Domande frequenti

Che cos'è Certificate Authority Service?

Certificate Authority Service è un servizio Google Cloud scalabile e ad alta disponibilità che consente ai clienti di semplificare, automatizzare e personalizzare il deployment, la gestione e la sicurezza delle autorità di certificazione (CA) private, mantenendo il controllo delle proprie chiavi private.

Quali sono i casi d'uso comuni per Certificate Authority Service?

Di seguito sono riportati alcuni casi d'uso comuni per il servizio CA.

  • Identità dei workload: utilizza le API per ottenere certificati per le applicazioni o utilizza i certificati in applicazioni, container, sistemi e altre risorse.
  • Scenari aziendali: utilizza i certificati per VPN, Chrome Enterprise Premium, firma di documenti, accesso Wi-Fi, email, smart card e altro ancora.
  • Emissione e gestione centralizzate dei certificati: configura GKE Enterprise Service Mesh per utilizzare CA Service.
  • Identità di dispositivi mobili e IoT: emetti certificati TLS come identità per gli endpoint.
  • Canale CI/CD, Autorizzazione binaria, Istio e Kubernetes.

Quali standard di conformità supporta CA Service?

Per informazioni, vedi Sicurezza e conformità.

In quali località possiamo creare risorse del servizio CA?

Le risorse del servizio CA possono essere create in una delle tante località. Per l'elenco completo delle località, consulta Località.

CA Service supporta una PKI globale con una singola radice?

Sì, a condizione che la CA radice si trovi in un'unica regione. Tuttavia, puoi creare più CA emittenti in regioni diverse che si concatenano alla stessa CA radice.

Le etichette sono supportate per le CA?

Sì, puoi associare etichette a pool di CA e CA durante le operazioni di creazione e aggiornamento.

Per informazioni sull'aggiornamento delle etichette in un pool di CA, vedi Aggiornamento delle etichette in un pool di CA.

Per informazioni sull'aggiornamento delle etichette in una CA, vedi Aggiornamento delle etichette in una CA.

È possibile utilizzare Cloud Monitoring per monitorare la creazione di certificati e la scadenza delle CA? È possibile generare eventi Pub/Sub per questi utenti?

Sì, puoi monitorare tutti questi eventi. CA Service non supporta in modo nativo Pub/Sub, ma puoi configurarlo utilizzando Cloud Monitoring. Per ulteriori informazioni, consulta Utilizzo di Cloud Monitoring con il servizio CA.

Per quanto tempo vengono conservate le CA non attivate?

Le CA subordinate vengono create nello stato AWAITING_USER_ACTIVATION e vengono impostate sullo stato STAGED dopo l'attivazione. Se una CA subordinata si trova ancora nello stato AWAITING_USER_ACTIVATION 30 giorni dopo la creazione, viene eliminata.

Per informazioni sui vari stati in cui si trova una CA durante il suo ciclo di vita, consulta Stati dell'autorità di certificazione.

Quali controlli dell'accesso supporta il servizio CA per l'emissione di certificati?

CA Service supporta l'impostazione di criteri IAM su un pool di CA per controllare chi può emettere certificati. Un amministratore CA può allegare una policy di emissione a un pool di CA. Queste norme di emissione definiscono le limitazioni al tipo di certificati che le CA in un pool di CA possono emettere. Queste limitazioni includono, tra le altre cose, l'imposizione di limiti al nome di dominio, alle estensioni e al periodo di validità del certificato.

Per saperne di più su come configurare una policy di emissione in un pool di CA, consulta Utilizzare una policy di emissione.

Per informazioni su come configurare i criteri IAM necessari per creare e gestire le risorse di CA Service, consulta Configurazione dei criteri IAM.

CA Service supporta le chiavi Cloud KMS multiregionali?

No, CA Service non supporta le chiavi Cloud KMS multiregionali.

Il servizio CA Service limiterà mai le mie richieste? Qual è il QPS target per CA Service?

Sì, esiste un meccanismo di limitazione per il servizio CA. Per saperne di più, consulta Quote e limiti.

CA Service supporta i Controlli di servizio VPC?

Sì, CA Service supporta i Controlli di servizio VPC. Per saperne di più, consulta Prodotti supportati e limitazioni > Servizio autorità di certificazione e Sicurezza e conformità.

Come devono essere utilizzate le chiavi pubbliche codificate PEM con le API REST?

Le chiavi pubbliche con codifica PEM possono essere utilizzate con le API REST solo dopo essere state codificate in Base64.

Le API di fase di anteprima possono ancora essere utilizzate dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Sì, le API di anteprima possono ancora essere utilizzate per un breve periodo di tempo dopo l'annuncio della disponibilità generale di CA Service. Questo periodo è destinato esclusivamente ai clienti per passare senza problemi all'utilizzo delle API più recenti e avrà una durata limitata con un supporto limitato. Consigliamo ai clienti di eseguire la migrazione all'utilizzo delle API GA non appena saranno disponibili.

Come è possibile accedere alle risorse create durante il periodo di anteprima dopo l'annuncio della disponibilità generale (GA) del servizio CA?

Non puoi visualizzare o gestire le risorse create durante il periodo di anteprima utilizzando la console Google Cloud . Per gestire le risorse create durante l'anteprima, utilizza le API di anteprima o i comandi gcloud di anteprima. Le API di anteprima sono accessibili tramite l'endpoint https://privateca.googleapis.com/v1beta1/. I comandi di anteprima gcloud sono accessibili tramite gcloud privateca beta. Per saperne di più sui comandi gcloud privateca beta, consulta gcloud privateca beta.

È possibile creare una CA subordinata con lo stesso soggetto e la stessa chiave di un'altra CA nella sua catena?

No, una CA subordinata non può avere lo stesso soggetto e la stessa chiave della CA radice o di qualsiasi altra CA nella sua catena. La RFC 4158 consiglia di non ripetere i nomi dei soggetti e le coppie di chiavi pubbliche nei percorsi.

Le chiavi Cloud KMS gestite dal cliente sono uguali alle chiavi CMEK?

No, le chiavi Cloud KMS gestite dal cliente supportate in CA Service per le chiavi di firma CA non sono le stesse delle chiavi di crittografia gestite dal cliente (CMEK) utilizzate per criptare i dati at-rest all'interno dei servizi Google Cloud supportati.

CA Service supporta CMEK per la crittografia di determinati campi nei certificati, come l'oggetto del certificato e i nomi alternativi del soggetto (SAN). Per saperne di più, vedi Chiavi di crittografia gestite dal cliente (CMEK) e CA Service.

I nomi delle risorse possono essere riutilizzati dopo l'eliminazione della risorsa?

No, i nomi delle risorse, come i nomi dei pool di CA, delle CA e dei modelli di certificato, non possono essere riutilizzati in una nuova risorsa dopo l'eliminazione della risorsa originale. Ad esempio, se crei un pool di CA chiamato projects/Charlie/locations/Location-1/caPools/my-pool ed elimini il pool di CA, non puoi creare un altro pool di CA chiamato my-pool nel progetto Charlie e nella località Location-1.

Passaggi successivi