה של רשויות אישורים פרטיות (CA), תוך שמירה על שליטה במפתחות הפרטיים שלהם.

מהם תרחישי השימוש הנפוצים ב-Certificate Authority Service?

בהמשך מפורטים כמה תרחישי שימוש נפוצים בשירות CA.

זהויות של עומסי עבודה: שימוש בממשקי API כדי לקבל אישורים לאפליקציות או שימוש באישורים באפליקציות, במאגרי מידע, במערכות ובמשאבים אחרים.
תרחישים ארגוניים: שימוש באישורים ל-VPN, ל-Chrome Enterprise Premium, לחתימה על מסמכים, לגישה ל-Wi-Fi, לדואר אלקטרוני, לכרטיס חכם ועוד.
הנפקה וניהול ריכוזיים של אישורים: אפשר להגדיר את GKE Enterprise Service Mesh לשימוש ב-CA Service.
מזהה מכשיר IoT ונייד: הנפקת אישורי TLS כמזהה לנקודות קצה.
ערוץ CI/CD,‏ Binary Authorization,‏ Istio ו-Kubernetes.

באילו תקני תאימות תומך CA Service?

מידע נוסף זמין במאמר אבטחה ותאימות.

באילו מיקומים אפשר ליצור משאבים של שירות CA?

אפשר ליצור משאבים של שירות CA באחד מתוך הרבה מיקומים. רשימה מלאה של המיקומים זמינה במאמר בנושא מיקומים.

האם שירות CA תומך ב-PKI גלובלי תחת שורש יחיד?

כן, בתנאי שרשות האישורים (CA) העליונה נמצאת באזור אחד. עם זאת, אפשר ליצור כמה רשויות אישורים מנפיקות באזורים שונים, שכולן מקושרות לאותו שורש.

האם יש תמיכה בתוויות עבור רשויות אישורים?

כן, אפשר לשייך תוויות למאגרי רשויות שמנפיקות אישורים ולרשויות שמנפיקות אישורים במהלך פעולות יצירה ועדכון.

מידע על עדכון תוויות במאגר של רשות שמנפיקה אישורים זמין במאמר בנושא עדכון תוויות במאגר של רשות שמנפיקה אישורים.

מידע על עדכון תוויות ב-CA זמין במאמר עדכון תוויות ב-CA.

האם אפשר להשתמש ב-Cloud Monitoring כדי לעקוב אחרי יצירת אישורים ותוקף של רשות אישורים? האם אפשר ליצור אירועים ב-Pub/Sub עבורם?

כן, אפשר לעקוב אחרי כל האירועים האלה. שירות CA לא תומך באופן מובנה ב-Pub/Sub, אבל אפשר להגדיר אותו באמצעות Cloud Monitoring. מידע נוסף זמין במאמר בנושא שימוש ב-Cloud Monitoring עם CA Service.

כמה זמן נשמרים אישורים שלא הופעלו?

רשויות אישורים משניות נוצרות במצב AWAITING_USER_ACTIVATION, והן מוגדרות למצב STAGED אחרי ההפעלה. אם רשות אישורים משנית עדיין במצב AWAITING_USER_ACTIVATION אחרי 30 ימים ממועד היצירה שלה, היא נמחקת.

מידע על הסטטוסים השונים של רשות אישורים במהלך מחזור החיים שלה זמין במאמר סטטוסים של רשות אישורים.

אילו אמצעי בקרה לגישה נתמכים בשירות CA להנפקת אישורים?

שירות CA תומך בהגדרת מדיניות IAM במאגר CA כדי לקבוע מי יכול להנפיק אישורים. אדמין של רשות אישורים יכול לצרף מדיניות הנפקה למאגר של רשויות אישורים. מדיניות ההנפקה הזו מגדירה הגבלות על סוגי האישורים שרשויות האישורים במאגר יכולות להנפיק. המגבלות האלה כוללות, בין היתר, הגבלות על שם הדומיין, על התוספים ועל תקופת התוקף של האישור.

מידע נוסף על הגדרת מדיניות הנפקה במאגר CA זמין במאמר שימוש במדיניות הנפקה.

מידע על הגדרת מדיניות IAM שנדרשת ליצירה ולניהול של משאבי CA Service זמין במאמר הגדרת מדיניות IAM.

