Configura la publicación y el almacenamiento
Certificate Authority Service (servicio de CA) usa buckets de Cloud Storage para publicar certificados de CA y listas de revocación de certificados (CRL) para tu infraestructura de clave pública (PKI).
En este documento, se describe cómo configurar los buckets de Cloud Storage que usa el servicio de CA para publicar certificados de CA y CRL para tu PKI. Puedes usar un bucket administrado por Google o un bucket administrado por el cliente para tener un control más directo. Para obtener más información sobre los buckets de Cloud Storage, consulta Acerca de los buckets de Cloud Storage. En este documento, también se aborda la administración de la configuración de publicación, como habilitar o inhabilitar la publicación y elegir un formato de codificación.
Usa un bucket administrado por Google
El servicio de CA administra automáticamente el ciclo de vida de los buckets de Cloud Storage. No se te factura por separado por estos recursos.
De forma predeterminada, cuando creas un grupo de CA, el servicio de CA crea y administra un bucket de Cloud Storage con las siguientes características:
- Ubicación: El bucket está en el mismo proyecto y ubicación que el grupo.
- Almacenamiento centralizado: El bucket almacena certificados de CA y CRL para todas las CA del grupo de CA.
- Legible de forma pública: Los clientes pueden acceder automáticamente a los objetos mediante las extensiones de Authority Information Access (AIA) y CRL Distribution Point (CDP).
Ventajas de un bucket administrado por Google
Un bucket administrado por Google simplifica la administración. Cuando creas un grupo de CA, el servicio de CA crea y administra automáticamente el bucket para publicar certificados de CA y CRL. No necesitas configurar ningún buckets de Cloud Storage adicional.
Consideraciones sobre los Controles del servicio de VPC
Un perímetro de Controles del servicio de VPC restringe el acceso a los buckets de Cloud Storage administrados por Google a los clientes dentro de ese perímetro. No se puede acceder a las URLs de AIA y CDP para los certificados de CA y las CRL desde fuera del perímetro. Esta falta de accesibilidad puede provocar fallas en la validación de certificados para los clientes fuera del perímetro.
Para obtener información sobre cómo crear una CA raíz, consulta Crea una CA raíz. Para obtener información sobre cómo crear una CA subordinada, consulta Crea una CA subordinada. Para obtener información sobre cómo elegir un algoritmo de clave, consulta Elige un algoritmo de clave.
Usa un bucket administrado por el cliente
Los recursos administrados por el cliente solo están disponibles para las CA en el nivel Enterprise. Debes crear y configurar estos recursos antes de crear tu CA y, luego, borrarlos cuando borres la CA. Se te factura directamente por estos recursos.
Puedes especificar buckets de Cloud Storage existentes en tu proyecto para publicar certificados de CA y CRL para un grupo de CA. Esto proporciona control directo sobre la configuración del bucket, incluida su ubicación, clase de almacenamiento, políticas de ciclo de vida y controles de acceso.
Ventajas de un bucket administrado por el cliente
El uso de un bucket administrado por el cliente proporciona control directo sobre tu bucket de almacenamiento. Puedes actualizar atributos, como la administración de acceso, para satisfacer los requisitos de tu organización.
Para crear una AC con un bucket administrado por el cliente, debes tener acceso de administrador al bucket para otorgar el acceso adecuado al servicio de AC. Para obtener más información, consulta Agente de servicio del servicio de CA.
Ubicación de los buckets de Cloud Storage
Crea buckets de Cloud Storage administrados por el cliente en la misma ubicación que tus recursos del servicio de CA.
Por ejemplo, si tu CA está en us-west1, puedes crear los buckets de Cloud Storage en cualquier región individual de EE.UU. (como us-west1 o us-east1), la región doble NAM4 o la multirregión US. Para obtener una lista de las ubicaciones disponibles, consulta Ubicaciones de Cloud Storage.
Antes de comenzar
Asegúrate de que exista un bucket de Cloud Storage. Consulta Crea un bucket.
Asegúrate de que la cuenta de servicio del servicio de CA pueda acceder al bucket.
Roles obligatorios
Para garantizar que la cuenta de servicio tenga los permisos necesarios para escribir y administrar objetos (específicamente, certificados de la AC y CRL) y habilitar la supervisión, pídele a tu administrador que otorgue los siguientes roles de IAM a la cuenta de servicio en el bucket de Cloud Storage administrado por el cliente:
-
Para escribir y administrar certificados de CA y CRL:
Administrador de objetos de Storage (
roles/storage.objectAdmin) -
Para permitir la integración de Cloud Monitoring para el bucket:
Lector de buckets heredados de almacenamiento (
roles/storage.legacyBucketReader)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Es posible que tu administrador también pueda otorgar los permisos necesarios a la cuenta de servicio a través de roles personalizados o de otros roles predefinidos.
Configura la CA para usar el bucket
Para especificar un bucket de Cloud Storage administrado por el cliente cuando creas una autoridad certificadora, usa la marca --bucket con los comandos gcloud privateca roots create o gcloud privateca subordinates create.
