הגדרת הפרסום והאחסון
Certificate Authority Service (CA Service) משתמש בקטגוריות של Cloud Storage כדי לפרסם אישורי רשות אישורים (CA) ורשימות של אישורים שבוטלו (CRL) עבור תשתית המפתח הציבורי (PKI) שלכם.
במאמר הזה מוסבר איך להגדיר את קטגוריות Cloud Storage שבהן CA Service משתמש כדי לפרסם אישורים של רשות אישורים ורשימות ביטול אישורים (CRL) עבור ה-PKI שלכם. כדי לקבל שליטה ישירה יותר, אפשר להשתמש בקטגוריה בניהול Google או בקטגוריה בניהול הלקוח. מידע נוסף על קטגוריות של Cloud Storage זמין במאמר מידע על קטגוריות של Cloud Storage. במסמך הזה מוסבר גם איך לנהל את הגדרות הפרסום, כמו הפעלה או השבתה של הפרסום ובחירה של פורמט קידוד.
שימוש בקטגוריה שמנוהלת על ידי Google
שירות ה-CA מנהל באופן אוטומטי את מחזור החיים של קטגוריות Cloud Storage. לא נחייב אתכם בנפרד על המשאבים האלה.
כברירת מחדל, כשיוצרים מאגר CA, שירות ה-CA יוצר ומנהל קטגוריה של Cloud Storage עם המאפיינים הבאים:
- מיקום: הקטגוריה נמצאת באותו פרויקט ובאותו מיקום כמו המאגר.
- אחסון מרכזי: בקטגוריה מאוחסנים אישורי CA ו-CRL לכל רשויות האישורים במאגר רשויות האישורים.
- ניתן לקריאה באופן ציבורי: הגישה לאובייקטים מתבצעת באופן אוטומטי על ידי לקוחות באמצעות תוספים של Authority Information Access (AIA) ו-CRL Distribution Point (CDP).
היתרונות של מאגר (bucket) שמנוהל על ידי Google
באמצעות דלי בניהול Google, קל יותר לנהל את האחסון. כשיוצרים מאגר CA, שירות CA יוצר ומנהל באופן אוטומטי את ה-bucket לפרסום אישורי CA ו-CRL. אין צורך להגדיר קטגוריות נוספות של Cloud Storage.
שיקולים לגבי VPC Service Controls
מתחם היקפי של VPC Service Controls מגביל את הגישה לדליים של Cloud Storage שמנוהלים על ידי Google ללקוחות שנמצאים בתוך המתחם ההיקפי הזה. אי אפשר לגשת לכתובות URL של AIA ו-CDP לאישורים של רשות האישורים ול-CRL מחוץ להיקף. חוסר הגישה הזה עלול לגרום לכשלים באימות האישורים עבור לקוחות מחוץ להיקף.
מידע על יצירת רשות אישורי בסיס זמין במאמר יצירת רשות אישורי בסיס. מידע על יצירת CA משני זמין במאמר יצירת CA משני. מידע על בחירת אלגוריתם מפתח מופיע במאמר בנושא בחירת אלגוריתם מפתח.
שימוש בקטגוריה בניהול הלקוח
משאבים בניהול הלקוח זמינים רק ל-CA ברמת Enterprise. צריך ליצור ולהגדיר את המשאבים האלה לפני שיוצרים את רשות האישורים, ואז למחוק אותם כשמוחקים את רשות האישורים. אתם מחויבים ישירות על המשאבים האלה.
אתם יכולים לציין קטגוריות קיימות של Cloud Storage בפרויקט כדי לפרסם אישורי CA ו-CRL למאגר CA. כך מקבלים שליטה ישירה בהגדרות של הקטגוריה, כולל המיקום, סוג האחסון, מדיניות מחזור החיים ובקרת הגישה.
היתרונות של קטגוריה בניהול הלקוח
שימוש בדלי בניהול הלקוח מאפשר שליטה ישירה בדלי האחסון. אתם יכולים לעדכן מאפיינים כמו ניהול גישה כדי לעמוד בדרישות הארגון.
כדי ליצור CA עם קטגוריה בניהול הלקוח, צריך הרשאת אדמין לקטגוריה כדי לתת את הגישה המתאימה לשירות CA. מידע נוסף מופיע במאמר סוכן שירות CA Service.
