Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Mengonfigurasi publikasi dan penyimpanan

Certificate Authority Service (CA Service) menggunakan bucket Cloud Storage untuk memublikasikan sertifikat CA dan daftar pencabutan sertifikat (CRL) untuk infrastruktur kunci publik (PKI) Anda.

Dokumen ini menjelaskan cara mengonfigurasi bucket Cloud Storage yang digunakan oleh CA Service untuk memublikasikan sertifikat CA dan CRL untuk PKI Anda. Anda dapat menggunakan bucket yang dikelola Google atau bucket yang dikelola pelanggan untuk kontrol yang lebih langsung. Untuk mengetahui informasi selengkapnya tentang bucket Cloud Storage, lihat Tentang bucket Cloud Storage. Dokumen ini juga membahas cara mengelola setelan publikasi, seperti mengaktifkan atau menonaktifkan publikasi dan memilih format encoding.

Menggunakan bucket yang dikelola Google

Layanan CA mengelola siklus proses bucket Cloud Storage secara otomatis. Anda tidak ditagih secara terpisah untuk resource ini.

Secara default, saat Anda membuat kumpulan CA, CA Service akan membuat dan mengelola bucket Cloud Storage dengan karakteristik berikut:

Lokasi: Bucket berada dalam project dan lokasi yang sama dengan pool.
Penyimpanan terpusat: Bucket menyimpan sertifikat CA dan CRL untuk semua CA dalam kumpulan CA.
Dapat dibaca secara publik: Objek dapat diakses secara otomatis oleh klien menggunakan ekstensi Akses Informasi Otoritas (AIA) dan Titik Distribusi CRL (CDP).

Keuntungan bucket yang dikelola Google

Bucket yang dikelola Google menyederhanakan pengelolaan. Saat Anda membuat kumpulan CA, CA Service akan otomatis membuat dan mengelola bucket untuk menerbitkan sertifikat CA dan CRL. Anda tidak perlu mengonfigurasi bucket Cloud Storage tambahan.

Pertimbangan Kontrol Layanan VPC

Perimeter Kontrol Layanan VPC membatasi akses ke bucket Cloud Storage yang dikelola Google untuk klien dalam perimeter tersebut. URL AIA dan CDP untuk sertifikat CA dan CRL tidak dapat diakses dari luar perimeter. Kurangnya aksesibilitas ini dapat menyebabkan kegagalan validasi sertifikat untuk klien di luar perimeter.

Untuk mengetahui informasi tentang cara membuat CA root, lihat Membuat CA root. Untuk mengetahui informasi tentang cara membuat CA subordinat, lihat Membuat CA subordinat. Untuk mengetahui informasi tentang cara memilih algoritma kunci, lihat Memilih algoritma kunci.

Menggunakan bucket yang dikelola pelanggan

Resource yang dikelola pelanggan hanya tersedia untuk CA di tingkat Enterprise. Anda harus membuat dan mengonfigurasi resource ini sebelum membuat CA, lalu menghapusnya saat Anda menghapus CA. Anda akan ditagih langsung untuk resource ini.

Anda dapat menentukan bucket Cloud Storage yang ada di project Anda untuk memublikasikan sertifikat CA dan CRL untuk kumpulan CA. Hal ini memberikan kontrol langsung atas konfigurasi bucket, termasuk lokasi, kelas penyimpanan, kebijakan siklus proses, dan kontrol aksesnya.

Keuntungan bucket yang dikelola pelanggan

Menggunakan bucket yang dikelola pelanggan memberikan kontrol langsung atas bucket penyimpanan Anda. Anda dapat memperbarui atribut, seperti pengelolaan akses, untuk memenuhi persyaratan organisasi Anda.

Untuk membuat CA dengan bucket yang dikelola pelanggan, Anda harus memiliki akses administratif ke bucket untuk memberikan akses yang sesuai ke CA Service. Untuk mengetahui informasi selengkapnya, lihat Agen Layanan CA Service.

Lokasi bucket Cloud Storage

Buat bucket Cloud Storage yang dikelola pelanggan di lokasi yang sama dengan resource Layanan CA Anda.

Misalnya, jika CA Anda berada di us-west1, Anda dapat membuat bucket Cloud Storage di satu region AS mana pun (seperti us-west1 atau us-east1), dual-region NAM4, atau multi-region US. Untuk mengetahui daftar lokasi yang tersedia, lihat Lokasi Cloud Storage.

Sebelum memulai

Pastikan bucket Cloud Storage ada. Lihat Membuat bucket.

Catatan: Untuk performa yang optimal dan memenuhi persyaratan residensi data, pastikan bucket berada di lokasi yang sama dengan kumpulan CA Service CA Anda.
Pastikan bucket dapat diakses oleh akun layanan CA Service.

Peran yang diperlukan

Untuk memastikan bahwa akun layanan memiliki izin yang diperlukan untuk menulis dan mengelola objek (khususnya, sertifikat CA dan CRL) serta mengaktifkan pemantauan, minta administrator Anda untuk memberikan peran IAM berikut kepada akun layanan di bucket Cloud Storage yang dikelola pelanggan:

Untuk menulis dan mengelola sertifikat CA dan CRL: Storage Object Admin (roles/storage.objectAdmin)
Untuk mengizinkan integrasi Cloud Monitoring untuk bucket: Storage Legacy Bucket Reader (roles/storage.legacyBucketReader)

Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses ke project, folder, dan organisasi.

Administrator Anda mungkin juga dapat memberikan izin yang diperlukan kepada akun layanan melalui peran khusus atau peran yang telah ditetapkan lainnya.

Mengonfigurasi CA untuk menggunakan bucket

Untuk menentukan bucket Cloud Storage yang dikelola pelanggan saat Anda membuat otoritas sertifikat, gunakan tanda --bucket dengan perintah gcloud privateca roots create atau gcloud privateca subordinates create.