Para obtener detalles sobre la creación de CA, consulta lo siguiente:
Administra el acceso a certificados y CRL
Cuando usas un bucket administrado por el cliente, puedes controlar sus permisos de acceso. Los certificados de CA y las CRL publicados por el servicio de CA heredan los permisos de objeto predeterminados del bucket, a menos que los configures de otra manera. Para proporcionar acceso público a las URLs de Certificate Authority Information Access (AIA) y CRL Distribution Point (CDP), haz que los objetos publicados sean legibles de forma pública.
De forma predeterminada, el servicio de CA usa URLs HTTP en las extensiones de AIA y CDP para hacer referencia a los certificados de CA y las CRL. Usa URLs HTTP para obtener la máxima compatibilidad con el cliente. Algunos clientes no admiten HTTPS en las extensiones de AIA o CDP. Las firmas digitales garantizan la integridad y la autenticidad de los certificados de CA y las CRL.
Para obtener más información, consulta Descripción general del control de acceso y Configura permisos de objetos en la documentación de Cloud Storage.
Administra la configuración de publicación
De forma predeterminada, cuando creas un grupo de CA, el servicio de CA habilita la publicación de certificados de CA y CRL en buckets de Cloud Storage. Puedes actualizar esta configuración de publicación para habilitar o inhabilitar la publicación, o cambiar el formato de codificación.
Habilita la publicación para un grupo de CA
Para habilitar la publicación de certificados de la AC y CRL para todas las AC de un grupo de AC, haz lo siguiente:
Console
En la Google Cloud consola, ve a la página Certificate Authority Service.
En la pestaña Administrador de grupos de AC, haz clic en el nombre del grupo de AC que deseas editar.
En la página Grupo de CA, haz clic en Editar.
En Configurar algoritmos y tamaños de clave permitidos, haz clic en Siguiente.
En Configurar métodos de solicitud de certificado aceptados, haz clic en Siguiente.
En Configurar opciones de publicación, haz clic en el botón de activación de Publicar certificado de la AC en el bucket de Cloud Storage para las AC de este grupo.
Haz clic en el botón de activación de Publicar la CRL en el bucket de Cloud Storage para las CA de este grupo.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert
Reemplaza lo siguiente:
POOL_ID: Es el nombre del grupo de CA.LOCATION: Es la ubicación del grupo de CA. Para obtener una lista de ubicaciones disponibles, consulta Ubicaciones del servicio de CA
Para obtener más información sobre el comando gcloud privateca pools update, consulta gcloud privateca pools update.
Para obtener más información sobre cómo habilitar la publicación de CRL para revocar certificados, consulta Revoca certificados.
Inhabilita la publicación para un grupo de CA
Para inhabilitar la publicación de certificados de la AC y CRL para todas las AC de un grupo de AC, haz lo siguiente:
Console
En la Google Cloud consola, ve a la página Certificate Authority Service.
En la pestaña Administrador de grupos de AC, haz clic en el nombre del grupo de AC que deseas editar.
En la página Grupo de CA, haz clic en Editar.
En Configurar algoritmos y tamaños de clave permitidos, haz clic en Siguiente.
En Configurar métodos de solicitud de certificado aceptados, haz clic en Siguiente.
En Configurar opciones de publicación, haz clic en el botón de activación de Publicar certificado de la AC en el bucket de Cloud Storage para las AC de este grupo.
Haz clic en el botón de activación de Publicar la CRL en el bucket de Cloud Storage para las CA de este grupo.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert
Reemplaza lo siguiente:
POOL_ID: Es el nombre del grupo de CA.LOCATION: Es la ubicación del grupo de CA. Para obtener una lista de ubicaciones disponibles, consulta Ubicaciones del servicio de CA
Elige un formato de codificación
Para actualizar el formato de codificación de los certificados de CA y las CRL publicados, haz lo siguiente:
Console
En la Google Cloud consola, ve a la página Certificate Authority Service.
En la pestaña Administrador de grupos de AC, haz clic en el nombre del grupo de AC que deseas editar.
En la página Grupo de CA, haz clic en Editar.
En Configurar algoritmos y tamaños de clave permitidos, haz clic en Siguiente.
En Configurar métodos de solicitud de certificado aceptados, haz clic en Siguiente.
En Configurar opciones de publicación, haz clic en la lista Formato de codificación de publicación.
Selecciona el formato de codificación de publicación.
gcloud
Ejecuta el siguiente comando:
gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
Reemplaza lo siguiente:
POOL_ID: Es el nombre del grupo de CA.LOCATION: Es la ubicación del grupo de CA. Para obtener una lista de las ubicaciones disponibles, consulta Ubicaciones del servicio de CAPUBLISHING_ENCODING_FORMAT: El formato de codificación puede serPEMoDER.Para obtener más información sobre el comando
gcloud privateca pools update, consulta gcloud privateca pools update.
¿Qué sigue?
- Obtén información para crear un grupo de CA.
- Obtén información para crear una CA raíz.
- Obtén información para crear una CA subordinada.
- Obtén información para crear una CA subordinada a partir de una CA externa.