מיקום של קטגוריות ב-Cloud Storage
יוצרים קטגוריות ב-Cloud Storage בניהול הלקוח באותו מיקום שבו נמצאים המשאבים של CA Service.
לדוגמה, אם רשות האישורים שלכם נמצאת ב-us-west1, אתם יכולים ליצור את קטגוריות Cloud Storage בכל אזור יחיד בארה"ב (כמו us-west1 או us-east1), באזור NAM4 שכולל שני אזורים או באזור US שכולל מספר אזורים. רשימת המיקומים הזמינים מופיעה במאמר מיקומי Cloud Storage.
לפני שמתחילים
מוודאים שיש קטגוריה של Cloud Storage. איך יוצרים קטגוריה
מוודאים שלחשבון השירות של שירות CA יש גישה לדלי.
התפקידים הנדרשים
כדי לוודא שלחשבון השירות יש את ההרשאות הנדרשות לכתיבה ולניהול של אובייקטים (במיוחד, אישורי CA ו-CRL) ולהפעלת מעקב, צריך לבקש מהאדמין להקצות לחשבון השירות את תפקידי ה-IAM הבאים בקטגוריית Cloud Storage בניהול הלקוח:
-
כדי לכתוב ולנהל אישורי CA ו-CRL:
אדמין של אובייקט אחסון (
roles/storage.objectAdmin) -
כדי לאפשר שילוב של Cloud Monitoring בקטגוריה:
Storage Legacy Bucket Reader (
roles/storage.legacyBucketReader)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
יכול להיות שהאדמין גם יוכל לתת לחשבון השירות את ההרשאות שנדרשות באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
הגדרת רשות האישורים לשימוש בקטגוריה
כדי לציין קטגוריה של Cloud Storage בניהול הלקוח כשיוצרים רשות אישורים, משתמשים בדגל --bucket עם הפקודות gcloud privateca roots create או gcloud privateca subordinates create.
לפרטים על יצירת רשויות אישורים, אפשר לעיין במאמרים הבאים:
ניהול הגישה לאישורים ול-CRL
כשמשתמשים בקטגוריה בניהול הלקוח, אפשר לשלוט בהרשאות הגישה שלה. אישורי ה-CA ורשימות ה-CRL שמתפרסמות על ידי שירות CA מקבלים בירושה את הרשאות ברירת המחדל של האובייקט בקטגוריה, אלא אם מגדירים אותן אחרת. כדי לספק גישה ציבורית לכתובות ה-URL של Certificate Authority Information Access (AIA) ו-CRL Distribution Point (CDP), צריך להגדיר את האובייקטים שפורסמו כקריאים לכולם.
כברירת מחדל, שירות CA משתמש בכתובות URL של HTTP בתוספים AIA ו-CDP כדי להפנות לאישורי CA ול-CRL. כדי להשיג תאימות מקסימלית ללקוח, צריך להשתמש בכתובות URL של HTTP. חלק מהלקוחות לא תומכים ב-HTTPS בתוספים AIA או CDP. חתימות דיגיטליות מבטיחות את השלמות והאותנטיות של אישורי CA ושל CRL.
מידע נוסף זמין במאמרים סקירה כללית על בקרת גישה והגדרת הרשאות לאובייקטים במסמכי התיעוד של Cloud Storage.
ניהול ההגדרות של אתר החדשות
כברירת מחדל, כשיוצרים מאגר CA, שירות CA מאפשר פרסום של אישור CA ו-CRL בקטגוריות של Cloud Storage. אתם יכולים לעדכן את הגדרות הפרסום האלה כדי להפעיל או להשבית את הפרסום, או כדי לשנות את פורמט הקידוד.
הפעלת פרסום במאגר CA
כדי להפעיל פרסום של אישורי CA ו-CRL לכל רשויות האישורים במאגר CA:
המסוף
נכנסים לדף Certificate Authority Service במסוף Google Cloud .
בכרטיסייה CA pool manager, לוחצים על השם של מאגר אישורים שרוצים לערוך.
בדף CA pool, לוחצים על Edit.
בקטע הגדרה של אלגוריתמים וגדלים מותרים של מפתחות, לוחצים על הבא.