Untuk mengetahui detail tentang cara membuat CA, lihat artikel berikut:

Mengelola akses ke sertifikat dan CRL

Saat menggunakan bucket yang dikelola pelanggan, Anda dapat mengontrol izin aksesnya. Sertifikat CA dan CRL yang dipublikasikan oleh CA Service mewarisi izin objek default bucket kecuali jika Anda mengonfigurasinya sebaliknya. Untuk memberikan akses publik ke URL Akses Informasi Otoritas Sertifikat (AIA) dan Titik Distribusi CRL (CDP), buat objek yang dipublikasikan dapat dibaca oleh publik.

Secara default, Layanan CA menggunakan URL HTTP di ekstensi AIA dan CDP untuk mereferensikan sertifikat CA dan CRL. Gunakan URL HTTP untuk kompatibilitas klien maksimal. Beberapa klien tidak mendukung HTTPS di ekstensi AIA atau CDP. Tanda tangan digital memastikan integritas dan keaslian sertifikat CA dan CRL.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan kontrol akses dan Menetapkan izin objek dalam dokumentasi Cloud Storage.

Mengelola setelan publikasi

Secara default, saat Anda membuat kumpulan CA, CA Service akan mengaktifkan publikasi sertifikat CA dan CRL ke bucket Cloud Storage. Anda dapat memperbarui setelan publikasi ini untuk mengaktifkan publikasi, menonaktifkan publikasi, atau mengubah format encoding.

Mengaktifkan publikasi untuk kumpulan CA

Untuk mengaktifkan publikasi sertifikat CA dan CRL untuk semua CA dalam kumpulan CA, lakukan hal berikut:

Konsol

Di konsol Google Cloud , buka halaman Certificate Authority Service.

Buka Certificate Authority Service
Di tab Pengelola kumpulan CA, klik nama kumpulan CA yang ingin Anda edit.
Di halaman CA pool, klik Edit.
Di bagian Konfigurasi algoritma dan ukuran kunci yang diizinkan, klik Berikutnya.
Di bagian Configure accepted certificate request methods, klik Next.
Di bagian Konfigurasi opsi publikasi, klik tombol untuk Publikasikan sertifikat CA ke bucket Cloud Storage untuk CA di kumpulan ini.
Klik tombol untuk Publikasikan CRL ke bucket Cloud Storage untuk CA di pool ini.

gcloud

Jalankan perintah berikut:

gcloud privateca pools update POOL_ID --location LOCATION --publish-crl --publish-ca-cert

Ganti kode berikut:

POOL_ID: nama pool CA
LOCATION: lokasi pool CA. Untuk mengetahui daftar lokasi yang tersedia, lihat Lokasi Layanan CA

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools update, lihat gcloud privateca pools update.

Untuk mempelajari lebih lanjut cara mengaktifkan publikasi CRL untuk mencabut sertifikat, lihat Mencabut sertifikat.

Menonaktifkan publikasi untuk pool CA

Untuk menonaktifkan publikasi CRL dan sertifikat CA untuk semua CA dalam kumpulan CA, lakukan hal berikut:

Konsol

Di konsol Google Cloud , buka halaman Certificate Authority Service.

Buka Certificate Authority Service
Di tab Pengelola kumpulan CA, klik nama kumpulan CA yang ingin Anda edit.
Di halaman CA pool, klik Edit.
Di bagian Konfigurasi algoritma dan ukuran kunci yang diizinkan, klik Berikutnya.
Di bagian Configure accepted certificate request methods, klik Next.
Di bagian Konfigurasi opsi publikasi, klik tombol untuk Publikasikan sertifikat CA ke bucket Cloud Storage untuk CA di kumpulan ini.
Klik tombol untuk Publikasikan CRL ke bucket Cloud Storage untuk CA di pool ini.

gcloud

Jalankan perintah berikut:

gcloud privateca pools update POOL_ID --location LOCATION --no-publish-crl --no-publish-ca-cert

Ganti kode berikut:

POOL_ID: nama pool CA
LOCATION: lokasi pool CA. Untuk mengetahui daftar lokasi yang tersedia, lihat Lokasi Layanan CA

Memilih format encoding

Untuk memperbarui format encoding sertifikat CA dan CRL yang dipublikasikan, lakukan hal berikut:

Konsol

Di konsol Google Cloud , buka halaman Certificate Authority Service.

Buka Certificate Authority Service
Di tab Pengelola kumpulan CA, klik nama kumpulan CA yang ingin Anda edit.
Di halaman CA pool, klik Edit.
Di bagian Konfigurasi algoritma dan ukuran kunci yang diizinkan, klik Berikutnya.
Di bagian Configure accepted certificate request methods, klik Next.
Di bagian Konfigurasi opsi publikasi, klik daftar Format Encoding Publikasi.
Pilih format encoding publikasi.

gcloud

Jalankan perintah berikut:

gcloud privateca pools update POOL_ID --location=LOCATION --publishing-encoding-format=PUBLISHING_ENCODING_FORMAT

Ganti kode berikut:

POOL_ID: nama pool CA
LOCATION: lokasi pool CA. Untuk mengetahui daftar lokasi yang tersedia, lihat Lokasi Layanan CA
PUBLISHING_ENCODING_FORMAT: format encoding dapat berupa PEM atau DER

Untuk mengetahui informasi selengkapnya tentang perintah gcloud privateca pools update, lihat gcloud privateca pools update.

Langkah berikutnya

Pelajari cara Membuat kumpulan CA.
Pelajari cara Membuat CA root.
Pelajari cara Membuat CA bawahan.
Pelajari cara Membuat CA subordinat dari CA eksternal.