Pertanyaan umum (FAQ)

Apa itu Certificate Authority Service?

Certificate Authority Service adalah layanan Google Cloud yang sangat tersedia dan skalabel yang memungkinkan pelanggan menyederhanakan, mengotomatiskan, dan menyesuaikan deployment, pengelolaan, dan keamanan certificate authority (CA) pribadi sekaligus tetap mengontrol kunci pribadi mereka.

Apa saja kasus penggunaan umum untuk Certificate Authority Service?

Berikut adalah beberapa kasus penggunaan umum untuk Layanan CA.

• Identitas beban kerja: Manfaatkan API untuk mendapatkan sertifikat bagi aplikasi atau menggunakan sertifikat di aplikasi, container, sistem, dan resource lainnya.
• Skenario perusahaan: Menggunakan sertifikat untuk VPN, Chrome Enterprise Premium, penandatanganan dokumen, akses WiFi, email, kartu pintar, dan lainnya.
• Penerbitan dan pengelolaan sertifikat terpusat: Konfigurasi GKE Enterprise Service Mesh untuk menggunakan CA Service.
• Identitas perangkat IoT dan perangkat seluler: Terbitkan sertifikat TLS sebagai identitas untuk endpoint.
• Saluran CI/CD, Otorisasi Biner, Istio, dan Kubernetes.

Standar kepatuhan mana yang didukung oleh Layanan CA?

Untuk mengetahui informasi selengkapnya, lihat Keamanan dan Kepatuhan.

Di lokasi mana kita dapat membuat resource CA Service?

Resource Layanan CA dapat dibuat di salah satu dari banyak lokasi. Untuk mengetahui daftar lengkap lokasi, lihat Lokasi.

Apakah CA Service mendukung PKI global di bawah satu root?

Ya, asalkan CA root berada di satu region. Namun, Anda dapat membuat beberapa CA penerbit di berbagai region yang terhubung ke root yang sama.

Apakah label didukung untuk CA?

Ya, Anda dapat mengaitkan label ke kumpulan CA dan CA selama operasi pembuatan dan pembaruan.

Untuk mengetahui informasi tentang cara memperbarui label di kumpulan CA, lihat Memperbarui label di kumpulan CA.

Untuk mengetahui informasi tentang cara memperbarui label di CA, lihat Memperbarui label di CA.

Apakah mungkin menggunakan Cloud Monitoring untuk melacak pembuatan sertifikat dan masa berlaku CA? Apakah mungkin membuat peristiwa Pub/Sub untuknya?

Ya, Anda dapat memantau semua peristiwa ini. Layanan CA tidak mendukung Pub/Sub secara native, tetapi Anda dapat mengonfigurasinya menggunakan Cloud Monitoring. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Cloud Monitoring dengan CA Service.

Berapa lama CA yang belum diaktifkan dipertahankan?

CA subordinat dibuat dalam status AWAITING_USER_ACTIVATION, dan ditetapkan ke status STAGED setelah aktivasi. Jika CA bawahan masih dalam status AWAITING_USER_ACTIVATION 30 hari setelah dibuat, CA tersebut akan dihapus.

Untuk mengetahui informasi tentang berbagai status CA selama siklus prosesnya, lihat Status certificate authority.

Kontrol akses apa yang didukung Layanan CA untuk penerbitan sertifikat?

CA Service mendukung penetapan kebijakan IAM pada kumpulan CA untuk mengontrol siapa yang dapat menerbitkan sertifikat. Admin CA dapat melampirkan kebijakan penerbitan ke kumpulan CA. Kebijakan penerbitan ini menentukan batasan pada jenis sertifikat yang dapat diterbitkan oleh CA dalam kumpulan CA. Batasan ini mencakup pembatasan nama domain, ekstensi, dan masa berlaku sertifikat, serta hal-hal lainnya.

Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi kebijakan penerbitan di kumpulan CA, lihat Menggunakan kebijakan penerbitan.

