Veröffentlichung und Speicherung konfigurieren
Certificate Authority Service (CA Service) verwendet Cloud Storage-Buckets, um Zertifizierungsstellenzertifikate und Zertifikatssperrlisten (Certificate Revocation Lists, CRLs) für Ihre Public-Key-Infrastruktur (PKI) zu veröffentlichen.
In diesem Dokument wird beschrieben, wie Sie die Cloud Storage-Buckets konfigurieren, die vom CA-Dienst zum Veröffentlichen von CA-Zertifikaten und Zertifikatsperrlisten für Ihre PKI verwendet werden. Sie können einen von Google verwalteten oder einen kundenverwalteten Bucket verwenden, um mehr Kontrolle zu haben. Weitere Informationen zu Cloud Storage-Buckets finden Sie unter Cloud Storage-Buckets. Außerdem wird beschrieben, wie Sie Veröffentlichungseinstellungen verwalten, z. B. die Veröffentlichung aktivieren oder deaktivieren und ein Codierungsformat auswählen.
Von Google verwalteten Bucket verwenden
CA Service verwaltet den Lebenszyklus der Cloud Storage-Buckets automatisch. Diese Ressourcen werden Ihnen nicht separat in Rechnung gestellt.
Wenn Sie einen CA-Pool erstellen, erstellt und verwaltet CA Service standardmäßig einen Cloud Storage-Bucket mit den folgenden Merkmalen:
- Standort:Der Bucket befindet sich im selben Projekt und am selben Standort wie der Pool.
- Zentraler Speicher:Im Bucket werden CA-Zertifikate und CRLs für alle CAs im CA-Pool gespeichert.
- Öffentlich lesbar:Objekte sind automatisch für Clients zugänglich, die die Erweiterungen „Authority Information Access“ (AIA) und „CRL Distribution Point“ (CDP) verwenden.
Vorteile eines von Google verwalteten Buckets
Ein von Google verwalteter Bucket vereinfacht die Verwaltung. Wenn Sie einen CA-Pool erstellen, erstellt und verwaltet CA Service automatisch den Bucket zum Veröffentlichen von CA-Zertifikaten und Zertifikatsperrlisten. Sie müssen keine zusätzlichen Cloud Storage-Buckets konfigurieren.
VPC Service Controls – Überlegungen
Ein VPC Service Controls-Perimeter schränkt den Zugriff auf von Google verwaltete Cloud Storage-Buckets auf Clients innerhalb dieses Perimeters ein. AIA- und CDP-URLs für CA-Zertifikate und CRLs sind von außerhalb des Perimeters nicht zugänglich. Diese fehlende Zugänglichkeit kann zu Fehlern bei der Zertifikatsvalidierung für Clients außerhalb des Perimeters führen.
Informationen zum Erstellen einer Stamm-CA finden Sie unter Stamm-CA erstellen. Informationen zum Erstellen einer untergeordneten Zertifizierungsstelle finden Sie unter Untergeordnete Zertifizierungsstelle erstellen. Informationen zum Auswählen eines Schlüsselalgorithmus finden Sie unter Schlüsselalgorithmus auswählen.
Vom Kunden verwalteten Bucket verwenden
Kundenverwaltete Ressourcen sind nur für CAs in der Enterprise-Stufe verfügbar. Sie müssen diese Ressourcen erstellen und konfigurieren, bevor Sie Ihre CA erstellen, und sie dann löschen, wenn Sie die CA löschen. Diese Ressourcen werden Ihnen direkt in Rechnung gestellt.
Sie können vorhandene Cloud Storage-Buckets in Ihrem Projekt angeben, in denen CA-Zertifikate und CRLs für einen CA-Pool veröffentlicht werden. So haben Sie die direkte Kontrolle über die Konfiguration des Buckets, einschließlich seines Standorts, seiner Speicherklasse, seiner Lebenszyklusrichtlinien und seiner Zugriffssteuerung.
