よくある質問

Certificate Authority Service とは

Certificate Authority Service は、秘密鍵を制御しながら、プライベート認証局(CA)のデプロイ、管理、セキュリティを簡素化、自動化、カスタマイズできるようにする高可用性のスケーラブルな Google Cloud サービスです。

Certificate Authority Service の一般的なユースケースは何ですか?

CA Service の一般的なユースケースを次に示します。

  • Workload Identity: API を活用してアプリケーションの証明書を取得するか、アプリケーション、コンテナ、システム、その他のリソースで証明書を使用できます。
  • エンタープライズ シナリオ: VPN、Chrome Enterprise Premium、署名ドキュメント、Wi-Fi アクセス、メール、スマートカードなどの証明書を使用します。
  • 証明書の発行と管理の一元化: CA Service を使用するように GKE Enterprise Service Mesh を構成します。
  • IoT デバイスとモバイル デバイスの ID: エンドポイントの ID として TLS 証明書を発行します。
  • CI / CD チャネル、Binary Authorization、Istio、Kubernetes。

CA Service がサポートしているコンプライアンス標準はどれですか?

詳細については、セキュリティとコンプライアンスをご覧ください。

どのロケーションに CA Service リソースを作成できますか?

CA Service リソースは、複数のロケーションに作成できます。ロケーションの完全なリストについては、ロケーションをご覧ください。

CA Service は単一のルートでグローバル PKI をサポートしていますか?

はい。ルート CA が単一のリージョン内に存在していることが条件です。ただし、同じルートにチェーンする発行元 CA を異なるリージョンに複数作成できます。

CA でラベルはサポートされていますか?

はい。作成オペレーションと更新オペレーションで、ラベルを CA プールと CA に関連付けることができます。

CA プールのラベルの更新については、CA プールのラベルを更新するをご覧ください。

CA のラベルを更新する方法については、CA のラベルを更新するをご覧ください。

Cloud Monitoring を使用して、証明書の作成と CA の有効期限を追跡することはできますか?これらのイベントに対して Pub/Sub イベントを生成することはできますか?

はい。これらのイベントをすべてモニタリングできます。CA Service は Pub/Sub をネイティブにサポートしていませんが、Cloud Monitoring を使用して構成できます。詳細については、CA Service で Cloud Monitoring を使用するをご覧ください。

有効化されていない CA はどのくらいの期間保持されますか?

下位 CA は AWAITING_USER_ACTIVATION 状態で作成され、有効化後に STAGED 状態に設定されます。下位 CA が作成されてから 30 日経過しても AWAITING_USER_ACTIVATION 状態のままの場合、下位 CA は削除されます。

CA のライフサイクルにおけるさまざまな状態については、認証局の状態をご覧ください。

CA Service は、証明書の発行にどのようなアクセス制御をサポートしていますか?

CA Service では、証明書を発行できるユーザーを制御するために、CA プールでの IAM ポリシーの設定をサポートしています。CA 管理者は、発行ポリシーを CA プールに関連付けることができます。この発行ポリシーは、CA プール内の CA が発行できる証明書の種類に制限を定義します。これには、ドメイン名、拡張機能、証明書の有効期間などに関する制限が含まれます。

CA プールで発行ポリシーを構成する方法の詳細については、発行ポリシーの使用をご覧ください。

CA Service リソースの作成と管理に必要な IAM ポリシーを構成する方法については、IAM ポリシーを構成するをご覧ください。

CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていますか?

いいえ、CA Service はマルチリージョンの Cloud KMS 鍵をサポートしていません。

CA Service がリクエストをスロットルすることはありますか?CA Service のターゲット QPS はどれくらいですか?

はい、CA Service に対するスロットル メカニズムがあります。詳細については、割り当てと上限をご覧ください。

CA Service は VPC Service Controls をサポートしていますか?

はい。CA Service は VPC Service Controls をサポートしています。詳細については、サポートされているプロダクトと制限事項 > Certificate Authority Serviceセキュリティとコンプライアンス をご覧ください。

PEM でエンコードされた公開鍵を REST API で使用する方法は?

PEM でエンコードされた公開鍵は、Base64 でエンコードされた後にのみ REST API で使用できます。

CA Service が一般提供(GA)を発表した後も、プレビュー段階の API を使用できますか?

はい。CA Service が一般提供を発表した後も、プレビュー API を短期間使用できます。この期間は、最新の API の使用を円滑に移行するためのもので、短期間でサポートが制限されたものになります。一般提供 API が利用可能になり次第、移行することをおすすめします。

CA Service の一般提供(GA)が発表された後、プレビュー期間中に作成されたリソースにアクセスするにはどうすればよいですか?

プレビュー期間中に作成されたリソースは、 Google Cloud コンソールを使用して表示または管理できません。プレビュー中に作成されたリソースを管理するには、プレビュー API またはプレビュー gcloud コマンドを使用します。プレビュー版 API には、https://privateca.googleapis.com/v1beta1/ エンドポイントを介してアクセスできます。プレビュー gcloud コマンドには、gcloud privateca beta を介してアクセスできます。gcloud privateca beta コマンドの詳細については、gcloud privateca beta をご覧ください。

チェーン内の別の CA と同じサブジェクトと鍵を使用して下位 CA を作成できますか?

いいえ。下位 CA は、ルート CA またはチェーン内の他の CA と同じサブジェクトと鍵を持つことはできません。RFC 4158 では、パスでサブジェクト名と公開鍵のペアが繰り返されないことが推奨されています。

顧客管理の Cloud KMS 鍵は CMEK と同じですか?

いいえ、CA 署名鍵用の CA Service でサポートされている顧客管理の Cloud KMS 鍵は、サポートされている Google Cloud サービス内で保存されているデータを暗号化するために使用される顧客管理の暗号鍵(CMEK)とは異なります。

CA Service は、証明書のサブジェクトやサブジェクト代替名(SAN)などの特定のフィールドを暗号化するために CMEK をサポートしています。詳細については、顧客管理の暗号鍵(CMEK)と CA Service をご覧ください。

リソースを削除した後、リソース名を再利用できますか?

いいえ。CA プール、CA、証明書テンプレートなどのリソース名は、元のリソースが削除された後、新しいリソースで再利用できません。たとえば、projects/Charlie/locations/Location-1/caPools/my-pool という名前の CA プールを作成して、その CA プールを削除すると、プロジェクト Charlie とロケーション Location-1my-pool という名前の別の CA を作成できません。

次のステップ