בקטע Configure accepted certificate request methods (הגדרת שיטות מקובלות לבקשות אישורים), לוחצים על Next (הבא).
בקטע הגדרת אפשרויות הפרסום, לוחצים על המתג של פרסום אישור CA בקטגוריה של Cloud Storage עבור רשויות אישורים במאגר הזה.
לוחצים על המתג Publish CRL to Cloud Storage bucket for CAs in this pool (פרסום CRL בקטגוריה של Cloud Storage עבור רשויות אישורים במאגר הזה).
gcloud
מריצים את הפקודה הבאה:
gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert
מחליפים את מה שכתוב בשדות הבאים:
-
POOL_ID: השם של מאגר רשות האישורים -
LOCATION: המיקום של מאגר אישורי ה-CA. רשימת המיקומים הזמינים מופיעה במאמר מיקומי שירות של CA.
מידע נוסף על הפקודה gcloud privateca pools update זמין במאמר gcloud privateca pools update.
מידע נוסף על הפעלת פרסום של CRL לביטול אישורים זמין במאמר ביטול אישורים.
השבתת הפרסום של מאגר CA
כדי להשבית את הפרסום של אישורי CA ו-CRL לכל רשויות ה-CA במאגר CA, מבצעים את הפעולות הבאות:
המסוף
נכנסים לדף Certificate Authority Service במסוף Google Cloud .
בכרטיסייה CA pool manager, לוחצים על השם של מאגר אישורים שרוצים לערוך.
בדף מאגר אישורים, לוחצים על עריכה.
בקטע הגדרה של אלגוריתמים וגדלים מותרים של מפתחות, לוחצים על הבא.
בקטע Configure accepted certificate request methods (הגדרת שיטות מקובלות לבקשות אישורים), לוחצים על Next (הבא).
בקטע הגדרת אפשרויות הפרסום, לוחצים על המתג של פרסום אישור CA בקטגוריה של Cloud Storage עבור רשויות אישורים במאגר הזה.
לוחצים על המתג Publish CRL to Cloud Storage bucket for CAs in this pool (פרסום CRL בקטגוריה של Cloud Storage עבור רשויות אישורים במאגר הזה).
gcloud
מריצים את הפקודה הבאה:
gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert
מחליפים את מה שכתוב בשדות הבאים:
-
POOL_ID: השם של מאגר רשות האישורים -
LOCATION: המיקום של מאגר אישורי ה-CA. רשימת המיקומים הזמינים מופיעה במאמר מיקומי שירות של CA.
בחירת פורמט קידוד
כדי לעדכן את פורמט הקידוד של אישורי CA ו-CRL שפורסמו:
המסוף
נכנסים לדף Certificate Authority Service במסוף Google Cloud .
בכרטיסייה CA pool manager, לוחצים על השם של מאגר אישורים שרוצים לערוך.
בדף מאגר אישורים, לוחצים על עריכה.
בקטע הגדרה של אלגוריתמים וגדלים מותרים של מפתחות, לוחצים על הבא.
בקטע Configure accepted certificate request methods (הגדרת שיטות מקובלות לבקשות אישורים), לוחצים על Next (הבא).
בקטע Configure publishing options (הגדרת אפשרויות פרסום), לוחצים על הרשימה Publishing Encoding Format (פורמט קידוד לפרסום).
בוחרים את פורמט הקידוד של הפרסום.
gcloud
מריצים את הפקודה הבאה:
gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT
מחליפים את מה שכתוב בשדות הבאים:
POOL_ID: השם של מאגר רשות האישורים
LOCATION: המיקום של מאגר אישורי ה-CA. רשימת המיקומים הזמינים מופיעה במאמר מיקומים של שירות CA.
PUBLISHING_ENCODING_FORMAT: פורמט הקידוד יכול להיותPEMאוDERמידע נוסף על הפקודה
gcloud privateca pools updateזמין במאמר gcloud privateca pools update.
המאמרים הבאים
- איך יוצרים מאגר של רשויות אישורים
- איך יוצרים רשות אישורים (CA) בסיסית
- איך יוצרים רשות אישורים משנית
- איך יוצרים רשות אישורים משנית מרשות אישורים חיצונית