Vorteile eines vom Kunden verwalteten Buckets
Wenn Sie einen vom Kunden verwalteten Bucket verwenden, haben Sie die direkte Kontrolle über Ihren Speicher-Bucket. Sie können Attribute wie die Zugriffsverwaltung an die Anforderungen Ihrer Organisation anpassen.
Wenn Sie eine CA mit einem vom Kunden verwalteten Bucket erstellen möchten, benötigen Sie Administratorzugriff auf den Bucket, um CA Service den entsprechenden Zugriff zu gewähren. Weitere Informationen finden Sie unter CA Service Service Agent.
Standort von Cloud Storage-Buckets
Erstellen Sie vom Kunden verwaltete Cloud Storage-Buckets am selben Speicherort wie Ihre CA Service-Ressourcen.
Wenn sich Ihre Zertifizierungsstelle beispielsweise in us-west1 befindet, können Sie die Cloud Storage-Buckets in einer beliebigen einzelnen US-Region (z. B. us-west1 oder us-east1), in der biregionalen Region NAM4 oder in der multiregionalen Region US erstellen. Eine Liste der verfügbaren Standorte finden Sie unter Cloud Storage-Standorte.
Hinweis
Prüfen Sie, ob ein Cloud Storage-Bucket vorhanden ist. Bucket erstellen
Achten Sie darauf, dass der Bucket für das CA Service-Dienstkonto zugänglich ist.
Erforderliche Rollen
Damit das Dienstkonto die erforderlichen Berechtigungen zum Schreiben und Verwalten von Objekten (insbesondere CA-Zertifikaten und CRLs) und zum Aktivieren der Überwachung hat, bitten Sie Ihren Administrator, dem Dienstkonto die folgenden IAM-Rollen für den vom Kunden verwalteten Cloud Storage-Bucket zu gewähren:
-
Zum Schreiben und Verwalten von CA-Zertifikaten und CRLs:
Storage-Objekt-Administrator (
roles/storage.objectAdmin) -
So aktivieren Sie die Cloud Monitoring-Integration für den Bucket:
Leser von Legacy-Storage-Buckets (
roles/storage.legacyBucketReader)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Ihr Administrator kann dem Dienstkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.
CA für die Verwendung des Buckets konfigurieren
Wenn Sie beim Erstellen einer Zertifizierungsstelle einen vom Kunden verwalteten Cloud Storage-Bucket angeben möchten, verwenden Sie das Flag --bucket mit den Befehlen gcloud privateca roots create oder gcloud privateca subordinates create.
Weitere Informationen zum Erstellen von Zertifizierungsstellen finden Sie hier:
Zugriff auf Zertifikate und CRLs verwalten
Wenn Sie einen kundenverwalteten Bucket verwenden, können Sie die Zugriffsberechtigungen dafür festlegen. Die von CA Service veröffentlichten CA-Zertifikate und CRLs übernehmen die Standardberechtigungen für Objekte des Buckets, sofern Sie sie nicht anders konfigurieren. Damit die URLs für den Authority Information Access (AIA) und den CRL Distribution Point (CDP) öffentlich zugänglich sind, müssen Sie die veröffentlichten Objekte öffentlich lesbar machen.
Standardmäßig verwendet CA Service HTTP-URLs in AIA- und CDP-Erweiterungen, um auf CA-Zertifikate und CRLs zu verweisen. Verwenden Sie HTTP-URLs, um eine maximale Clientkompatibilität zu erreichen. Einige Clients unterstützen HTTPS in AIA- oder CDP-Erweiterungen nicht. Digitale Signaturen sorgen für die Integrität und Authentizität von CA-Zertifikaten und CRLs.
Weitere Informationen finden Sie in der Cloud Storage-Dokumentation unter Übersicht über die Zugriffssteuerung und Objektberechtigungen festlegen.