האם שירות CA תומך במפתחות Cloud KMS מרובי אזורים?

לא, שירות CA לא תומך במפתחות Cloud KMS בכמה אזורים.

האם שירות ה-CA יגביל אי פעם את הבקשות שלי? מהו יעד השאילתות לשנייה (QPS) עבור שירות CA?

כן, קיים מנגנון להגבלת קצב העברת הנתונים בשירות CA. מידע נוסף זמין במאמר מכסות ומגבלות.

האם שירות CA תומך ב-VPC Service Controls?

כן, שירות CA תומך ב-VPC Service Controls. מידע נוסף זמין במאמרים מוצרים נתמכים ומגבלות > Certificate Authority Service ואבטחה ותאימות.

איך אמורים להשתמש במפתחות ציבוריים עם קידוד PEM בממשקי API ל-REST?

אפשר להשתמש במפתחות ציבוריים שמקודדים ב-PEM רק עם ממשקי REST API אחרי שמקודדים אותם ב-Base64.

האם אפשר להמשיך להשתמש בממשקי API בשלב התצוגה המקדימה אחרי ששירות CA מכריז על זמינות כללית (GA)?

כן, אפשר להשתמש בממשקי API בגרסת Preview לפרק זמן קצר אחרי ש-CA Service מכריז על זמינות כללית (GA). פרק הזמן הזה מיועד רק כדי לאפשר ללקוחות לעבור בצורה חלקה לשימוש בממשקי ה-API העדכניים ביותר, והוא יהיה קצר עם תמיכה מוגבלת. מומלץ ללקוחות לעבור לשימוש בממשקי ה-API של GA ברגע שהם יהיו זמינים.

איך אפשר לגשת למשאבים שנוצרו במהלך תקופת התצוגה המקדימה אחרי ששירות CA יוכרז כזמין לכלל המשתמשים (GA)?

אי אפשר לראות או לנהל משאבים שנוצרו במהלך תקופת התצוגה המקדימה באמצעות מסוף Google Cloud . כדי לנהל משאבים שנוצרו במהלך התצוגה המקדימה, משתמשים בממשקי ה-API של התצוגה המקדימה או בפקודות gcloud של התצוגה המקדימה. אפשר לגשת לממשקי ה-API של התצוגה המקדימה דרך נקודת הקצה https://privateca.googleapis.com/v1beta1/. אפשר לגשת לפקודות של התצוגה המקדימה gcloud דרך gcloud privateca beta. מידע נוסף על פקודות gcloud privateca beta זמין במאמר gcloud privateca beta.

האם אפשר ליצור רשות אישורים משנית עם אותם נושא ומפתח כמו רשות אישורים אחרת בשרשרת שלה?

לא, לרשות אישורים משנית לא יכולים להיות נושא ומפתח זהים לאלה של רשות האישורים הבסיסית, או של כל רשות אישורים אחרת בשרשרת שלה. RFC 4158 ממליץ לא לחזור על שמות הנושאים ועל זוגות של מפתחות ציבוריים בנתיבים.

האם מפתחות Cloud KMS בניהול הלקוח זהים למפתחות CMEK?

לא, מפתחות Cloud KMS בניהול הלקוח שנתמכים ב-CA Service עבור מפתחות החתימה של CA, הם לא אותם מפתחות כמו מפתחות הצפנה בניהול הלקוח (CMEK) שמשמשים להצפנת נתונים במצב מנוחה בשירותים נתמכים Google Cloud .

שירות CA תומך ב-CMEK להצפנה של שדות מסוימים באישורים, כמו נושא האישור ושמות נושא חלופיים (SAN). מידע נוסף זמין במאמר בנושא מפתחות הצפנה בניהול הלקוח (CMEK) ו-CA Service.

אפשר לעשות שימוש חוזר בשמות של משאבים אחרי שהמשאב נמחק?

לא, אי אפשר לעשות שימוש חוזר בשמות של משאבים כמו מאגרי CA, רשויות אישורים ותבניות אישורים במשאב חדש אחרי שהמשאב המקורי נמחק. לדוגמה, אם יוצרים מאגר CA בשם projects/Charlie/locations/Location-1/caPools/my-pool ואז מוחקים אותו, אי אפשר ליצור מאגר CA נוסף בשם my-pool בפרויקט Charlie ובמיקום Location-1.