Perguntas frequentes

O que é o Certificate Authority Service?

O Certificate Authority Service é um serviço do Google Cloud altamente disponível e escalonável. Com ele, os clientes simplificam, automatizam e personalizam a implantação, o gerenciamento e a segurança de autoridades de certificação (ACs) privadas, sem abrir mão do controle sobre as chaves privadas.

Quais são os casos de uso comuns do Certificate Authority Service?

Confira abaixo alguns casos de uso comuns do serviço de CA.

  • Identidades da carga de trabalho: use APIs para receber certificados para aplicativos ou usar certificados em aplicativos, contêineres, sistemas e outros recursos.
  • Cenários empresariais: use certificados para VPN, Chrome Enterprise Premium, assinatura de documentos, acesso Wi-Fi, e-mail, smartcard e muito mais.
  • Emissão e gerenciamento centralizados de certificados: configure o GKE Enterprise Service Mesh para usar o CA Service.
  • Identificador do dispositivo móvel e IoT: emita certificados TLS como identidade para endpoints.
  • Canal de CI/CD, autorização binária, Istio e Kubernetes.

Quais padrões de compliance são compatíveis com o serviço de CA?

Para mais informações, consulte Segurança e compliance.

Em quais locais podemos criar recursos do serviço de CA?

Os recursos do serviço de CA podem ser criados em vários locais. Para a lista completa de locais, consulte Locais.

O serviço de CA é compatível com uma PKI global em uma única raiz?

Sim, desde que a AC raiz esteja em uma única região. No entanto, é possível criar várias CAs emissoras em regiões diferentes que se encadeiam até a mesma raiz.

Os rótulos são compatíveis com CAs?

Sim, é possível associar rótulos a pools de ACs e ACs durante as operações de criação e atualização.

Para informações sobre como atualizar rótulos em um pool de ACs, consulte Atualizar rótulos em um pool de ACs.

Para informações sobre como atualizar rótulos em uma CA, consulte Atualizar rótulos em uma CA.

É possível usar o Cloud Monitoring para rastrear a criação de certificados e o vencimento da CA? É possível gerar eventos do Pub/Sub para eles?

Sim, é possível monitorar todos esses eventos. O CA Service não oferece suporte nativo ao Pub/Sub, mas é possível configurar usando o Cloud Monitoring. Para mais informações, consulte Como usar o Cloud Monitoring com o CA Service.

Por quanto tempo as CAs não ativadas são retidas?

As CAs subordinadas são criadas no estado AWAITING_USER_ACTIVATION e definidas como STAGED após a ativação. Se uma CA subordinada ainda estiver no estado AWAITING_USER_ACTIVATION 30 dias após a criação, ela será excluída.

Para informações sobre os vários estados em que uma AC se encontra durante o ciclo de vida, consulte Estados da autoridade certificadora.

Quais controles de acesso o CA Service oferece para emissão de certificados?

O CA Service permite definir políticas do IAM em um pool de ACs para controlar quem pode emitir certificados. Um administrador de CA pode anexar uma política de emissão a um pool de CAs. Essa política de emissão define restrições sobre o tipo de certificados que as ACs em um pool de ACs podem emitir. Essas restrições incluem limites no nome de domínio, nas extensões e no período de validade do certificado, entre outras coisas.

Para mais informações sobre como configurar uma política de emissão em um pool de ACs, consulte Como usar uma política de emissão.

Para informações sobre como configurar as políticas do IAM necessárias para criar e gerenciar recursos do CA Service, consulte Configurar políticas do IAM.

O serviço de CA é compatível com chaves multirregionais do Cloud KMS?

Não, o serviço de AC não é compatível com chaves multirregionais do Cloud KMS.

O CA Service vai limitar minhas solicitações? Qual é o QPS desejado para o serviço da CA?

Sim, existe um mecanismo de limitação para o serviço de CA. Para mais informações, consulte Cotas e limites.

O CA Service é compatível com o VPC Service Controls?

Sim, o CA Service é compatível com o VPC Service Controls. Para mais informações, consulte Produtos e limitações compatíveis > Certificate Authority Service e Segurança e compliance.

Como as chaves públicas codificadas em PEM devem ser usadas com APIs REST?

As chaves públicas codificadas em PEM só podem ser usadas com APIs REST depois de serem codificadas em Base64.

As APIs em fase de pré-lançamento ainda podem ser usadas depois que o serviço de CA anunciar a disponibilidade geral (GA)?

Sim, as APIs de prévia ainda podem ser usadas por um curto período após o anúncio da GA pelo CA Service. Esse período é destinado apenas para que os clientes façam uma transição tranquila para o uso das APIs mais recentes e será de curta duração com suporte limitado. Recomendamos que os clientes migrem para as APIs GA assim que elas estiverem disponíveis.

Como os recursos criados durante o período de pré-lançamento podem ser acessados depois que o serviço de CA anunciar a disponibilidade geral (GA)?

Não é possível visualizar ou gerenciar recursos criados durante o período de prévia usando o console do Google Cloud . Para gerenciar os recursos criados durante a prévia, use as APIs ou os comandos gcloud de prévia. As APIs de prévia estão acessíveis pelo endpoint https://privateca.googleapis.com/v1beta1/. Os comandos de prévia gcloud podem ser acessados em gcloud privateca beta. Para mais informações sobre os comandos gcloud privateca beta, consulte gcloud privateca beta.

Uma CA subordinada pode ser criada com o mesmo assunto e chave de outra CA na cadeia dela?

Não, uma AC subordinada não pode ter o mesmo assunto e chave que a AC raiz ou qualquer outra AC na cadeia. A RFC 4158 recomenda que os nomes de assunto e os pares de chaves públicas não sejam repetidos em caminhos.

As chaves do Cloud KMS gerenciadas pelo cliente são as mesmas que as CMEK?

Não, as chaves do Cloud KMS gerenciadas pelo cliente compatíveis com o CA Service para as chaves de assinatura da CA não são as mesmas que as chaves de criptografia gerenciadas pelo cliente (CMEK) usadas para criptografar dados em repouso nos serviços Google Cloud compatíveis.

O serviço de CA oferece suporte à CMEK para criptografar determinados campos em certificados, como o assunto do certificado e os nomes alternativos do assunto (SANs). Para mais informações, consulte Chaves de criptografia gerenciadas pelo cliente (CMEK) e o serviço de CA.

Os nomes de recursos podem ser reutilizados depois que o recurso é excluído?

Não. Nomes de recursos, como os de pools de CA, CAs e modelos de certificado, não podem ser reutilizados em um novo recurso depois que o original é excluído. Por exemplo, se você criar um pool de ACs chamado projects/Charlie/locations/Location-1/caPools/my-pool e depois excluir o pool, não será possível criar outro pool de ACs chamado my-pool no projeto Charlie e no local Location-1.

A seguir