Untuk mengetahui informasi tentang cara mengonfigurasi kebijakan IAM yang diperlukan untuk membuat dan mengelola resource Layanan CA, lihat Mengonfigurasi kebijakan IAM.

Apakah Layanan CA mendukung kunci Cloud KMS multi-region?

Tidak, Layanan CA tidak mendukung kunci Cloud KMS multi-region.

Apakah CA Service akan membatasi permintaan saya? Berapa QPS target untuk Layanan CA?

Ya, ada mekanisme pembatasan untuk Layanan CA. Untuk mengetahui informasi selengkapnya, lihat Kuota dan batas.

Apakah CA Service mendukung Kontrol Layanan VPC?

Ya, Layanan CA mendukung Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya, lihat Produk dan batasan yang didukung > Certificate Authority Service dan Keamanan dan Kepatuhan.

Bagaimana seharusnya kunci publik yang dienkode PEM digunakan dengan REST API?

Kunci publik berenkode PEM hanya dapat digunakan dengan REST API setelah dienkode Base64.

Apakah API tahap pratinjau masih dapat digunakan setelah Layanan CA mengumumkan ketersediaan umum (GA)?

Ya, API pratinjau masih dapat digunakan dalam jangka waktu singkat setelah Layanan CA mengumumkan ketersediaan umum. Jangka waktu ini hanya ditujukan agar pelanggan dapat bertransisi dengan lancar ke penggunaan API terbaru dan akan berlangsung singkat dengan dukungan terbatas. Sebaiknya pelanggan bermigrasi ke penggunaan GA API segera setelah tersedia.

Bagaimana cara mengakses resource yang dibuat selama periode pratinjau setelah CA Service mengumumkan ketersediaan umum (GA)?

Anda tidak dapat melihat atau mengelola resource yang dibuat selama periode pratinjau menggunakan konsol Google Cloud . Untuk mengelola resource yang dibuat selama pratinjau, gunakan API pratinjau atau perintah gcloud pratinjau. API pratinjau dapat diakses melalui endpoint https://privateca.googleapis.com/v1beta1/. Perintah pratinjau gcloud dapat diakses melalui gcloud privateca beta. Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca beta, lihat gcloud privateca beta.

Dapatkah subordinate CA dibuat dengan subjek dan kunci yang sama dengan CA lain dalam rantainya?

Tidak, CA subordinat tidak boleh memiliki subjek dan kunci yang sama dengan CA root, atau CA lain dalam rantainya. RFC 4158 merekomendasikan agar nama subjek dan pasangan kunci publik tidak diulang di jalur.

Apakah kunci Cloud KMS yang dikelola pelanggan sama dengan CMEK?

Tidak, kunci Cloud KMS yang dikelola pelanggan yang didukung di CA Service untuk kunci penandatanganan CA tidak sama dengan kunci enkripsi yang dikelola pelanggan (CMEK) yang digunakan untuk mengenkripsi data dalam penyimpanan di layanan yang didukung Google Cloud .

Layanan CA mendukung CMEK untuk mengenkripsi kolom tertentu dalam sertifikat, seperti subjek sertifikat dan Nama Alternatif Subjek (SAN). Untuk informasi selengkapnya, lihat Kunci enkripsi yang dikelola pelanggan (CMEK) dan Layanan CA.

Dapatkah nama resource digunakan kembali setelah resource dihapus?

Tidak, nama resource seperti nama kumpulan CA, CA, dan template sertifikat tidak dapat digunakan kembali dalam resource baru setelah resource asli dihapus. Misalnya, jika Anda membuat kumpulan CA bernama projects/Charlie/locations/Location-1/caPools/my-pool, lalu menghapus kumpulan CA tersebut, Anda tidak dapat membuat kumpulan CA lain bernama my-pool di project Charlie dan lokasi Location-1.

Langkah berikutnya

• Pelajari keterbatasan yang diketahui.
• Baca catatan rilis.
• Pelajari cara mendapatkan dukungan.