Veröffentlichungseinstellungen verwalten
Wenn Sie einen CA-Pool erstellen, aktiviert CA Service standardmäßig die Veröffentlichung von CA-Zertifikaten und CRLs in Cloud Storage-Buckets. Sie können diese Veröffentlichungseinstellungen aktualisieren, um die Veröffentlichung zu aktivieren oder zu deaktivieren oder das Codierungsformat zu ändern.
Veröffentlichung für einen CA-Pool aktivieren
So aktivieren Sie die Veröffentlichung von CA-Zertifikaten und CRLs für alle CAs in einem CA-Pool:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf dem Tab CA-Poolmanager auf den Namen des CA-Pools, den Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf Bearbeiten.
Klicken Sie unter Zulässige Schlüsselalgorithmen und ‑größen konfigurieren auf Weiter.
Klicken Sie unter Akzeptierte Methoden für Zertifikatsanfragen konfigurieren auf Weiter.
Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf den Schalter für CA-Zertifikat im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.
Klicken Sie auf den Ein/Aus-Schalter für CRL im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert
Ersetzen Sie Folgendes:
POOL_ID: der Name des CA-PoolsLOCATION: der Standort des CA-Pools. Eine Liste der verfügbaren Standorte finden Sie unter CA Service-Standorte.
Weitere Informationen zum Befehl gcloud privateca pools update finden Sie unter gcloud privateca pools update.
Weitere Informationen zum Aktivieren der CRL-Veröffentlichung zum Widerrufen von Zertifikaten finden Sie unter Zertifikate widerrufen.
Veröffentlichung für einen CA-Pool deaktivieren
So deaktivieren Sie die Veröffentlichung von CA-Zertifikaten und CRLs für alle CAs in einem CA-Pool:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf dem Tab CA-Poolmanager auf den Namen des CA-Pools, den Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf Bearbeiten.
Klicken Sie unter Zulässige Schlüsselalgorithmen und ‑größen konfigurieren auf Weiter.
Klicken Sie unter Akzeptierte Methoden für Zertifikatsanfragen konfigurieren auf Weiter.
Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf den Schalter für CA-Zertifikat im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.
Klicken Sie auf den Ein/Aus-Schalter für CRL im Cloud Storage-Bucket für CAs in diesem Pool veröffentlichen.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert
Ersetzen Sie Folgendes:
POOL_ID: der Name des CA-PoolsLOCATION: der Standort des CA-Pools. Eine Liste der verfügbaren Standorte finden Sie unter CA Service-Standorte.
Codierungsformat auswählen
So aktualisieren Sie das Codierungsformat von veröffentlichten CA-Zertifikaten und Zertifikatsperrlisten:
Console
Rufen Sie in der Google Cloud Console die Seite Certificate Authority Service auf.
Klicken Sie auf dem Tab CA-Poolmanager auf den Namen des CA-Pools, den Sie bearbeiten möchten.
Klicken Sie auf der Seite CA-Pool auf Bearbeiten.
Klicken Sie unter Zulässige Schlüsselalgorithmen und ‑größen konfigurieren auf Weiter.
Klicken Sie unter Akzeptierte Methoden für Zertifikatsanfragen konfigurieren auf Weiter.
Klicken Sie unter Veröffentlichungsoptionen konfigurieren auf die Liste Veröffentlichungs-Codierungsformat.
Wählen Sie das Codierungsformat für die Veröffentlichung aus.
gcloud
Führen Sie dazu diesen Befehl aus:
gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Ersetzen Sie Folgendes:
POOL_ID: der Name des CA-PoolsLOCATION: der Standort des CA-Pools. Eine Liste der verfügbaren Standorte finden Sie unter CA Service-Standorte.PUBLISHING_ENCODING_FORMAT: Das Codierungsformat kannPEModerDERsein.Weitere Informationen zum Befehl
gcloud privateca pools updatefinden Sie unter gcloud privateca pools update.
Nächste Schritte
- CA-Pool erstellen
- Informationen zum Erstellen einer Root-CA
- Untergeordnete Zertifizierungsstelle erstellen
- Untergeordnete Zertifizierungsstelle aus einer externen Zertifizierungsstelle erstellen